L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyber-attaques continuent : un rapide état des lieux et un focus sur les cyber-attaques visant les hôpitaux à partir de deux articles.
Les liens vers les précédentes publications du blog sur cette thématique
🏅Le cyber risque, risque n°1 pour les entreprises.
🚴 Comment agir ?
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
Plans d’action / cyber-risques liés au télétravail
Nécessaire implication des salariés / gestion du cyber-risque
Plans d’actions préconisés par l’ANSII
La multiplication des cyberattaques. Causes. Quelques chiffres / impact
Le risque cyber croit de manière exponentielle chaque année :
80 % des cyber attaques en France visent des PME ;
94% des cyberattaques sont déclenchées par un email ;
54 % des PME victimes d’une cyber intrusion font état d’une perte > à 500 K€.
Selon une étude publiée par Titiana (une entreprise spécialisée dans la sécurité et la conformité des réseaux) et relayé par Le Monde Informatique, les erreurs de configuration des réseaux coûtent aux entreprises 𝟗 % 𝐞𝐧 𝐦𝐨𝐲𝐞𝐧𝐧𝐞 𝐝𝐞 𝐥𝐞𝐮𝐫 𝐜𝐡𝐢𝐟𝐟𝐫𝐞 𝐝’𝐚𝐟𝐟𝐚𝐢𝐫𝐞𝐬 𝐚𝐧𝐧𝐮𝐞𝐥.
Basée sur une enquête menée auprès de responsables de la cybersécurité de divers secteurs, l’étude met en garde contre les configurations erronées qui rendent les entreprises vulnérables aux cyberattaques et 𝐩𝐞𝐮𝐯𝐞𝐧𝐭 𝐩𝐞𝐫𝐝𝐮𝐫𝐞𝐫 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐫𝐞́𝐬𝐞𝐚𝐮𝐱 𝐩𝐞𝐧𝐝𝐚𝐧𝐭 𝐝𝐞𝐬 𝐦𝐨𝐢𝐬, 𝐯𝐨𝐢𝐫𝐞 𝐝𝐞𝐬 𝐚𝐧𝐧𝐞́𝐞𝐬, 𝐝𝐮 𝐟𝐚𝐢𝐭 𝐝𝐞 𝐥𝐚 𝐫𝐚𝐫𝐞𝐭𝐞́ 𝐝𝐞𝐬 𝐚𝐮𝐝𝐢𝐭𝐬 𝐫𝐞́𝐚𝐥𝐢𝐬𝐞́𝐬 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐚𝐩𝐩𝐚𝐫𝐞𝐢𝐥𝐬 𝐜𝐨𝐧𝐧𝐞𝐜𝐭𝐞́𝐬.
« Les réseaux peuvent subir des changements tous les jours, … ce qui entraîne une dérive de la configuration », a expliqué Phil Lewis, CEO de Titania. « Étant donné que les pare-feux, les routeurs et les commutateurs sont au cœur de la sécurité de tous les réseaux, les entreprises devraient vérifier tous leurs équipements … pour détecter les erreurs de configuration, accidentelles ou délibérées, qui pourraient entraîner des risques de sécurité critiques ».
Octobre 2022
Une cyberattaque a coûté plus de 45 M€ de pertes d’exploitation à CAMAÏEU !
C’est l’une des plus grandes marques de mode féminine françaises, mais elle est dans la tourmente : Camaieu, 517 magasins et 2 574 salariés est en liquidation judiciaire
Août 2022
CLESTRA le roi alsacien des cloisons de bureaux réalisant 145M€ de chiffre d’affaires et employant 700 salariés, a été placée en redressement judiciaire en raison d’une cyberattaque majeure qui a coûté entre 2 et 3M€ à la société en avril dernier.
Focus sur les cyberattaques visant les hôpitaux
Quatre questions sur la diffusion par des hackers de données de santé de l’hôpital de Corbeil-Essonnes
Les hackers ont commencé à diffuser des données de patients, personnels et partenaires du Centre hospitalier Sud Francilien vendredi.
L’affaire s’étale depuis plus d’un mois. Le 21 août dernier, l’hôpital de Corbeil-Essonnes, en banlieue parisienne a été victime d’une cyberattaque avec une demande de rançon. L’établissement ayant refusé de pays, les hackers ont finalement mis leur menace à exécution : ils diffusent, depuis vendredi 23 septembre, des données confidentielles. Cet hôpital assure la couverture sanitaire de près de 700 000 habitants de la grande couronne. Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques. « L’Obs » revient sur cette attaque avec quatre questions.
Les hôpitaux, des proies faciles face aux cyberattaques
- De quel type d’attaque l’hôpital de Corbeil-Essonnes a-t-il été la cible ?
