Vivalia : “On est dans un très bon momentum pour les cyberattaquants”

Le groupe hospitalier Vivalia a été victime d’une cyberattaque d’ampleur le week-end dernier. Faut-il s’inquiéter de ces attaques répétées dans nos hôpitaux ? Quelles en sont les conséquences ? Réponse avec Axel Legay, spécialiste en cybercriminalité à l’UCLouvain et coordinateur de la coupole CyberWal (Cyber Security for Wallonia).

Comment expliquer ces attaques répétées dans les hôpitaux ?

Un puissant phénomène de digitalisation est en cours dans nos services publics et dans nos hôpitaux en particulier. Il s’est accéléré avec le Covid. Ces services se digitalisent, s’équipent de plus en plus en matériel informatique. Résultat : la surface d’attaque, c’est-à-dire la possibilité de trouver des failles dans leur système est de plus en plus grande et de plus en plus visible. À côté de cela, l’industrie souterraine du hacking, dans le Darkweb, s’organise de mieux en mieux. Ces deux paramètres mis ensemble font que ces entreprises sont exposées beaucoup plus qu’avant aux cyberattaques.

Les difficultés viennent aussi du fait que dans les hôpitaux, de vieux systèmes doivent être mis en réseau. Certaines parties sont alors moins sécurisées que d’autres lors de cette transition importante. On demande à certaines entreprises de transitionner jusqu’à 65% de leur job en cybersécurité. Le souci, c’est que cette importante transition en cours dans les hôpitaux n’est pas toujours accompagnée de moyens suffisants. Une même personne se retrouve à devoir gérer plus de matériel, à devoir acquérir plus de compétences, à devoir réagir en cas d’attaques, à répondre à plus de questions de son personnel. Un être humain normal ne peut pas faire cela seul. Il faut donc augmenter les équipes en même temps qu’on augmente la digitalisation. Tout cela a évidemment un coût, il faut accepter de passer par des prestataires de services. La difficulté, c’est d’apprendre à travailler ensemble dans une entreprise qui est en train de complètement se reconfigurer.

Quel est le but de ce type d’attaque informatique ?

Les objectifs des pirates sont multiples : s’amuser, désorganiser les services publics, ou encore pour des raisons éthiques. Ça a été beaucoup le cas dernièrement dans le secteur médical aux Etats-Unis. Les pirates avaient trouvé des failles dans les pompes à morphine et les pacemakers. Comme les constructeurs ne réagissaient pas, les hackers ont attaqué pour dire qu’il était temps de les écouter.

Derrière se cache aussi un immense business sur le darkweb où l’on vend des compétences, des données,… c’est une économie souterraine de plusieurs milliards de dollars. Les data volées peuvent être revendues à des firmes pharmaceutiques intéressées de connaitre les pathologies des patients d’une région spécifique pour leur proposer des traitements ciblés. Parfois, c’est simplement pour se faire de l’argent via une rançon. On peut aussi faire face à du chantage avec les données usurpées des patients pour révéler la maladie d’un homme politique, par exemple. Ça c’est pour la partie malveillante de la chose, mais d’autres personnes ne font que s’amuser à paralyser tout un système.

Le contexte actuel est donc plus propice aux attaques ?

Oui, on est dans un très bon momentum pour les cyberattaquants, car les entreprises ne sont pas encore habituées à cette digitalisation. C’est donc tout boni, tout bénéfice pour les pirates. Cette mise à jour informatique montre de nombreuses failles. Les hôpitaux sont des proies faciles sans vouloir dire qu’ils font mal leur boulot, que du contraire. Cette vulnérabilité durera le temps de la transition. C’est un peu comme si on construisait une nouvelle maison, mais qu’on n’avait pas encore installé les alarmes.

Ces attaques présentent-elles des risques pour les patients ?

Pour l’instant, en Belgique, les services vitaux des hôpitaux, comme les blocs opératoires, sont des lieux encore fortement gérés par des humains et ne pourraient pas être paralysés en cas de cyberattaque. Chez Vivalia, les urgences n’ont d’ailleurs pas été touchées. Qu’un patient risque sa vie à cause d’une cyberattaque est plutôt un risque pour les hôpitaux dans le futur, quand les soins seront davantage connectés et que le patient sera chez lui ou quand il sera opéré à distance. Pour le moment, il n’y a pas de risques mortels lors de ce genre d’attaques.

Connait-on les motifs de la cyberattaque qui a visé le groupe Vivalia ?

Il est compliqué à l’heure actuelle de savoir ce qui s’est réellement passé dans le réseau hospitalier de Vivalia. Ce sera important qu’ils communiquent bien là-dessus quand ils seront remis de cette attaque. Les hôpitaux sont aussi parfois des victimes indirectes quand ils communiquent avec des prestataires externes, il suffit qu’un membre de la chaine soit défaillant pour que la totalité soit touchée. Si une université est attaquée, le réseau commun avec l’hôpital peut aussi être paralysé. Dans le cas du réseau hospitalier Vivalia, on ne sait pas encore ce que sont devenues les données des patients.

Le groupe Vivalia a-t-il bien réagi ?

La chaine de réactivité quand on est agressé peut être définie de manière efficace, il faut prévenir les personnes concernées, tous les employés. Vivalia a eu le bon réflexe de faire appel au CERT (NDLR : La Computer Emergency Response Team fédérale) c’était une bonne chose et rassurant que cet organisme fédéral vienne les aider. Leur communication était très bonne, vis-à-vis de l’extérieur. Car une attaque qui est en cours dans un endroit est peut-être aussi à l’oeuvre ailleurs.

Comment s’en protéger ?

Il faut engager du personnel en nombre pour gérer les backups et les autres procédures à mettre en place, ces procédures doivent être très claires avec la marche à suivre sur ce qu’on peut faire et ne pas faire. Il faut que le personnel ait une connaissance précise de l’écosystème. Il est aussi nécessaire d’accompagner et d’éduquer les plus anciennes générations d’employés qui ne sont pas toujours conscientisés comme les plus jeunes à ces nouvelles menaces sur le web de vols de données par exemple. Ce sont des cibles faciles. C’est un travail de longue haleine, car la fracture digitale constitue un vrai défi dans le secteur.