Hôpitaux attaqués : le sujet fait causer mais les avis divergent

Ayant récemment été cité pour la promotion d’un article dans Forbes [1] sur le réseau social LinkedIn par son auteur Frans Imbert-Vier, je me suis pris au jeu de comparer nos visions (divergentes) sur le sujet.

Le terme « hacker » pour commencer, est employé dans l’article (comme dans beaucoup d’autres) pour qualifier les personnes qui s’en prennent aux systèmes d’informations des hôpitaux. Je pense que ce mot pouvant qualifier une personne dont la démarche peut parfois être noble, sans intentions malveillantes en tout cas, est souvent employé à tort pour désigner des personnes que je qualifierais plus d’attaquants, de pirates, de cybercriminels ou plus vulgairement, pardonnez-moi l’expression, d’enfoirés.

Ensuite, je ne pense pas que des groupes cybercriminels se fassent beaucoup de publicité en s’en prenant à des hôpitaux. Nous savons tous que leur niveau maturité dans le domaine de la cybersécurité est encore assez bas, que les établissements de santé disposent de peu de moyens pour sécuriser leurs SI et qu’ils sont par conséquent, plutôt vulnérables.

Ces derniers temps, j’ai plutôt l’impression que ce sont les offreurs de solutions qui tentent de se faire de l’autopromotion avec les attaques vécues par les hôpitaux, à grands coups de « si le CH avait eu notre solution, il n’aurait pas été victime d’un rançongiciel... »

Au vu des informations rendues publiques concernant l’attaque du CH de Versailles [2], l’exemple me semble assez mal choisi pour le coup, je dirais même qu’il s’agit plutôt d’un contre exemple. L’attaquant a utilisé ici l’outil de chiffrement du groupe LockBit ayant fuité en septembre, mais aucune revendication n’a été faite par le groupe lui-même, et aucune information ne semble permettre d’attribuer cette attaque à un groupe connu. Se faire un « coup de pub » en conservant l’anonymat, me semblent être deux choses assez incompatibles.

À lire aussi : Le décret créant le répertoire « ROR » publié au Journal Officiel

En revanche un groupe tel que Lapsus$ qui arrive à exfiltrer les données d’un géant du réseau et de la sécurité tel que Cisco [3] ou encore les criminels derrière l’enseigne LockBit qui arrivent à compromettre le SI d’un groupe comme Continental [4] et publier plusieurs gigaoctets de données appartenant au groupe Thalès, en termes de publicité, on est « un cran au-dessus ».

Techniquement, ça me parait plus impressionnant d’arriver à compromettre le SI d’un grand groupe international qui dispose de moyens et de ressources « cyber » que tout le secteur de la santé en France ne pourra jamais réunir.

Je ne sais pas si l’attaquant ici « pense bien » lorsqu’il s’attaque à un hôpital français. Même si le SI est critique, je n’ai pas un seul exemple d’établissement publique français ayant payé une rançon qui me vient. Aux États-Unis oui, mais en France, je n’en vois pas.

Bon, je n'ai pas d'exemple de boulangerie non plus... en revanche d’entreprises de moins de 5 salariés qui ont payé, j’en ai quelques-uns en tête...

Si des solutions de sécurité peuvent permettre de limiter les dégâts, elles ne sont pas la réponse à tous les maux. La mode est à l’EDR, XDR ou MDR (LOL !) outils certes utiles, telle la roue de secours dans une voiture, mais le fait d’en disposer peut-il nous dispenser de changer nos 4 pneus lorsqu’ils sont usés ? Je pense qu’il faut disposer d’une roue de secours, d’airbags et de ceintures de sécurité, mais qu’il faut avant tout entretenir son SI comme sa voiture, changer les pneus, les disques et les plaquettes de freins lorsqu’ils sont usés pour éviter de rater le virage et de finir dans le fossé numérique.

Les hôpitaux sont des proies faciles, je suis d’accord, de là à dire que les attaquants sont paresseux, ça me semble un peu exagéré. Pour avoir lu et assisté à quelques restitutions d’incidents récents, opérés par des groupes tels que Lockbit, je peux vous assurer que si les administrateurs systèmes étaient aussi précautionneux que certains attaquants et cartographiaient aussi bien qu’eux leurs SI, il y aurait beaucoup moins de victimes de rançongiciels.

On se rejoint en tout cas sur l’idée de fond, la donnée de santé a une valeur importante (ce n’est pas moi qui dirait le contraire [5]) et nous devrions tous en prendre soin autant que de notre santé elle-même.

[1] https://www.forbes.fr/technologie/la-sante-de-nos-hopitaux-depend-aussi-de-leurs-donnees/ 

[2] https://www.lemagit.fr/actualites/252528032/Cyberattaque-au-centre-hospitalier-de-Versailles-la-piste-dun-usurpateur-de-LockBit

[3] https://www.forbes.com/sites/daveywinder/2022/08/13/cisco-hacked-ransomware-gang-claims-it-has-28gb-of-data/ 

[4] https://www.bleepingcomputer.com/news/security/lockbit-ransomware-claims-attack-on-continental-automotive-giant/ 

[5] /article/2670/les-donnees-de-nos-sih-auraient-finalement-un-prix.html