Les hôpitaux sont devenus des cibles privilégiées des cybercriminels. Le RHNe a lancé le 23 septembre une nouvelle campagne de formation obligatoire contre l’hameçonnage informatique, sous la direction de Frédéric Gaudun, responsable sécurité des services d’information (RSSI) au CIGES. Il nous explique pourquoi la vigilance de chacun-e est essentielle et comment mieux se préparer face à ce risque grandissant.

- Qu’est-ce qui rend les hôpitaux particulièrement vulnérables aux cyberattaques ?
- Frédéric Gaudun: Un hôpital est un environnement compliqué en matière de sécurité. Nous disposons de plus de 500 applications et de centaines d’équipements médicaux connectés. Tous ces logiciels et équipements doivent être maintenus à jour. Il existe également des contraintes fortes liées à la certification des équipements médicaux, ce qui limite la capacité de mise à jour rapide alors que des failles informatiques sont identifiées tous les jours. De plus, l’hôpital est un environnement ouvert, avec une rotation de personnel importante, ce qui affaiblit les capacités de formation. Nous avons une bonne défense périphérique, mais nous avons un périmètre défensif très étendu à couvrir, alors qu’un pirate n’a besoin que d’une seule faille ou d’une compromission par un utilisateur pour pénétrer le périmètre. Cette situation est commune à tous les hôpitaux et organismes médicaux.

- En quoi les exercices obligatoires pour le personnel sont-ils importants et que nous apprennent les résultats des années précédentes ?
- La formation du personnel permet de réduire de manière significative le risque lié au phishing. Les exercices obligatoires permettent à un employé de détecter les mécanismes d’attaque utilisés par les pirates informatiques. C’est un mécanisme défensif qui fonctionne et qui a déjà fait ses preuves. 
Ces dernières années nous avons noté une influence positive lors des exercices de phishing, bien que le dernier exercice ait présenté de moins bons résultats. Malgré l’obligation, la participation reste faible au sein du RHNe, notamment dans les équipes de soins. On peut également établir une corrélation entre le manque de participation et les personnes qui se font piéger par les exercices de phishing. Dans ce contexte, on peut dire qu'un seul clic sur un mail de phishing est déjà un clic de trop, car il permet à un pirate d’acquérir un accès au réseau interne.

- Que peut-il se passer concrètement si un-e pirate réussit son attaque ?
- Le but d’un pirate est d’obtenir un accès au réseau. C’est pour cela qu’il essaie d’obtenir les accès des utilisateurs pour pouvoir pénétrer le réseau. Une fois cette pénétration effectuée, il va chercher à effectuer ce que l’on appelle une « translation » dans le réseau, c’est-à-dire prendre le contrôle de nouvelles zones sans se faire détecter. Une fois qu’il a atteint les zones stratégiques du réseau informatique, il va effectuer plusieurs actions :

•    consolider ses positions et essayer de rester le plus furtif possible
•    exfiltrer les données sensibles pour pouvoir les revendre et éventuellement faire chanter certains patients, potentiellement des patients VIP
•    mettre en place des procédures pour verrouiller tout le réseau informatique et pousser la victime du piratage à payer une rançon
 
Il faut comprendre ici que nous faisons face à des adversaires qui sont des organisations criminelles, générant des centaines de milliards de dollars de chiffre d’affaires.
L’éditeur de sécurité Sophos donne les chiffres suivants pour les revenus des pirates : le chiffre d’affaires estimé pour 2024 est de 10'000 milliards de dollars pour toutes les activités des cybercriminels dans le monde. Le chiffre d’affaires lié au cryptologiciel est de 250 milliards de dollars toujours pour 2024.
L’avantage pour les cybercriminels, c’est qu’ils ne craignent pas grand-chose, car ils opèrent dans des pays qui ne pratiquent pas les extraditions et ne poursuivent pas les cybercriminels qui opèrent dans d’autres pays. On peut également parler ici de la cybercriminalité effectuée par des pays sous embargo comme la Corée du Nord qui se financent en devises grâce à des cyberattaques. Nous faisons donc face à des criminels motivés par des gains importants et par le faible risque qu’ils prennent.

- Avez-vous un exemple qui illustre les conséquences d’une cyberattaque sur un hôpital ?
- Je vous propose les articles suivants, qui sont assez éclairants: un article qui décrit les risques au niveau de l’hôpital en cas de ransomware et un autre sur le piratage d'un établissement de santé du Val-de-Marne qui explique les impacts liés aux pertes de données. Dans ce contexte, il faut comprendre que l’infrastructure informatique de l’hôpital est bloquée : plus de prise de rendez-vous, plus de suivi patient, une complexité pour le traitement des patients en soins intensifs et en chirurgie. On ne peut pas non plus prendre de nouveaux patients aux urgences et la situation va se dégrader dans le temps et nécessiter une évacuation des patients vers d’autres hôpitaux.
Au niveau suisse, je vous conseille la lecture de cet article du 24 heures sur l’attaque de Vidymed en fin d’année dernière, ainsi que ce reportage de la RTS.

Infos sur la campagne 2025 de formations obligatoires contre l’hameçonnage informatique ici.