Renforcer les hôpitaux et les collectivités locales face à la menace des ransomwares

Les exemples d'établissements de soins attaqués par des ransomwares ne cessent de se multiplier en France ces dernières semaines

Le centre hospitalier d’Oloron-Sainte-Marie tout récemment, ceux de Dax-Côte d’Argent ou de Villefranche-sur-Saône courant février, de Narbonne ou d’Albertville-Moûtiers en décembre 2020, etc., les exemples d’établissements de soins attaqués par des ransomwares ne cessent de se multiplier en France ces dernières semaines. Profitant lâchement d’un contexte sanitaire en grande tension et de la nécessité forcément plus importante encore d’assurer une continuité d’activité dans les soins, les pirates informatiques appuient sans scrupules là où ça fait le plus mal. Sauf que pour des établissements de santé où tout est informatisé aujourd’hui, des admissions aux prescriptions en passant par les analyses ou les comptes rendus, une tournure dramatique peut vite en découler. A l’instar notamment du premier cas avéré, en septembre 2020, d’une patiente décédée à l’hôpital universitaire de Düsseldorf à cause d’un ransomware ayant provoqué un blocage brutal du système informatique.

Un constat national alarmant et un besoin urgent de changer de paradigme

Acteur étatique clé dans la lutte contre la cybercriminalité, l’Anssi (l’Agence nationale pour la sécurité des systèmes d’informations) relève dans sa dernière étude une augmentation de 255% des signalements de ransomwares auprès de ses services entre 2019 et 2020. Au-delà d’une dynamique inquiétante, ce chiffre sans précédent place les établissements de santé, l’industrie et les collectivités locales, comme les secteurs d’activités les plus touchés. Là encore, la preuve de la malignité de hackers ciblant d’abord des institutions plus fragilisées par les circonstances actuelles avec un chômage partiel accru, un déploiement plus accéléré et généralisé du télétravail sans  forcément des outils assez solides pour y répondre, ou bien encore une perte de confiance potentielle des clients.

Autant d’éléments qui ouvrent plus grand la porte aux escroqueries cyber les plus retorses. Et celles-ci le sont assurément lorsque l’on sait que, selon une étude récente de la société américaine FireEye, 76% des cyber-attaques ont lieu en dehors des heures de travail, la nuit ou le week-end surtout, et donc à un moment où la plupart des structures n’ont a priori pas leurs équipes informatiques sur place. Des collectivités locales comme Angers et Angers Loire Métropole en janvier dernier, ou bien encore un peu plus loin pendant les fêtes de fin d’année les villes d’Annecy ou de la Rochelle, figurent comme nombre hôpitaux parmi la longue liste des organisations publiques impactées à de tels moments.

Pourtant, malgré tous ces risques encourus, et selon une étude du Clusif (Club de la sécurité de l’information français) datée de juin 2020 et conduite auprès d’un échantillon représentatif de quelques 202 collectivités territoriales, 75% d’entre elles reconnaissent encore aujourd’hui ne pas disposer de plan de gestion de crise solide pour faire face à la menace des ransomwares. Un paradoxe alors que 30% d'entre elles ont encore connu récemment de telles attaques. Bref, que ce soit au niveau des collectivités locales ou des établissements de santé, il y a aujourd’hui urgence à changer de paradigme en matière de protection des données.

Sensibilisation, formation et accompagnement technologique sur mesure : le trio gagnant

Au-delà du déploiement de solutions de protection et de migration des données plus solides et adaptées au sein des institutions publiques, agir efficacement face aux ransomwares passe d’abord par une sensibilisation et une formation des personnels aux bonnes pratiques. Edité depuis novembre 2020 à destination des collectivités locales, un guide de l’Anssi indique ainsi toute une série de recommandations et de conseils pour mieux détecter et se protéger contre les ransomwares. Quant aux établissements de santé, une stratégie nationale de lutte contre la cybercriminalité a d’ores et déjà été actée par le gouvernement fin février, avec une enveloppe budgétaire de 350 millions d’euros qui seront dédiés principalement à des objectifs d’audit et de formation afin de renforcer les infrastructures informatiques des centres hospitaliers.

Quel que soit le secteur d’activité concerné, les solutions mises en place doivent finalement passer par l’adoption d’une double perspective pour les structures menacées. Soit d’un côté la fin de cette approche traditionnelle de la cyber-sécurité visant à simplement « barricader » les systèmes informatiques, mais aussi de l’autre l’acceptation permanente d’une possible fuite des données ou de la menace d’un arrêt de la production. Pour être pleinement efficaces, parade et capacité de rebond doivent donc aller de pair dans une démarche cyber-résiliente proactive, automatisée et intégrée à la grande diversité des environnements de travail. Destinée aussi bien à protéger qu’à détecter, à répondre qu’à récupérer, la cyber-résilience pourra ainsi offrir une continuité d’activité permanente grâce à des capacités de réaction et de récupération des données les plus rapides possibles.

Pour garantir cette quiétude d’exécution, le plan de sauvegarde et de récupération des données mis en place doit encore suivre bien sûr quelques règles essentielles. Tout d’abord, pour chaque snapshot (« photo » instantanée des données), plusieurs copies locales et distantes doivent être créées, ainsi qu’une copie « déconnectée » c’est-à-dire inaccessible à un hacker même talentueux. Ensuite, ce plan doit également intégrer des systèmes d’intelligence artificielle capables d’apprendre du comportement classique d’une donnée, de ses modifications tout au long de son cycle de vie quel que soit l’environnement de travail utilisé. Ainsi, lorsqu’une hausse subite d’activité est enregistrée dans les espaces de stockage – comme classiquement lors d’une tentative de ransomware – la vitesse d’intervention et la capacité d’adaptation peuvent s’en voir renforcées.