Si la pandémie de Covid-19 a agi comme un révélateur de la valeur stratégique de notre système de santé, elle a également exposé une certaine fragilité concernant la menace cyber. Les systèmes d’information hospitaliers (SIH) sont devenus les cibles privilégiées d’une guerre hybride où se mêlent cybercriminalité et opérations de déstabilisation. En 2024, Le CERT Santé mettait en lumière les 749 incidents cyber à l’encontre des établissements de santé.
Une rentabilité criminelle supérieure à celle des données bancaires
La motivation première reste pécuniaire, alimentée par une économie souterraine florissante. Sur les marketplaces du dark web, un numéro de carte bancaire volé se négocie entre 5 et 110 $ selon les sources. Cela est dû au fait qu’elles sont facilement opposables, rendant leur durée de vie très courte.
À l’inverse, le dossier médical complet est une ressource pérenne. Il se vend entre 250 $ et 1 000 $ l’unité, selon les sources. Ces données permettent, entre autres, de commettre des fraudes à l’assurance et des usurpations d’identité indétectables sur le long terme. Le vol de ce type de données peut ainsi s’avérer vite très rentable, expliquant l’intérêt pour ces dernières.
L’espionnage lié aux activités de recherche
Au-delà du soin, les Centres Hospitaliers Universitaires sont des maillons critiques de l’innovation biomédicale. En effet, les dossiers administratifs ne sont pas les seuls actifs à protéger. Le patrimoine immatériel d’un centre hospitalier est bien plus large, on peut citer notamment les résultats d’essais cliniques, les bases de données génomiques ou encore les stocks de médicaments critiques. Ces données pourraient permettre d’obtenir une vision globale de la résilience sanitaire d’une nation. Ces campagnes sont souvent associées à des Modes Opératoires d’Attaque (MOA), réputés liés aux intérêts stratégiques d’États prédateurs. Dans une logique de guerre économique, le vol de ces données permet à des États concurrents ou des entités privées d’économiser des années de recherche et développement et des investissements importants.
Ces activités, bien que moins médiatisées, sont mises en perspective par un rapport de l’ANSSI centré sur le secteur de la santé. La crise sanitaire de la Covid-19 a permis d’observer une accentuation des activités d’espionnage associées à des MOA.
La déstabilisation des établissements de santé
Enfin, le dernier objectif potentiel des attaquants du secteur hospitalier est de déstabiliser les institutions que ces établissements représentent. L’agence de l’Union européenne pour la cybersécurité (ENISA) rapporte que ce type d’attaque émane notamment de divers groupes d’hacktivistes. Leur objectif est de défigurer des sites web ou de divulguer des informations avec une intention de nuire (méthode du hack-and-leak). Ces actions sont souvent reliées à des événements majeurs de l’actualité internationale. L’ANSSI affirme que ces dernières « peuvent également être menées par des opérateurs potentiellement soutenus par des États ». C’est notamment le cas du collectif pro-russe Killnet. Ils avaient revendiqué dès 2023 des attaques par déni de service (DDoS) contre les infrastructures de santé des pays de l’OTAN soutenant l’Ukraine, dans une logique de représailles géopolitiques.
L’objectif de ces attaques est de démontrer à la population que l’État (représenté par l’hôpital) est incapable de la protéger dans son moment de plus grande vulnérabilité : la maladie. C’est une opération de guerre hybride qui vise à éroder le contrat social et la confiance envers les institutions. La divulgation de données personnelles (pathologies, interruptions de grossesse, données psychiatriques) en est l’un des moyens principaux. L’exemple de la cyberattaque du Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes, en 2022, démontre parfaitement ce point.
Dans ce rapport de force asymétrique opposant des hôpitaux à des groupes soutenus par des États, cibler le système de santé adverse offre un ratio coût / bénéfice redoutable. Cela permet d’atteindre le cœur de la résilience sociétale et de tester les capacités de réaction de l’État cible. Les groupes criminels à l’origine des attaques permettent de rester sous le seuil du conflit armé, l’absence d’affiliation officielle avec des nations complique indéniablement l’attribution d’une attaque.
L’obsolescence du parc informatique hospitalier
Par ailleurs, les SIH comportent des vulnérabilités, comme tous les systèmes, qui multiplient les opportunités pour les criminels. Si les attaquants réussissent si bien, c’est parce qu’ils exploitent une surface d’attaque qu’un rapport de la Cour des Comptes qualifie de fragile « due à une complexité croissante ». Les SIH français souffrent d’une dette technique, résultat d’un sous-investissement (1,7 % du budget consacré au numérique, contre 9 % dans le secteur bancaire par exemple). Ce sous-investissement conduit à un parc informatique composé de systèmes obsolètes et difficiles à moderniser. Selon les sources, on estime que de 20 à 60 % des équipements (postes de travail, serveurs) fonctionnent sur des systèmes d’exploitation qui ne reçoivent plus de mises à jour de sécurité.
