Des secteurs critiques très régulièrement pilonnés par les demandes de rançon

#Sécurité 16/01/2023

Avec une trentaine d’attaques chaque semaine, l’hôpital est une cible privilégiée. Mais l’énergie, les télécoms et les transports sont aussi dans le collimateur des pirates.

Ce 21 août 2022, le centre hospitalier sud francilien, à Corbeil-Essonnes, est touché par une cyberattaque qui paralyse tous les systèmes d’information et les logiciels métiers de l’établissement : du gestionnaire d’admission de la patientèle aux bases de stockage d’imagerie médicale. Le montant initial de la demande de rançon sera de 10 millions de dollars (somme équivalente en euros), puis elle passera à 1 million et enfin à 2 millions de dollars. Elle ne sera pas payée.

Une attaque de plus pour un secteur de la santé, depuis deux ans littéralement pilonné par les pirates. Les chiffres du CERT Santé, structure publique qui intervient principalement sur les incidents d’origine malveillante visant les établissements sanitaires ou médico-sociaux, sont éloquents. En 2021, 582 établissements ont déclaré 733 incidents, soit pratiquement le double par rapport à 2020. En 2021, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a pour sa part recensé une trentaine d’attaques par semaine sur les infrastructures de la chaîne hospitalière. Plus de la moitié des incidents sont résolus ou en cours de résolution par la structure avant leur déclaration. La majorité (65 %) des incidents de sécurité est déclarée par les établissements. Cependant, cette part baisse avec une nette augmentation des déclarations issues des établissements et services médico-sociaux (25 % au lieu de 8 % en 2020).

Les Jeux olympiques de 2024,
objet de toutes les attentions

L’hôpital est la cible privilégiée des attaquants, et pour cause : un établissement de santé utilise en moyenne environ 200 applications différentes, dont la majorité communiquent entre elles. Outre la nuisance générée sur les capacités opérationnelles d’un hôpital, une cyberattaque peut viser les données de santé stockées dans l’établissement. Celles-ci se revendent à prix d’or sur des marchés parallèles et illégaux. Le prix des données de santé est en effet plus élevé que celui des données bancaires, un dossier médical pouvant être revendu jusqu’à 300 euros.

Les grands services publics sous surveillance

Si la santé figure, selon l’Anssi, parmi les secteurs les plus touchés par les activités criminelles, c’est bien parce qu’il abrite une activité des plus sensibles aux yeux de la société. À ce titre, d’autres secteurs critiques, dont la paralysie impacterait le fonctionnement des services publics, sont très nettement placés dans le viseur des attaquants : collectivités territoriales, énergie, télécommunications et transports, en particulier. On imagine aisément les perturbations que peuvent causer une immixtion dans le système de signalisation lumineuse d’une commune (feux rouges, panneaux d’information numériques…). On imagine mieux encore le danger d’une intrusion dans un circuit d’approvisionnement d’eau. Début 2021, un hackeur a réussi à augmenter la teneur en soude caustique de l’eau potable de la ville d’Oldsmar, en Floride. Grâce à la rapidité d’intervention d’un technicien, l’eau infectée n’a pas accédé au système de distribution, épargnant la population d’un empoisonnement massif.

Les grands rendez-vous publics sont aussi au centre de toutes les attentions. Avec, on s’en doute, un niveau de surveillance particulièrement élevé du côté de l’événement à portée mondiale que sont les Jeux olympiques de 2024. D’une édition à l’autre des JO, le nombre d’incidents déclarés est multiplié par neuf.