Le Centre hospitalier Sud Francilien a été victime d’une attaque via un logiciel rançonneur. Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers des entreprises cibles, réussissant à paralyser tout ou partie de leur activité. Les pirates ont ensuite demandé une rançon de 10 millions de dollars pour déchiffrer les fichiers. Cette dernière aurait ensuite été ramenée à un million de dollars avant d’être à nouveau augmentée à deux millions.
Les acteurs de la cybercriminalité recherchent des cibles ayant un impératif opérationnel, comme les systèmes de santé. Mais en France, les hôpitaux publics ne peuvent pas payer de rançon du fait de leur statut.
« C’est une obsession, tous les jours, de trouver de la place pour les malades ! »
D’autres attaques visent à récupérer des données nominatives pour les monnayer sur le darkweb. « Je vois assez peu l’intérêt de voler des données de patients français », note cependant Cyrille Politi, conseiller en numérique à la Fédération hospitalière de France (FHF), qui rappelle que les dossiers des hôpitaux publics ne comportent ni information bancaire ni mot de passe.
- À qui appartiennent les données qui sont désormais diffusées ?
Les données publiées vendredi par les hackers « semblent concerner nos usagers, notre personnel ainsi que nos partenaires », a annoncé ce dimanche le CHSF, dans un communiqué envoyé à l’AFP.
Parmi les données divulguées sur le site des cyberattaques figurent potentiellement « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données santé telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins », précise l’établissement.
« Les bases de données métiers du CHSF, parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines, n’ont pas été compromises », ajoute l’hôpital essonnien dans son communiqué. « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10 %) », détaille-t-il également.
Pourquoi l’hôpital est face à un « risque de cataclysme sanitaire »
Les hackers avaient fixé un ultimatum au 23 septembre à l’hôpital pour payer la rançon. Le délai expiré, ils ont diffusé une série de données. Selon le site spécialisé Zataz, les pirates Lockbit 3.0 ont diffusé ainsi plus de 11 GO de contenus sensibles.
- Quelle est la réaction du gouvernement ?
Pour lutter contre ce phénomène en expansion, l’Etat avait annoncé consacrer à la cybersécurité des établissements de santé une enveloppe de 25 millions d’euros dans le cadre des 136 millions consacrés à la cybersécurité des acteurs publics pour 2021 et 2022. Parallèlement, 135 hôpitaux ont été désignés « opérateurs de services essentiels », ce qui leur impose de respecter des règles de cybersécurité plus exigeantes que les institutions ordinaires.
Le ministre de la Santé, François Braun, et le ministre délégué chargé de la Transition numérique, Jean-Noël Barrot, en déplacement à Corbeilles-Essonne, ont annoncé le déblocage de 20 millions d’euros supplémentaires pour la protection des établissements de santé. « La santé des Français ne sera pas prise en otage », avait assuré le ministre de la Santé, cinq jours après l’attaque.
Début septembre, Bercy a décidé de mettre fin à une zone grise qui pouvait encourager la cybercriminalité : les assureurs peuvent désormais rembourser les rançons payées par leurs clients.
« Nos patients sont en danger ! » : l’alerte des soignants sur la situation de l’hôpital
Mais la lutte contre la cybercriminalité dépasse amplement le cadre des établissements de santé. Le « coût mondial de la cybercriminalité est évalué à 6 milliards de dollars par an », et les enquêtes sont « toujours très longues, peuvent durer plusieurs mois, voire plusieurs années » et nécessiter une importante coopération internationale, a indiqué à l’AFP le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend).
Quel est l’impact de ces attaques sur les hôpitaux ?
« Tout dépend du type d’attaque et si l’équipe informatique arrive à intervenir avant qu’elle ne touche le dossier patient, le cœur du système d’information », détaille Cyrille Politi. Si elle n’y parvient pas, la structure cible peut replonger dans l’ère pré-informatique, impactant et ralentissant toute la communication entre services, notamment les rendus d’examens biologiques ou d’imagerie.
À l’hôpital de Corbeil-Essonnes, la bonne marche de l’établissement a été largement entravée. Deux semaines après l’attaque, les activités des urgences adultes étaient diminuées de moitié. Environ 90 patients étaient accueillis par cet hôpital du sud-est de Paris par jour contre 230 en activité normale.
« L’hôpital public se meurt et tout le monde s’en fout ! »
Un an après avoir été attaqué en février 2021, l’hôpital de Dax, dont les hackers avaient réussi à bloquer même les fichiers sauvegardés, évaluait avoir dû débourser 174 000 euros pour reconstruire son réseau informatique, et au total 2,36 millions d’euros en comptant les prestations de cybersécurité, la sous-traitance, le coût RH et les pertes commerciales, selon un retour d’expérience publié par l’Agence nationale d’appui à la performance (Anap).
