Pourquoi les attaques informatiques contre les hôpitaux en France se multiplient-elles ?

Hôpital André Mignot à Versailles le 3 décembre, Hôpital Ile-de-France au sud de Corbeil-Essonnes fin août, Hôpitaux de Dax et Villefranche en février 2021… Les infrastructures hospitalières attirent la convoitise des “hackers”. “, ce qui signifie que les pirates informatiques peuvent pénétrer dans les systèmes informatiques et mieux les paralyser de l’intérieur. Et exiger une rançon en échange de leur déverrouillage.

Les hôpitaux sont considérés comme plus vulnérables depuis la pandémie

Depuis l’ère du Covid, ce phénomène a nettement augmentétémoigne Marianne Cyrille Politi, consultant pour la transition numérique de la Fédération hospitalière française. Aujourd’hui, nous avons des groupes de pirates qui attaquent les établissements de santé de manière sélectionnée et préparée.. “si bientôt” de grandes structures sont conçues “, a déclaré l’expert, les petites entreprises ont souffert pendant la pandémie.

Avant cette période, nous avons eu des institutions qui ont été victimes d’attaques de cybersécurité, mais elles n’étaient pas dirigées contre un hôpital. L’intention des hackers n’était pas la même “, – souligne l’expert. Alors pourquoi une telle attaque contre les hôpitaux depuis la crise sanitaire ?” Les groupes de pirates pensaient que les institutions étaient vulnérables « A cause du Covid, analyse Cyrille Politi. Pour la motivation, appât à but lucratif “.

A LIRE AUSSI : Hameçonnage, rançongiciel et vol de données bancaires : cyberattaques, nouvelle épidémie de coronavirus

Paradoxal dans un pays où le système de santé est public. ” Aux États-Unis, où les soins de santé sont une entreprise, de telles attaques sont devenues courantes. Mais en général les groupes de hackers ne sont pas français et ne connaissent pas notre système, ils s’en fichent. La santé représente une part importante de notre PIB [226,7 milliards d’euros en 2021, soit 9,1 % du PIB, selon la Direction de la recherche, des études, de l’évaluation et des statistiques (Drees), N.D.L.R.] mais, en réalité, il y a une petite marge, car 80% de l’argent est déjà alloué pour financer le personnel et les opérations ou pour payer les médicaments. “, poursuit l’expert.

Lire Aussi :  «Diane de Poitiers» sur France 2 : une ode à Adjani qui sonne creux

La valeur marchande des données est difficile à estimer

A ce jour, le montant de la rançon réclamée par le groupe de hackers responsable de l’attaque, peut-être la même que celle de l’attaque du centre hospitalier de Corbeil-Essonnes, le groupe russe Lockbit 3.0, qui réclamait 10 millions de dollars, n’est pas connu. Début septembre, la question du paiement a troublé la sphère politique lorsqu’un rapport du ministère de l’Économie demandant le paiement par l’assurance a fuité dans la presse. À condition que les entreprises touchées par les attentats déposent plainte dans les 48 heures suivant le calcul de Rs. Cette disposition est incluse dans le projet de loi du ministère de l’intérieur sur la direction et la programmation, qui est actuellement à l’examen au parlement.

Cyrille Politi confirme, mais jusqu’à présent la position des hôpitaux » était de refuser de payer ». C’était le choix du centre de Corbeil-Essonnes. Le 23 septembre dernier, date que les hackers de l’hôpital fixaient pour le paiement du « darkweb » – une sorte de marché noir sur Internet – d’informations confidentielles sur des patients, des salariés et partenaires de l’hôpital a été diffusé au journal télévisé. Aujourd’hui, il y a un débat autour de la valeur marchande des informations de santé volées, que nous n’aurions jamais pu prévoir. », explique l’expert, soulignant que « beaucoup d’entre eux existent déjà » à tous les candidats : « Honnêtement, je ne sais pas ce qu’un hacker russe pourrait faire avec un carnet de santé. – dit Kirill Politi. Cependant, il note que cette donnée est un levier couramment utilisé dans ce type d’attaque : ” Lorsque les pirates pénètrent dans un système, il n’est pas toujours possible de savoir exactement ce qu’ils ont fait. Il ne peut être exclu qu’ils aient volé les informations. La confiance ne viendra que lorsqu’ils seront diffusés plus tard.

