Los Angeles, le jeudi 18 février 2016 – S’il paraît totalement opaque aux non initiés, le piratage informatique ne semble pas nécessiter des compétences techniques surdimensionnées. « Les pirates agissent comme un voleur de voitures sur un parking : ils essayent de toutes les forcer, jusqu’à réussir et partir avec l’une d’entre elles » explique au Figaro Gérôme Billois, expert cyber sécurité chez Solucom. Et pour forcer un système informatique, on peut se procurer des kits faciles à utiliser moyennant 10 000 à 20 000 dollars. La dépense peut être rapidement amortie car les pirates n’hésitent pas à exiger des rançons pharaoniques à leur victime. La semaine dernière, usant de la technique du "ransomware", soit l’introduction d’un virus informatique qui brouille les données d’un disque dur et qui peut contaminer l’ensemble d’un réseau, des pirates ont demandé 3,4 millions de dollars (payables en bitcoins, une monnaie virtuelle) à un hôpital de Los Angeles.
Retour au papier !
Pendant onze jours, le Hollywood Presbyterian Medical Center a été totalement paralysé par cette attaque. Plus de 900 patients ont dû être transférés dans d’autres établissements, en raison de l’impossibilité de réaliser certains examens dépendant de la connexion au réseau. L’accès aux données des patients était impossible et les infirmières et médecins ont dû revenir à l’écriture manuscrite. Après dix jours de blocage et une négociation avec les pirates toujours pas démasqués, la somme de la rançon a été ramenée à 17 000 dollars dont l’établissement s’est acquitté en attendant que l’enquête policière parvienne peut-être à interpeller les coupables.
Des hôpitaux informatisés à marche forcée mais pas toujours bien armés
Cette attaque spectaculaire, mais pas tout à fait sans précédent (de nombreuses entreprises en sont régulièrement victimes) vient rappeler combien l’histoire de l’informatisation et de la numérisation des établissements hospitaliers a été difficile, aux Etats-Unis. Les obstacles ont été nombreux et les alertes concernant les failles dans la sécurité des données confidentielles des patients se sont multipliées. Ces dysfonctionnements ont longtemps nourri les réticences des praticiens et des établissements hospitaliers pour refuser l’informatisation massive. Si le programme Health Information Technology for Economic and Clinical Health (HITECH) a changé la donne grâce à des incitations financières (aujourd’hui muées en pénalités !), les critiques demeurent. Cet exemple de la persistance de failles majeures dans la sécurité des systèmes informatiques des hôpitaux devrait sans doute les relancer.
Et en France ?
Les hôpitaux américains ne sont sans doute pas les seuls à être exposés aux menaces des pirates informatiques. Il y a trois ans une enquête réalisée par Actu Soins avait mis en évidence la facilité avec laquelle il était possible d’avoir accès à des données personnelles de santé hébergées sur les réseaux d’établissements hospitaliers. A l’époque, certains spécialistes avaient mis en garde contre l’inexpérience de certains responsables informatiques au sein des établissements de santé, ainsi que leur manque de moyens souvent dommageable. Pas sûr qu’aujourd’hui, ces limites aient été dépassées.
Aurélie Haroche
