Prise d’otage numérique à l’hôpital

03/03/2016, publié par Stevy Matton
Prise d’otage numérique à l’hôpital - Paroles d'expert

Dans un précédent post, j’évoquais en quoi les données de santé revêtent un caractère spécifique, voire intime avec leur propriétaire et doivent être protégées comme telles, dans un environnement où les actes de piratage, notamment de type ransomware, tendent à se multiplier.

Le cas récent de l’Hollywood Presbyterian Medical Center (HPMC), une clinique de 400 lits située en Californie, illustre la “créativité” des pirates informatiques dans leurs modes opératoires. L’hôpital a dû payer le 14 février dernier une rançon de 40 Bitcoins, soit un peu plus de 17 000 dollars afin de débloquer son système d’information. Mais la demande de rançon ne portait pas sur la non-divulgation et la restitution des données volées : les pirates avaient tout simplement paralysé le système d’information et de communication électronique de l’hôpital.

Les impacts de ce blocage s’imaginent aisément : ralentissement des services, redirection de centaines de patients vers d’autres établissements, parcours de soin impacté, risque sur les données personnelles et médicales, perte de la traçabilité des soins… voire en cas d’urgence mise en danger de la vie de patients. L’hôpital a donc rapidement engagé les négociations (la demande de rançon s’élevait à 3,4 millions de dollars !) et le système a été libéré au bout de 10 jours de véritable calvaire.

Le ransomware, arme de prise d’otage numérique

L’origine de l’intrusion a été identifiée : la clinique faisait l’objet d’une attaque par un malware, un logiciel malveillant, particulier : le ransomware (rançongiciel en Français).

Son fonctionnement est redoutable : lorsqu’il infecte une machine (client ou serveur), il en chiffre le contenu pour priver l’utilisateur de ses données et empêcher le partage des communications électroniques. Une fois le système chiffré, seul le pirate possède la clé permettant d’avoir accès aux données et ne la remet que contre rançon, ici en bitcoins.

À la différence d’un rapt de données, il s’agit ici d’une véritable situation de prise d’otage.

Faut-il payer ?

Qu’auriez-vous fait à la place de Mr Stefanek, PDG du HPMC ? Céder ou résister au chantage ?

Les experts et sites dédiés en sécurité et criminalité informatique sont formels : il ne faut jamais payer la rançon réclamée. En payant, le système de rançonnage est alimenté, encouragé et perdure.

D’accord, mais s’il faut avoir les moyens de payer une rançon, il les faut encore plus pour ne pas payer. Et cela se prépare en amont, bien avant l’attaque.

La meilleure parade à une attaque de ransomware consiste en une restauration du système à partir de la dernière sauvegarde. Les fichiers encryptés sont remplacés par des fichiers sauvegardés non cryptés et accessibles. Il faut pour cela :

  • réaliser des sauvegardes très fréquentes (a minima quotidiennes) ;
  • conserver les sauvegardes hors réseau pour pouvoir les récupérer en cas d’infection ;
  • tester et valider les procédures de restauration (au moins deux fois par an).

Cette opération a en plus le mérite de “nettoyer” le système de potentiels virus additionnels qui auraient pu être introduits lors de l’attaque.

Gageons qu’une telle opération n’était pas dans les moyens du HPMC, qui, au regard des enjeux et complications médicales potentielles, a sans doute choisi la solution la moins risquée pour la santé de ses patients.