5 min de lecture Connecté

Cybersécurité : 5 questions sur la cyberattaque de l'hôpital de Dax

ÉCLAIRAGE - L'hôpital de Dax est paralysé depuis mardi à cause d'une cyberattaque. Pour mieux comprendre ce qu'il s'est passé, RTL revient sur les faits en 5 questions.

Le CHU de Dax le 10 février 2021
Le CHU de Dax le 10 février 2021 Crédit : AFP
Coline Daclin Journaliste

Plus aucun ordinateur qui fonctionne, et des admissions limitées aux strictes urgences. Le Centre hospitalier de Dax, deuxième hôpital des Landes, a été la cible dans la nuit du lundi 8 au mardi 9 février d'une cyberattaque. Selon les sources interrogées par des médias locaux, il aurait été victime d'un "rançongiciel" (ou "ransomware").

Si le téléphone a pu être rétabli depuis, toute l'organisation de l'hôpital est perturbée. Le procureur de Dax, Rodolphe Jarry, parle d'ailleurs d'une "mise en danger manifeste et évidente pour la prise en charge des patients".

Une enquête est en cours, et a été confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Une cellule de crise doit également se réunir ce jeudi 11 février avec la direction de l'hôpital, l'Agence régionale de santé et l'ANSSI (l'Agence nationale pour la sécurité des systèmes d'information), pour assurer la permanence des soins et recréer la structure informatique.

1. Qu'est-ce qu'un rançongiciel ?

Le rançongiciel, ou ransomware, qui semble avoir été la technique employée dans cette attaque, consiste à implanter dans le réseau informatique de la cible (en l'occurrence l'hôpital) un logiciel qui va chiffrer toutes ses données, et donc les rendre inaccessibles

À lire aussi
arnaque
Télétravail : comment éviter les arnaques ?

"Le rançongiciel rentre par un point de vulnérabilité de l'entreprise", explique à RTL.fr Sylvie Jonas, avocate spécialisée en cybercriminalité. "Le plus fréquemment, c'est quelqu'un qui va cliquer sur une pièce jointe dans un mail, ou suivre un lien qui va permettre au virus (ou malware) d'entrer dans le système", poursuit-elle.

Dans ce type de cyberattaque, c'est d'abord le poste de travail qui est infecté, puis petit à petit, tout le système. "C'est un processus entièrement automatisé", explique Nicolas Arpagian, auteur de La Cybersécurité (Presses Universitaires de France) et enseignant à l'École de Guerre Économique. Le "virus" rend alors les données complètement illisibles, et les auteurs de l'attaque demandent une rançon pour obtenir une clé de déchiffrement de ces données. 

2. Quel risque pour les données de l'hôpital ?

Le pirate peut formuler plusieurs menaces : celle d'une destruction des données, mais aussi de les rendre publiques. "Le cyber-attaquant peut aspirer les données et les mettre en vente sur le dark web. C'est très difficile de savoir exactement ce qu'il a pu récupérer", détaille Sylvie Jonas. Selon Gérôme Billois, associé cybersécurité au cabinet Wavestone, ce type de menace serait "de plus en plus fréquent". "Dans le cas d'un hôpital, avec des données de santé, ce serait extrêmement grave", souligne-t-il.

Et même quand les données sont restituées, rien ne peut assurer qu'elles soient intactes. "Comme dans une prise d'otage, on peut très bien avoir des organisations qui touchent la rançon et tuent l'otage quand même", assure Nicolas Arpagian. Ce type d'attaque reste toutefois plutôt réservé aux organisations terroristes, ou qui cherchent à déstabiliser la cible, plutôt qu'à des attaques opportunistes. "Dans ces cas là, on a généralement une revendication, ce qui n'est pas le cas à Dax", poursuit l'enseignant.

