Guerre en Ukraine : le secteur de la santé en alerte face à d’éventuelles cyberattaques russes

Les établissements de santé doivent-ils craindre une cyberattaque venue de Russie ? Alors que les tensions internationales se tendent chaque jour un peu plus, plusieurs acteurs du monde économique redoutent un scénario où les intérêts français seraient pris pour cible. “Il faut aller dans certains cas jusqu’à imprimer, pour avoir une trace écrite dans un tiroir, les choses qui sont vraiment très importantes”, a notamment recommandé aux entreprises Stéphane Boujnah, président du directoire d’Euronext. Les établissements de santé ne font pas exception. Dans un Message d’alerte rapide sanitaire (Mars) envoyé aux acteurs publics de la santé dès le 24 février 2022, date de l’entrée des troupes russes en Ukraine, le Secrétaire général des ministères sociaux a relayé le message d’alerte diffusé par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

L’alerte de l’Anssi

“Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’Anssi suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations”, note l’Agence, qui liste dans un guide publié le 26 février les “mesures cyber préventives prioritaires”.

En cas d’incident ou d’activité suspecte, l’Anssi recommande également de contacter le CERT-FR, via un email et un numéro disponibles 7j/7, 24h/24. Cette note a été envoyée “pour action” aux établissements hospitaliers et aux établissements médico-sociaux, et “pour information” à la DGOS, la DGCS, les ARS, l’ANSM et à l’Agence nationale de santé publique.

Les mesures prises par les acteurs de santé

Au CH d’Arles, déjà victime d’une attaque en août 2021, les consignes ont été rapidement passées. Un mail générique de sensibilisation a été envoyé auprès de la communauté hospitalière. Les équipes techniques ont également vérifié les mises à jour du système d’exploitation via Windows Server Update Services (WSUS), qui permet de distribuer les mises à jour pour Windows et d’autres applications Microsoft sur les différents ordinateurs fonctionnant sous Windows au sein d’un parc informatique, et que les antivirus sont bien diffusés sur l’ensemble du parc. Le Centre opérationnel de sécurité (Security operations center – SOC) est passé en mode “prévention”, avec notamment l’autorisation donnée au prestataire de couper en préventif tout équipement suspect sans attendre la confirmation du CH). Enfin, l’équipe informatique a été placée en alerte, “avec une sensibilisation accrue de l’astreinte”. Par ailleurs, l’établissement support du GHT auquel appartient le CH d’Arles, et qui regroupe 13 établissements, partage les différentes alertes et indicateurs de compromissions (IoC) reçus par son réseau (comme par exemple des signatures ou des pays à bloquer sur le pare-feu). “Malgré tout cela, nous avons conscience que nous ne saurons faire face en cas d’attaque ciblée et que le plan d’actions SSI élaboré à l’issue de la cyberattaque subie en août 2021 est loin d’être achevé. Nous comptons dans tous les cas sur la capacité à animer un PCA (plan de continuité d’activité, ndlr) en cas d’incident”, confie à mind Health le directeur adjoint du CH d’Arles, Rodrigue Alexander.

Du côté de l’Assistance Publique – Hôpitaux de Marseille (AP-HM), Michèle Rubirola, Président du Conseil de Surveillance, François Crémieux, Directeur général, et le PR Jean-Luc Jouve, président de la commission médical d’établissement, ont adressé vendredi aux professionnels de l’AP-HM un message interne évoquant le risque cyber. “Nous allons devoir renforcer notre protection contre le risque de cyber attaques. Des mesures de renfort de sécurité informatique vont être mises en œuvre et constitueront sans aucun doute quelques désagréments que nous vous demandons par avance d’accepter”, ont-ils expliqué dans un long message de soutien au peuple ukrainien.

Sollicités par mind Health, l’AP-HP et les laboratoires Pierre Fabre, Servier et Sanofi (qui a des activités en Ukraine et en Russie) n’ont pas souhaité répondre.

À quels types de menaces s’attendre ?

Si la menace est prise autant au sérieux, c’est aussi parce que les groupes de hackers pro-russes ou affiliés à l’Etat russe sont soupçonnés de plusieurs attaques d’envergure, particulièrement sophistiquées. La plus célèbre, NotPetya, consistait en un logiciel malveillant de type “wiper”, capable d’effacer les données. En 2017, elle avait notamment paralysé l’entreprise Saint-Gobain en 2017, et immobilisé de longues semaines la société de transport et de logistique maritime Maersck en 2019. Alors que les analystes ont aujourd’hui les yeux rivés sur HermeticWiper, un virus informatique détecté en France, après s’être attaqué aux administrations ukrainiennes, faut-il craindre des cyberattaques russes ces prochaines semaines ? “Le risque cyber était déjà important avant, avec une pression importante sur le secteur hospitalier, note Jean-Noël de Galzain, président de la société de logiciels de sécurité Wallix, mais il est plus fort aujourd’hui car toute crise offre aux acteurs malveillants l’opportunité de profiter d’un système sous pression. Or, les hôpitaux sont sous tension depuis la pandémie de Covid et ont été particulièrement touchés par des attaques l’an passé.”

Pour le spécialiste contacté par mind Health, qui craint des attaques massives par déni de service (DDoS), des vols de mots de passe ou le développement de nouveaux rançongiciels et malwares, les établissements multisites et protéiformes dans leur architecture informatique sont particulièrement vulnérables. Autant dire les GHT, qui regroupent différents établissements et brassent de nombreux prestataires. Tous les acteurs sont néanmoins concernés, comme le rappelle Clément Domingo, co-fondateur de Hackers sans frontières. “Si toute ou partie de votre activité se déroule en ligne -téléconsultation, e-commerce, service autre- et que votre site est rendu inaccessible, c’est votre chiffre d’affaires qui va être amputé.” Le chercheur en sécurité, qui suit de près l’évolution de la cyberguerre en cours à travers la surveillance de certaines IP, a vu ces derniers jours une hausse de l’activité malveillante, notamment “à chaque prise de parole d’Emmanuel Macron.” “Lors de son discours du 24 février, nous avons observé avec d’autres chercheurs un pic, avec une activité multipliée par 8!”

Comment se protéger ?

Dans l’immédiat, les experts recommandent aux établissements de santé d’agir en priorité sur 5 points-clés :

• Sécuriser ses accès avec une authentification forte
• Mettre en place une gestion des identités au global (internes, externes et temporaires). “Il faut considérer que tous les utilisateurs sont à risque et doivent être identifiés, avec des droits d’accès définis et bien répertoriés”, insiste Jean-Noël de Galzain.
• Avoir un outil de supervision
• Réaliser des sauvegardes
• Sensibiliser ses collaborateurs via des exercices d’entraînement anti-phishing

“Dans une période où le risque est démultiplié, il faut se concentrer sur sa cyber-résilience et ses points névralgiques : accès, messagerie, authentification des utilisateurs, sauvegarde, PCA, sensibilisation souligne le spécialiste. Et passer à un modèle ‘zero trust architecture’ avec une gestion des droits d’accès resserrés et un contrôle des usages informatiques propre à chaque organisation ou chaque DSI d’entreprise.” Et restez vigilant. “Il faut penser avec sa tête et pas avec son coeur, insiste Clément Domingo, donc se méfier de tout message lu ou reçu sur les réseaux sociaux, via sa boîte mail ou par SMS.”