Entre 2022 et 2023, trente hôpitaux français ont fait l’objet d’une cyber-attaque par rançongiciel (chiffrage des données les rendant inutilisables), selon un «état de la menace informatique» sur le secteur de la santé publié jeudi par l’Anssi, le gardien de la sécurité informatique française. «En 2022 et 2023, l’Anssi a été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé», qui «représentent 10% des incidents liés à des rançongiciels signalés à l’Anssi sur cette période». En 2022, l’attaque contre le centre hospitalier sud-francilien à Corbeil-Essonnes avait notamment entrainé le transfert de nouveaux-nés du service de néonatologie dans un autre hôpital, et la paralysie d’automates d’analyse biologique. Onze giga-octets de données avaient été volées simultanément, puis été publiées en ligne par les pirates. Le directeur général de l’Anssi Vincent Strubel a estimé que les hôpitaux aujourd’hui parvenaient mieux à maitriser les conséquences de ces attaques. «Ce qu’on observe aujourd’hui, ce sont des hôpitaux qui réagissent vite et bien aux attaques et parviennent à empêcher la propagation d’une attaque à l’ensemble de l’informatique d’un hôpital», a-t-il indiqué. Les attaques «entraînent des gênes significatives pour le fonctionnement» des établissements «pendant quelques semaines», mais «on ne voit plus (…) de paralysie quasi complète de l’informatique», nécessitant «des mois» de travail pour rétablir un fonctionnement normal, explique-t-il. Pour autant, «les attaques continuent à engendrer de la gêne, il y a des vols de données, donc on ne peut pas se contenter» de la situation actuelle et il faut poursuivre les efforts pour améliorer la défense des hôpitaux, a-t-il estimé.
En 2024, deux hôpitaux ont été encore été victimes de cyber-attaques significatives, l’hôpital d’Armentières, en février 2024, et l’hôpital de Cannes, en avril 2024. Dans sa note, l’Anssi mentionne d’autres risques cyber pesant sur le secteur de la santé, et en particulier le risque lié aux dispositifs médicaux connectés. Elle rappelle ainsi qu’en septembre 2022, la société Medtronic «a rapporté une vulnérabilité affectant ses pompes à insuline», rappelle l’institution.
Cette vulnérabilité désormais corrigée pouvait notamment «permettre à un attaquant d’avoir un accès non autorisé à une pompe à insuline, et d’augmenter ou de baisser le dosage d’insuline administré», indique l’Anssi. En février 2024, les spécialistes français de la gestion du tiers payant Almerys et Viamedis ont également été victimes d’attaques informatiques «qui ont entrainé la fuite données personnelles de plus de 33 millions de personnes, soit près de la moitié de la population française», rappelle également l’Anssi.