Une démultiplication des applications
Une autre des spécificités notables d’un SIH tient dans la démultiplication des applications. Là où une entreprise essaie de standardiser ses outils, un grand hôpital peut cumuler jusqu’à plus de 500 applications différentes. Cette hétérogénéité est souvent issue d’achats en silos par les différents services de l’hôpital. Elle complique largement la mise en œuvre d’une politique de sécurité des systèmes d’information (PSSI) applicable à l’ensemble du périmètre hospitalier. Cette fragmentation crée des zones d’ombre dans la défense. Une enquête Cloudflare met en lumière ce phénomène : 86% des experts interrogés lors de leur étude affirment que la «complexité [de leur SI] rend leur entreprise plus vulnérable aux attaques ».
Le problème de l’IoMT (Internet of Medical Things)
Cette infrastructure informatique vieillissante doit paradoxalement supporter l’ajout rapide de modernité : les objets médicaux connectés. Ces nouveaux outils utilisés par différents services de l’hôpital (scanners, pompes à insuline, moniteurs cardiaques connectés au réseau) contribuent assurément à une amélioration des soins prodigués aux patients. Néanmoins, ces appareils nouvelle génération n’intègrent que rarement le principe du security by design. Une fois un appareil compromis, il peut permettre un déplacement latéral vers les serveurs critiques, transformant un outil en vecteur d’attaque. À titre d’exemple, Deepstrike estime que plus d’un million de données permettant la compromission de ces appareils sont disponibles en ligne. Ce même rapport affirme qu’il existe en moyenne 6,2 vulnérabilités sur chacune des machines de ce type.
Une cartographie incomplète ?
Dans le domaine de la cybersécurité et de la sûreté, il est important de connaître l’intégralité de son exposition si l’on veut se défendre de manière efficace. Or, la complexité structurelle décrite en amont obère considérablement la capacité des équipes à maintenir une vision claire et à jour de leur patrimoine informatique.
Sans cartographie exhaustive, l’analyse des risques peut être faussée. Aujourd’hui, de nombreux hôpitaux ignorent l’étendue réelle de leur périmètre, incluant notamment le problème croissant du Shadow IT (l’ensemble des logiciels, matériels ou ressources informatiques utilisés sur un réseau d’entreprise sans l’approbation, la connaissance ou la supervision du service informatique).
Cette méconnaissance a des conséquences sur la continuité d’activité des hôpitaux. Les Plans de Continuité (PCA) et de Reprise d’Activité (PRA) sont ainsi susceptibles de reposer sur une cartographie incomplète. Il aura fallu par exemple 18 mois à un centre hospitalier des Yvelines attaqué pour reconstruire intégralement son SI.
Quelles réponses des acteurs face à la menace
Face à ce constat établi depuis le début des années 2020, la réponse s’est organisée au niveau national mais aussi de manière plus locale autour de trois principaux axes.
L’État a lancé en 2024 le programme CaRE, prévu sur 5 ans, qui est doté d’une enveloppe de 250 millions d’euros jusqu’en 2025 avec un objectif à 750 millions d’euros pour 2027. Il a pour vocation de combler le retard technique accumulé ces dernières années. La stratégie repose sur une mutualisation des moyens au sein des Groupements Hospitaliers de Territoire (GHT). L’objectif est de concentrer l’expertise cyber pour protéger l’ensemble des établissements d’un territoire.
Face à un réseau difficile à protéger, l’architecture Zero Trust s’impose comme solution recommandée par le ministère de la Santé et l’ANSSI. Il s’agit d’un principe qui suppose qu’aucune personne, appareil ou application n’est universellement fiable, que ce soit à l’intérieur ou à l’extérieur du réseau (une vérification continue est requise). Il implique de micro-segmenter le réseau pour isoler les actifs critiques. Si un attaquant pénètre via un appareil connecté, il doit rester bloqué dans ce segment, incapable d’atteindre le cœur du système ou de pivoter.
Enfin, la technologie ne suffira pas sans une hygiène numérique rigoureuse. Le facteur humain reste la porte d’entrée principale. La formation des personnels soignants, pour qui la cybersécurité est souvent vécue comme une entrave à l’urgence médicale, est un impératif absolu. La sécurité doit être pensée pour le soignant, et non contre lui.
Si la sécurisation et le nombre d’attaques des SIH ont largement évolué, il convient de ne pas céder à l’alarmisme. En effet, la hausse des signalements d’incidents peut également témoigner d’une prise de conscience accrue et d’une coopération renforcée entre les établissements de santé et l’ANSSI. Face aux menaces futures, qu’il s’agisse d’une utilisation offensive de l’IA ou de la rupture attendue par l’informatique quantique, la pérennisation de ces efforts est un impératif de sécurité nationale. L’efficacité durable du système de santé français passera inévitablement par sa résilience numérique.
Jean Baldeck
Pour aller plus loin :