Publicité en cours de chargement...
Hôpitaux attaqués : le sujet fait causer mais les avis divergent
Ayant récemment été cité pour la promotion d’un article dans Forbes [1] sur le réseau social LinkedIn par son auteur Frans Imbert-Vier, je me suis pris au jeu de comparer nos visions (divergentes) sur le sujet.
Le terme « hacker » pour commencer, est employé dans l’article (comme dans beaucoup d’autres) pour qualifier les personnes qui s’en prennent aux systèmes d’informations des hôpitaux. Je pense que ce mot pouvant qualifier une personne dont la démarche peut parfois être noble, sans intentions malveillantes en tout cas, est souvent employé à tort pour désigner des personnes que je qualifierais plus d’attaquants, de pirates, de cybercriminels ou plus vulgairement, pardonnez-moi l’expression, d’enfoirés.
Ensuite, je ne pense pas que des groupes cybercriminels se fassent beaucoup de publicité en s’en prenant à des hôpitaux. Nous savons tous que leur niveau maturité dans le domaine de la cybersécurité est encore assez bas, que les établissements de santé disposent de peu de moyens pour sécuriser leurs SI et qu’ils sont par conséquent, plutôt vulnérables.
Ces derniers temps, j’ai plutôt l’impression que ce sont les offreurs de solutions qui tentent de se faire de l’autopromotion avec les attaques vécues par les hôpitaux, à grands coups de « si le CH avait eu notre solution, il n’aurait pas été victime d’un rançongiciel... »
Au vu des informations rendues publiques concernant l’attaque du CH de Versailles [2], l’exemple me semble assez mal choisi pour le coup, je dirais même qu’il s’agit plutôt d’un contre exemple. L’attaquant a utilisé ici l’outil de chiffrement du groupe LockBit ayant fuité en septembre, mais aucune revendication n’a été faite par le groupe lui-même, et aucune information ne semble permettre d’attribuer cette attaque à un groupe connu. Se faire un « coup de pub » en conservant l’anonymat, me semblent être deux choses assez incompatibles.
À lire aussi : Le décret créant le répertoire « ROR » publié au Journal Officiel
En revanche un groupe tel que Lapsus$ qui arrive à exfiltrer les données d’un géant du réseau et de la sécurité tel que Cisco [3] ou encore les criminels derrière l’enseigne LockBit qui arrivent à compromettre le SI d’un groupe comme Continental [4] et publier plusieurs gigaoctets de données appartenant au groupe Thalès, en termes de publicité, on est « un cran au-dessus ».
Techniquement, ça me parait plus impressionnant d’arriver à compromettre le SI d’un grand groupe international qui dispose de moyens et de ressources « cyber » que tout le secteur de la santé en France ne pourra jamais réunir.
Je ne sais pas si l’attaquant ici « pense bien » lorsqu’il s’attaque à un hôpital français. Même si le SI est critique, je n’ai pas un seul exemple d’établissement publique français ayant payé une rançon qui me vient. Aux États-Unis oui, mais en France, je n’en vois pas.
Bon, je n'ai pas d'exemple de boulangerie non plus... en revanche d’entreprises de moins de 5 salariés qui ont payé, j’en ai quelques-uns en tête...
Si des solutions de sécurité peuvent permettre de limiter les dégâts, elles ne sont pas la réponse à tous les maux. La mode est à l’EDR, XDR ou MDR (LOL !) outils certes utiles, telle la roue de secours dans une voiture, mais le fait d’en disposer peut-il nous dispenser de changer nos 4 pneus lorsqu’ils sont usés ? Je pense qu’il faut disposer d’une roue de secours, d’airbags et de ceintures de sécurité, mais qu’il faut avant tout entretenir son SI comme sa voiture, changer les pneus, les disques et les plaquettes de freins lorsqu’ils sont usés pour éviter de rater le virage et de finir dans le fossé numérique.
Les hôpitaux sont des proies faciles, je suis d’accord, de là à dire que les attaquants sont paresseux, ça me semble un peu exagéré. Pour avoir lu et assisté à quelques restitutions d’incidents récents, opérés par des groupes tels que Lockbit, je peux vous assurer que si les administrateurs systèmes étaient aussi précautionneux que certains attaquants et cartographiaient aussi bien qu’eux leurs SI, il y aurait beaucoup moins de victimes de rançongiciels.
On se rejoint en tout cas sur l’idée de fond, la donnée de santé a une valeur importante (ce n’est pas moi qui dirait le contraire [5]) et nous devrions tous en prendre soin autant que de notre santé elle-même.
[1] https://www.forbes.fr/technologie/la-sante-de-nos-hopitaux-depend-aussi-de-leurs-donnees/
[5] /article/2670/les-donnees-de-nos-sih-auraient-finalement-un-prix.html
Avez-vous apprécié ce contenu ?
A lire également.

Exploitation illicite de la base de données CIOdm : EHTRACE condamnée
21 juil. 2025 - 10:41,
Communiqué
- PHASTle 1er juillet 2025. Dans une décision sans équivoque, le Tribunal de Commerce de Bordeaux a sanctionné avec fermeté le détournement des données de la société PHAST, dans le litige qui l’opposait à EHTRACE.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...