Cyberattaque à l’hôpital de Dax : « Il faut un dispositif pour protéger notre système de santé »

L’hôpital de Dax (Landes) a été la cible d’une attaque informatique contraignant à mettre ses services partiellement à l’arrêt. « C’est inouï, on se rend compte du niveau de vulnérabilité incroyable du fait de l’informatique en réseau », rapporte le sénateur des Landes, Éric Kerrouche, qui s’est rendu auprès des soignants ce vendredi.

« Ils fonctionnent sur un mode terriblement dégradé. Tous les agendas sont électroniques donc les médecins reçoivent les patients au compte-gouttes, sans savoir qui vient, sans avoir leur historique », décrit le sénateur. « La stérilisation des blocs opératoires dépend en partie de l’informatique », ajoute-t-il pour illustrer les difficultés auxquelles est confronté le centre hospitalier après l’attaque.

« Les données n’ont pas été volées, elles sont toujours sur nos serveurs, mais elles sont cryptées et donc ne sont plus accessibles », explique quant à elle la directrice adjointe de l’hôpital Aline Gilet-Caubere, à Sud Ouest. Les auteurs de l’attaque ont réclamé une rançon au grand dam du maire de Dax qui a naturellement condamné ces agissements.

« L’hôpital de Dax était pourtant à jour en matière de sécurité, mais ces attaques sont de plus en plus élaborées », assure Éric Kerrouche. Les équipes de l’Agence nationale de la sécurité des systèmes d’information (Anssi) sont toujours sur place pour investiguer et le parquet de Paris a également été saisi. Interrogé par Le Monde, ce dernier indique que l’attaque a « mis à plat les systèmes informatiques et le téléphone de l’hôpital, avec une mise en danger manifeste et évidente pour la prise en charge des patients ».

« Ce gouvernement et le système de santé, les ARS, n’étaient préparés ni contre le virus covid-19, ni contre le virus informatique. »

« C’est une attaque odieuse mais ce n’est pas une première », souligne le sénateur de l’Oise, Jérôme Bascher. « Ce gouvernement et le système de santé, les ARS, n’étaient préparés ni contre le virus covid-19, ni contre le virus informatique. C’est une faute politique », lâche-t-il. Pour Jérôme Bascher, il est urgent de mettre en place « un dispositif pour protéger l’ensemble de notre système de santé ».

En novembre 2019, le CHU de Rouen avait, lui aussi, été la cible d’une cyberattaque mettant à plat le système informatique. Les hackers avaient, là aussi, introduit un rançongiciel rendant inaccessibles les données et les systèmes informatiques avant que soit réclamée une rançon pour les débloquer. En décembre dernier, ce sont les hôpitaux de Narbonne (Aude) et d’Albertville-Moûtiers (Savoie) qui ont été touchés par ce type de virus.

Lors des questions au gouvernement, mercredi, le sénateur du Loiret, Hugues Saury, a justement interpellé le gouvernement à ce sujet. « Si fort heureusement la santé des patients n’a pas été mise en péril (lors des précédentes attaques), à l’avenir des cybercriminels plus malveillants encore, pourraient tout à fait modifier des données d’analyses médicales ou des dosages, bloquer le fonctionnement d’appareils médicaux ou chirurgicaux conduisant à des conséquences dramatiques pour les patients hospitalisés », alertait-il (voir la vidéo ci-dessous).

En face, la ministre déléguée auprès du ministre de l’Economie assurait que « le sujet était pris très au sérieux ». « Nous allons annoncer la semaine prochaine une feuille de route sur notre stratégie cyber qui sera financée de manière très importante par le PIA4 (quatrième programme d’investissements d’avenir) », déclarait Agnès Pannier-Runacher. Le volet résilience et souveraineté économique, doté de 2,6 milliards d’euros, devrait abonder le budget propre à la cybersécurité.

Auteur d’un rapport parlementaire sur la sécurité informatique des pouvoirs publics, Jérôme Bascher déplore, au-delà même des hôpitaux, « un défaut de surveillance et de connaissance très répandues. Il y a un défaut de culture sur la sécurité informatique ». Il le rappelle, lors de l’audition du directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), ce dernier estimait que « dans un budget informatique, il faut que 10 % soient consacrés à la sécurité ». Ce qui n’est a priori pas le cas aujourd’hui.

Le directeur général de l’Anssi avait aussi livré une information surprenante aux sénateurs : « Les grands groupes criminels ont fait un communiqué de presse, au début de la crise sanitaire, pour dire que, temporairement, ils suspendaient les attaques contre les hôpitaux […] et de fait ils s’y sont tenus. » Un engagement qui n’a visiblement tenu qu’un temps.

Les enjeux de protection informatique enflent à mesure que les attaques augmentent. Selon le groupement d’intérêt public Cybermalveillance, plus de 159 collectivités ont été touchées en 2020, contre 103 en 2019. Les attaques traitées par l’Anssi ont, elles, été multipliées par trois ou quatre en l’espace d’un an. Si les budgets alloués à l’Anssi sont en hausse cette année, Éric Kerrouche estime qu’il « faut faire un état des lieux et passer à la vitesse supérieure », surtout pour les secteurs les plus à risque.