3. L'hôpital peut-il payer la rançon ?

En France, l'Agence nationale de la sécurité des systèmes d'information déconseille de payer la rançon lors d'une cyberattaque. Non seulement le paiement ne garantit pas que les données soient intègres, mais en plus cela revient "à financer une économie criminelle", rappelle Nicolas Arpagian. 

En théorie, le fait de donner une rançon à un groupe de cyber-terroristes pourrait constituer en lui-même un acte de terrorisme au nom de l'article 421-2-2 du Code pénal. Mais pour cela, il faudrait prouver que le financement était intentionnel. "Or en matière de  rançongiciels, les cyber-attaquants sont rarement identifiés dès le départ. La démonstration de l’intentionnalité est donc difficile", précise Sylvie Jonas.

Dans le cas d'une entreprise privée, un dirigeant pourrait donc envisager de payer une rançon. "En pratique, ce sont les assureurs, avec des équipes spécialisées, qui s'en chargent", indique Gérôme Billois. Mais dans le cas d'un hôpital public, qui dépend donc de fonds publics, la manœuvre semble beaucoup plus compliquée. Nicolas Arpagian assure ainsi "ne pas avoir connaissance d'un cas où une institution publique aurait payée une rançon" à un hacker.

4. Pourquoi viser un hôpital ?

Fin 2019, le CHU de Rouen avait déjà été attaqué avec une même technique. Selon un rapport récent de l'ANSSI, les hôpitaux et autres entités du secteur santé représentent une des cibles privilégiées des attaquants par rançongiciel. Une tendance qui s'est "accrue en 2020, notamment dans le contexte de pandémie liée à la Covid-19", explique l'agence. 

"De manière générale, les cyberattaques augmentent énormément, car c'est très rentable dans le contexte actuel", assure Gérôme Billois. Mais dans le cas d'un hôpital, "il y a un sentiment d'urgence plus important, qui peut pousser à payer la rançon", poursuit-il.

On peut trouver de nombreuses explications au fait de vouloir cibler un hôpital. Ce pourrait par exemple être un acte de déstabilisation du pays, pour montrer les faiblesses de la protection de ses entités les plus précieuses. Mais pour le spécialiste de cybersécurité Nicolas Arpagian, il est plus probable qu'il s'agisse d'une attaque opportuniste.

"Les hôpitaux sont des acteurs économiques numérisés et interconnectés avec d'autres acteurs, comme n'importe quelle entreprise. En plus de cela, ce sont des organisations qui ont une gestion économe, et n'ont pas forcément les moyens dont peuvent disposer de grandes entreprises pour se protéger", développe-t-il. "L'hôpital de Dax été victime d'une attaque qui a certainement atteint d'autres entreprises, avec des systèmes similaires, et il ne s'agit probablement pas d'une attaque ciblée." 

Une hypothèse partagée par l'associé cybersécurité chez Wavestone Gérôme Billois, qui estime qu'une attaque visant à déstabiliser le pays aurait fait "plus de dégâts".

5. Pourquoi n'a-t-on pas encore trouvé le coupable ?

Comme toute enquête, une enquête sur une cyberattaque prend du temps. Les auteurs peuvent se trouver à différents endroits sur le globe, être "déconnectés humainement", explique Nicolas Arpagian. Les responsabilités peuvent aussi être multiples et les faits liés à d'autres fuites de données plus anciennes... 

"Il existe à Paris une section du parquet spécialisée dans la cybercriminalité, la section J3, et on peut mettre en œuvre des moyens au niveau international", explique l'avocate Sylvie Jonas. Mais il faut rester patient : résoudre ce type de dossier est l'affaire "de plusieurs mois, voire d'années", selon Gérôme Billois.

En attendant, l'hôpital de Dax va devoir examiner les données perdues et établir ce qui peut être récupéré. Ensuite, il sera de sa responsabilité de mieux protéger son système informatique, notamment en cloisonnant plus efficacement les différents services pour éviter qu'un virus ne se propage à nouveau de la sorte. 

La rédaction vous recommande
Lire la suite
Connecté Fil Futur Sécurité
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants