Le secteur de la santé n’est pas épargné par la menace grandissante des cyberattaques. En Loire-Atlantique, un groupe d’établissements médicaux en a fait la douloureuse expérience en octobre 2024, lorsque ses systèmes informatiques ont été paralysés par des pirates. Une attaque qui a perturbé le fonctionnement de plusieurs cliniques et conduit à l’arrestation d’un ex-responsable de la sécurité informatique du groupe.
Une Cyberattaque Perturbe Plusieurs Établissements
Entre le 2 et le 4 octobre 2024, les cliniques du groupe Hospi Grand Ouest (HGO) en Loire-Atlantique ont été la cible d’une cyberattaque d’envergure. Les pirates informatiques ont saturé les réseaux par une attaque de déni de service (DDoS) avant de les bloquer avec un rançongiciel. Plusieurs établissements ont été touchés, dont la clinique nantaise Jules Verne, celle de La Sagesse à Rennes et de l’Estuaire à Saint-Nazaire.
L’attaque a significativement perturbé le fonctionnement des cliniques. Certaines opérations ont dû être décalées et le personnel soignant a été contraint de revenir temporairement au support papier pour assurer la continuité des soins. Une situation stressante pour les patients et les équipes médicales.
Une Rançon de 650 000 Dollars Exigée
Les hackers n’ont pas agi gratuitement. Ils ont exigé une rançon de près de 650 000 dollars, envoyant leur demande par des mails en anglais et en russe. Conformément aux recommandations des autorités en matière de cybersécurité, le groupe HGO a refusé de payer. Heureusement, aucune donnée personnelle de patients n’aurait été compromise lors de l’attaque selon le groupe.
L’Ex-Responsable de la Sécurité Arrêté
Deux mois après les faits, un suspect a été interpellé à Rennes le 17 décembre par les gendarmes spécialisés dans la cybercriminalité. Il s’agit d’un homme de 26 ans qui n’est autre que l’ancien responsable de la sécurité des systèmes d’information (RSSI) du groupe Hospi Grand Ouest. Embauché en juillet, il venait de démissionner début octobre, peu avant l’attaque. Les enquêteurs l’ont confondu grâce à des indices techniques comme son adresse IP.
Placé sous contrôle judiciaire, il sera jugé le 6 février 2025 pour « suppression et extraction de données » et « entrave à un système de traitement automatisé de données ». Il risque jusqu’à 5 ans de prison et 150 000 euros d’amende.
La Cybersécurité, un Enjeu Vital pour les Hôpitaux
Cette attaque met en lumière la vulnérabilité du secteur de la santé face aux cybermenaces. Les hôpitaux et cliniques sont des cibles de choix pour les pirates en raison de la sensibilité des données qu’ils détiennent et de budgets souvent limités alloués à la sécurité informatique. Pourtant, une cyberattaque peut avoir des conséquences dramatiques dans le domaine médical en perturbant la prise en charge des patients.
La transformation digitale du système de santé doit s’accompagner d’une sécurisation renforcée des infrastructures et d’une sensibilisation de tous les acteurs.
Jacques Lorne, expert en cybersécurité
Face à ce risque, les établissements de santé doivent impérativement renforcer leur cybersécurité :
- En formant et sensibilisant les équipes aux bonnes pratiques
- En mettant en place des solutions techniques de protection des systèmes et des données
- En réalisant régulièrement des audits de sécurité et des tests d’intrusion
- En se dotant de plans de continuité d’activité en cas d’attaque
Le facteur humain reste essentiel. Dans le cas d’Hospi Grand Ouest, c’est un ancien salarié qui serait à l’origine de l’attaque, rappelant l’importance de bien gérer les accès et les départs de collaborateurs sensibles.
Les pouvoirs publics ont également un rôle à jouer pour accompagner la montée en compétences cyber du secteur de la santé, fixer des exigences et allouer les moyens nécessaires. La récente nomination d’un délégué ministériel à la cybersécurité en santé va dans ce sens.
Car au-delà de cet établissement, c’est tout le système de santé français qui doit renforcer sa résilience numérique pour continuer à soigner en toutes circonstances. En 2023, 17 hôpitaux ont été touchés par des attaques informatiques selon l’ANSSI. Un chiffre qui pourrait malheureusement augmenter si une prise de conscience collective n’a pas lieu.
Dans un monde de plus en plus digital, la protection des systèmes d’information en santé devient un enjeu de santé publique. Hôpitaux, médecins, éditeurs de logiciels, patients : la cybersécurité est l’affaire de tous pour garantir la continuité et la qualité des soins à l’heure du numérique.