Lire Aussi :  L'Etat planche sur l'avenir du Stade de France au-delà de 2025

À LIRE AUSSI : Le vol de données, cette méthode pour extorquer les hôpitaux français aux États-Unis

Si ce phénomène est encore méconnu en Europe, la cybermenace s’est propagée aux États-Unis depuis plus de deux décennies. Les attentats du 11 septembre 2001 en sont la cause. ” Nous avons vécu cette évolution grâce au contrôle dans les aéroports. Mais ce n’était pas que ça. Un ensemble de lois sur la sécurité a été adopté “, notamment, pour prévenir les incidents cyber, étaye encore l’expert. Désormais, les établissements de santé sont obligés de signaler toute faille de sécurité – entraînant une amende – même un médecin qui a perdu un disque dur contenant des informations médicales. : ” La réputation compte pour ces institutions parce que les soins de santé sont une entreprise dans ce pays. Les Américains aussi, culturellement, ont une foi très forte dans la technologie et y ont dépensé beaucoup d’argent. »

L’Europe s’attaque au problème

Mais, précise Cyril Politi, la dimension humaine ne doit pas être négligée dans le développement de la cybersécurité. S’assurer que la sécurité informatique, comme les logiciels externes utilisés par les hôpitaux, est conforme aux normes” Pas toujours “, Mais aussi ” former le personnel hospitalier à la bonne hygiène informatique :CE N’EST PASN’ouvrez pas le mauvais e-mail, n’emportez pas de clé USB chez vous pour l’utiliser au travail, n’écrivez pas votre mot de passe dans votre e-mail personnel, ne les changez pas régulièrement et ne les multipliez pas compliqué.s’enregistre comme Ce sont des gestes simples, mais il est important de rappeler qu’il est presque nécessaire de les apprendre aux jeunes à l’école, car la cybersécurité concerne tout le monde et n’importe qui peut être fautif. »

A LIRE AUSSI: La solution controversée du gouvernement face à l’explosion des cyberattaques

Depuis 2016, l’Union européenne tente également de se saisir de ce sujet. La directive NIS (Network and Information Security), votée cette année et votée en France en 2018, oblige les États membres à désigner les institutions et organisations critiques sur leur territoire où les normes de cybersécurité doivent être renforcées. Parmi eux figurent des centres de santé, ainsi que des fournisseurs et distributeurs d’eau potable, des entreprises liées à l’énergie (électricité, pétrole, gaz), des infrastructures numériques ou encore des réseaux de transport, détaille le bureau d’audit de RSM France. ” Après les attentats de début 2021, le gouvernement a désigné 135 établissements de santé comme critiques au nom de cette directive. – rappelle l’expert.

Cet été, le Parlement européen a adopté une nouvelle directive visant à élargir les institutions concernées, NIS 2, qui étend l’obligation de sécurité à 150 000 entreprises et organisations européennes – 15 000 aujourd’hui -. Galerie. Il s’agit notamment de sous-traitants et de prestataires de services disposant d’infrastructures critiques, mais aussi de collectivités locales. être établit” partage transnational des incidents de cybersécurité améliorer la coopération entre les États membres, NIS 2, ” Ils ont voté à la quasi-unanimité, les débats dans la première version étaient plus difficiles Selon Kirill Politi, cela montre l’importance accordée par l’UE désormais protéger données de chaque citoyen “et en tenant compte des risques” cyberattaques étrangères “. De plus, avec l’observation ” nous entrons aujourd’hui dans une nouvelle forme de menace “.

Source

Leave a Reply

Your email address will not be published.

Articles Liés

Back to top button