Une vague d’attaques cybercriminelles contre les hôpitaux soulève une question vitale : sommes-nous armés pour faire face à la menace ?

Atlantico.fr : Qu’est ce qui se passe quand un hôpital subit une cyber attaque ? On parle de « rançongiciel », de quoi s’agit-il ?

Fabrice Epelboin : Le « rançongiciel » est l’AK-47 de la cyber délinquance. Cela consiste à infecter une machine ou un réseau de machines et à chiffrer les disques durs. Le rançongiciel rend vos données totalement indéchiffrables et va vous racketter pour vous donner une clé qui va vous permettre de déchiffrer votre disque dur et enfin avoir accès à vos informations. C’est vraiment un grand classique. Il n’y a même pas besoin d’avoir des compétences techniques pour utiliser ce genre de choses. Dans les différents problèmes que l’on peut avoir dans la cyber sécurité, c’est vraiment la chose qui peut toucher tout le monde, de l’expert comptable à la multinationale.

On va aussi avoir des demandes de rançons beaucoup plus modestes. Par exemple, pour celle de Wannacry en 2017, il y a eu une attaque sur pleins de disques durs à travers la planète, et cela avait paralysé une certaine quantité d’hôpitaux. A la base, on a un groupe inconnu, les Shadow Brokers qui ont dérobé tout un tas d’armements électroniques de la NSA. Puis, ils ont fait un story telling et ont distribué sur Internet. Ils ont intégré une faille informatique qui était dans le système de partage de Windows, et qui permettait d’envoyer un « rançongiciel ». Ils ont infecté une machine, ainsi que tout le réseau qui était connecté à cette machine. Et ils ont attaqué un nombre considérable de machines.  Ils ont paralysé une partie du système hospitalier anglais. 

Pourquoi viser des hôpitaux ? Car ils sont moins protégés que les grandes entreprises ?

Le secteur hospitalier n’est pas très bien protégé. Le problème de la protection est qu’il faut mieux la prévoir en amont plutôt qu’après coup. C’est beaucoup moins cher et beaucoup plus simple si vous prévoyez la sécurité de l’informatique avant un problème. La plupart du temps, tous les projets informatiques sont gérés d’un point de vue économique, mais ce n’est pas quelque chose qui se voit. Généralement, on ne fait pas l’investissement au départ. Les hôpitaux ont une surface d’attaque (un nombre d'endroits par lequel on peut les attaquer) qui est consisérable. Ce sont donc des grosses cibles. Et comme ils n’ont pas de gros moyens, ils ne sont pas assez sécurisés par rapport à d’autres entités. Le principal problème de la cyber sécurité, c’est que cela ne se voit pas quand on fait le chèque.

Est-ce que selon vous, c’est une menace que l’on prend assez au sérieux en France ?

Non, je ne pense pas suffisamment. Mais c’est une menace compliquée car vous ne pouvez pas aller voir votre responsable informatique en demandant de régler le problème. C'est d'abord un enjeu de formation? Il faut aussi faire apprendre à l’ensemble de ses salariés des règles de base de la sécurité informatique. Il y a une dimension de la cyber sécurité qui tient sur le plus petit maillon de la chaîne. Il n’y a pour l'heure aucun moyen pour former en masse des employés, surtout quand les personnes ne comprennent rien à l’informatique. Il ne faut pas transformer les gens en experts de la cyber sécurité, mais juste qu’ils sachent se méfier avant de cliquer sur un lien, qu’ils se posent les bonnes questions avant de télécharger des pièces jointes. Donc il y a une dimension de formation permanente, mais aussi de fossé culturel entre le monde du cyber et le reste du monde. 

Les responsables de la sécurité ne savent pas parler aux utilisateurs autrement qu’en leur imposant des contraintes pénibles. Les employés sont incapables de comprendre les contraintes de sécurité car on ne leur explique pas de façon intelligible. Donc cela crée une relation mauvaise. 

Pourtant, des systèmes de sécurité performants existent.

Oui, il y en a mais la faille est entre la chaise et le clavier. C’est Madame Michu. On peut doubler le budget de la sécurité informatique, mais elle ne pourra pas faire face à l'erreur de Madame Michu. La formation pour pallier cela demande des financements, sauf qu’on n’a pas encore inventé cette formation. Ce n’est pas très compliqué à expliquer, mais c’est du story telling. Il y a vraiment un dialogue entre le monde de la sécurité informatique et le monde de l’utilisateur qu’il faut complètement inventer.

Y a-t-il eu une prise de conscience ?

Depuis Wannacry en 2017, les pouvoirs publics sont conscients que c’est davantage un problème. Dans les hôpitaux, vous trouvez des équipes informatiques plutôt intelligentes et passionnées. Mais le problème, ce n’est pas eux, mais ceux qui utilisent des postes informatiques, ainsi que la faiblesse du budget.