Les rançongiciels et les cyberattaques dans le secteur de la santé : une menace mondiale qui ne peut être ignorée

Selon une enquête mondiale réalisée en 2021, plus d’un tiers des établissements de santé ayant répondu ont signalé au moins une attaque par rançongiciel au cours de l’année précédente, et un tiers d’entre eux ont déclaré avoir payé une rançon.

Les attaques par rançongiciel sont une forme de cyberattaque dans laquelle un acteur malveillant « prend le contrôle » ou « verrouille » des fichiers d’un ordinateur ou d’un réseau entier, et exige un paiement afin de rendre l’accès.

Ces attaques ont pris de l’ampleur et sont devenues de plus en plus sophistiquées au fil des années et leur coût se chiffre désormais en dizaines de milliards chaque année.

La réunion du Conseil de sécurité de vendredi a été demandée par la France, le Japon, Malte, la République de Corée, la Slovénie, le Royaume-Uni (président pour le mois de novembre) et les États-Unis.

Question de vie ou de mort

Le Directeur général de l’OMS, Tedros Adhanom Ghebreyesus, a souligné les graves conséquences des cyberattaques sur les hôpitaux et les services de santé, appelant à une action mondiale urgente et collective pour faire face à cette crise croissante.

« Les rançongiciel et autres cyberattaques visant les hôpitaux et autres établissements de santé ne sont pas seulement des questions de sécurité et de confidentialité, elles peuvent être des questions de vie ou de mort », a déclaré le chef de l’OMS.

« Dans le meilleur des cas, ces attaques provoquent des perturbations et des pertes financières. Dans le pire des cas, elles sapent la confiance dans les systèmes de santé dont les gens dépendent, et peuvent même causer des dommages aux patients, voire leur décès ».

La transformation numérique des soins de santé, associée à la grande valeur des données de santé, a fait du secteur une cible de choix pour les cybercriminels, a poursuivi M. Tedros, citant les exemples de l’attaque par rançongiciel en 2020 contre l’hôpital universitaire de Brno en République tchèque et d’une violation en mai 2021 de l’Exécutif irlandais des services de santé (HSE).

Les cyberattaques ont également dépassé le cadre des hôpitaux pour perturber la chaîne d’approvisionnement biomédicale au sens large.

Au cours de la pandémie, des vulnérabilités ont été révélées dans des entreprises fabriquant des vaccins COVID-19, des fournisseurs de logiciels d’essais cliniques et des laboratoires.

Autre réalité préoccupante, même lorsque des rançons sont versées, l’accès aux données cryptées n’est pas garanti, a signalé Dr Tedros.

La réponse de l’ONU

En réponse, l’OMS et d’autres organismes des Nations Unies s’emploient activement à soutenir les nations, en leur fournissant une assistance technique, des normes et des lignes directrices pour renforcer la résilience des infrastructures de santé face aux attaques.

En janvier, l’OMS a publié deux rapports clés en collaboration avec INTERPOL et l’Office des Nations Unies contre la drogue et le crime (ONUDC) afin de renforcer la cybersécurité et de lutter contre la désinformation.

L’agence des Nations Unies pour la santé prépare également de nouvelles orientations sur la cybersécurité et la protection de la vie privée, qui devraient être publiées l’année prochaine.

M. Tedros a souligné l’importance d’une approche globale, appelant les pays à investir non seulement dans les technologies de pointe pour détecter et atténuer les cyberattaques, mais aussi dans la formation et l’équipement du personnel pour répondre à de tels incidents.

« L’homme est à la fois le maillon faible et le maillon fort de la cybersécurité[…] c’est l’homme qui commet les attaques par rançongiciel, et c’est l’homme qui peut les arrêter ».

La coopération internationale est essentielle

Il a conclu par un appel à la coopération internationale, exhortant le Conseil de sécurité à utiliser son mandat pour renforcer la cybersécurité mondiale et assurer la responsabilisation.

« Tout comme les virus, les cyberattaques ne respectent pas les frontières. La coopération internationale est donc essentielle », a-t-il déclaré.

« Tout comme vous avez utilisé votre mandat pour adopter des résolutions et des décisions sur des questions de sécurité physique, nous vous demandons d’envisager d’utiliser ce même mandat pour renforcer la cybersécurité mondiale et la responsabilité », a-t-il exhorté les membres du Conseil de sécurité.

Des bouleversements dans le monde réel

Eduardo Conrado, président d’Ascension Healthcare, un fournisseur de soins de santé à but non lucratif basé aux États-Unis, a fait part de ses observations de première main sur les dures réalités des attaques par rançongiciel.

Il a décrit la cyberattaque contre Ascension en mai 2024, qui a gravement perturbé les activités de ses 120 hôpitaux.

L’attaque a crypté des milliers de systèmes informatiques, rendant les dossiers médicaux électroniques inaccessibles et affectant les principaux services de diagnostic, notamment l’imagerie par résonance magnétique (IRM) et la tomodensitométrie (TDM).