« Plus d’un an après, si le cyclone et la tempête sont derrière nous, il reste des stigmates forts, et le Centre hospitalier est loin de naviguer sur une mer d’huile », note l’établissement, cité par l’Anap. Certains logiciels, notamment de bloc opératoire ou d’échographie anténatale, ne sont toujours pas accessibles.
Par L’Obs. Septembre 2022.
Cyberattaques : quels risques pour les hôpitaux et leurs patients ?
Après l’hôpital de Corbeil-Essonnes, l’Ehpad de Beuzeville (Eure) a été victime d’une nouvelle cyberattaque. Ces actes, de plus en plus nombreux, ne sont pas sans danger pour les établissements de santé et leurs patients.
L’hôpital de Corbeil-Essonnes a subi une cyberattaque d’ampleur dans la nuit de samedi à dimanche.
Les cyberattaques sont loin d’être sans conséquences pour les établissements de santé et leurs patients. L’Ehpad de Beuzeville, dans l’Eure, est le dernier à en avoir fait les frais mercredi 24 août. Dans la nuit de samedi à dimanche précédent, c’est l’hôpital de Corbeil-Essonnes, dans le sud-est de Paris, qui voyait son activité fortement perturbée par une cyberattaque d’ampleur de type « rançongiciel ».
Au total, plus de 730 incidents cyber ont été recensés dans le secteur de la santé en 2021, plus du double de l’année précédente. Lorsqu’ils sont touchés par des cyberattaques, « les systèmes informatiques des hôpitaux sont complètement bloqués », explique Corinne Hénin, experte indépendante en cybersécurité. Et pour cause, « tout est informatisé aujourd’hui, du simple scanner aux prescriptions médicales », indique la spécialiste.
Retour au papier
L’attaque visant le réseau informatique du Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes a ainsi rendu inaccessibles « tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions de la patientèle », selon un communiqué de l’établissement.
Depuis, c’est retour au papier pour le personnel, contraint de traiter les dossiers manuellement. « Les infirmières, au lieu de saisir par informatique toutes les données des patients, doivent à nouveau remplir des pancartes », expliquait lundi Valérie Caudwell, présidente de la commission médicale du CHSF, sur France Info.
La fiabilité des traitements pénalisée
Touché par une cyberattaque similaire en février 2021, l’hôpital de Dax (Landes) avait dû reporter certaines opérations, faute d’accès aux dossiers de ses patients. Le CHU de Rouen, également victime d’une cyberattaque massive en novembre 2019, avait quant à lui dû traiter les admissions de ses patients à la main, ralentissant considérablement leur prise en charge.
« Un hôpital touché ne peut pas traiter ses patients de la même manière », résume Ingrid Söllner, directrice marketing chez Tehtris, entreprise spécialisée en cybersécurité, alors que les hôpitaux souffrent déjà de sous-effectifs. « Avec le retour au papier, la fiabilité des traitements est fortement pénalisée », estime-t-elle.
Le retour à la normale peut prendre du temps. Un an et demi après, l’hôpital de Dax en garde des « stigmates » selon Aline Gilet-Caubère, sa directrice adjointe. « Au-delà de l’impact sur le collectif qui se fait toujours ressentir, environ 2 % des applicatifs n’ont pas encore été remontés », indique-t-elle.
Les patients comme cibles potentielles
Lors d’une cyberattaque, les patients peuvent par ailleurs directement être pris pour cibles. « Un pirate peut décider de changer la lecture d’un électrocardiogramme et induire le personnel soignant en erreur », alerte Benoît Meulin, porte-parole de WithSecure, entreprise spécialisée dans la cybersécurité.
Les patients peuvent aussi faire l’objet de chantage. C’est ce qui est arrivé en octobre 2020 en Finlande. Des pirates ont dérobé les données de milliers de malades d’une société de psychothérapie, dont leurs discussions avec les médecins. Ils les ont ensuite fait chanter individuellement en menaçant d’en divulguer le contenu.
Un autre risque est l’usurpation d’identité. « Plus vous avez d’informations sur les patients, plus c’est facile d’usurper leur identité », explique Corinne Hénin. Enfin, « les données peuvent se retrouver en vente sur le darknet », ajoute Aroua Biri, experte en cybersécurité, « ce qui fait courir un risque à leur confidentialité ».
La cyberattaque la plus dramatique reste à ce jour celle qui a visé la clinique de Düsseldorf en septembre 2020. Une patiente qui devait y être opérée est morte lors de son transfert d’urgence vers l’hôpital de Wuppertal, à une trentaine de kilomètres.
Marius BOCQUET. Août 2022
Blog de Caroline Aubry 