M. Conrado a illustré les problèmes pratiques qui se sont posés.

« Les équipes d’imagerie n’ont pas pu envoyer rapidement les derniers images aux chirurgiens qui attendaient dans les salles d’opération, et nous avons dû faire appel à des coursiers pour remettre des copies imprimées des scanners à nos équipes chirurgicales.

Ces perturbations ont non seulement retardé les soins, mais elles ont aussi augmenté les risques pour les patients et imposé une charge extraordinaire au personnel médical, déjà confronté à des conditions de stress élevé.

Le rétablissement des opérations a pris 37 jours, pendant lesquels l’arriéré de dossiers papier a atteint l’équivalent d’un kilomètre de haut, a-t-il dit, ajoutant que financièrement, Ascension a dépensé environ 130 millions de dollars pour sa réponse à l’attaque et a perdu environ 0,9 milliard de dollars de revenus d’exploitation à la fin de l’année fiscale 2024.

Discussions au sein du Conseil

Les ambassadeurs présents au Conseil de sécurité ont exprimé leur inquiétude croissante quant à l’impact de ces cyberattaques sur les établissements et les services de santé, en particulier dans les pays en développement qui ne disposent pas des capacités de réaction adéquates.

Anne Neuberger, la Coordinatrice de la politique de sécurité nationale des États-Unis en matière de cybertechnologies et de technologies émergentes, a souligné l’ampleur des menaces liées aux rançongiciels dans le secteur de la santé, citant plus de 1.500 incidents dans son pays rien qu’en 2023, pour un montant de 1,1 milliard de dollars en paiements.

Elle a prévenu que les attaques se poursuivront et que les auteurs de ces actes prospéreront « tant que des rançons seront versées et que les criminels pourront échapper à la capture, notamment en s’enfuyant à travers les frontières ».

Elle a ajouté que la communauté internationale peut éradiquer collectivement ce fléau en agissant de concert, en respectant un ensemble de principes communs, en refusant de payer les gangs criminels et en s’entraidant pour appréhender les cybercriminels qui pensent pouvoir déjouer notre système.

L’ambassadeur Jay Dharmadhikari, représentant adjoint de la France, a également souligné l’augmentation des attaques de rançongiciel dans son pays, tout en appelant à l’adhésion aux normes internationales et en exhortant les États à empêcher l’utilisation de leur territoire pour des activités cybernétiques malveillantes.

« Les réunions telles que celle d’aujourd’hui permettent au Conseil [de sécurité] de se tenir informé de l’évolution du paysage des cybermenaces. La France est prête à continuer à travailler pour améliorer la compréhension des défis cybernétiques au sein de ce Conseil », a-t-il déclaré.

Elle a également affirmé que certains États, notamment la Russie, continuent de permettre aux auteurs de rançongiciels d’opérer depuis leur territoire en toute impunité, et a exhorté les nations à ne pas suivre cette pratique en protégeant les cybercriminels internationaux et à agir plutôt de manière responsable dans le cyberespace afin de préserver la paix et la sécurité internationales.

L’ambassadeur de Russie, Vassily Nebenzia, a déclaré que son pays était fréquemment victime de cyberattaques dans le domaine de la santé, soulignant son engagement de longue date en faveur de la sécurité des technologies de l’information et de la communication (TIC).

Il s’est interrogé sur le bien-fondé de l’inscription des attaques par rançongiciel à l’ordre du jour de l’actuelle réunion du Conseil de sécurité, étant donné que d’autres discussions sont en cours sur le thème de la cybersécurité, telles que la Convention contre la cybercriminalité.

Appelant à une entrée en vigueur rapide de la Convention, il a également exhorté les membres du Conseil à envisager l’adoption de protocoles supplémentaires, notamment sur la protection des infrastructures critiques, y compris les établissements de soins de santé, contre l’utilisation malveillante des technologies de l’information et de la communication (TIC).

Il a déclaré que les discussions concernant les pirates informatiques russes qui auraient été impliqués dans certaines attaques étaient « quelque chose qui semble être devenu une anecdote maintenant parce que n’importe quelle personne sensée pourrait simplement rejeter cela ».

L’ambassadeur et représentant permanent adjoint de la Chine, Geng Shuang, a souligné la nécessité de stratégies globales et coopératives au niveau mondial pour lutter contre les rançongiciels et les cybermenaces plus générales, en soulignant les défis « complexes et diversifiés » auxquels la Chine est confrontée en matière de cybersécurité.

Il a déclaré que les cyberattaques, la cybercriminalité et le cyberterrorisme, y compris les rançongiciels, deviennent de plus en plus des menaces mondiales et que la question des rançongiciels est hautement spécialisée et technique.

Il a fait valoir que la Chine n’était pas favorable à la « précipitation » des membres du Conseil de sécurité qui ont mis la question à l’ordre du jour et qu’elle espérait que toutes les parties pourraient s’engager dans une discussion plus spécialisée, plus pratique et plus approfondie au sein d’un forum plus approprié ».