Depuis le 24 août, l'hôpital sud francilien de Corbeil Essonne a été victime d'une cyberattaque bloquant son système informatique et demandant une rançon de 10 millions de dollars. Le délai expiré, ils ont commencé à dévoiler les données médicales des patients. De quoi faire peur aux établissements régionaux.
Communiquer ou pas sur leur système de sécurité ? Les établissements de la région hésitent. "Si on dit qu'on est bon, on devient une cible, si on dit qu'on est en difficulté aussi... pour vivre heureux, vivons caché", conclut l'un d'entre eux, sans cacher qu'il est "toutes les semaines victime d'attaques".
Dans le privé, les trois grands groupes de l'Occitanie Est, Cap Santé, Oc Santé et Clinipole travaillent sur un projet collectif porté par leur assureur. "Des attaques, on en a tous les jours, de plus ou moins grande envergure", indique Loïc Bagard, délégué à la protection des données (DPO) chez Clinipole, qui fait face à un phénomène "nouveau, très violent et insidieux". "Il y a une dizaine d'années, on avait un mot de passe. Aujourd'hui, il y en a plusieurs, sur tout un processus de collecte et de stockage collectif et individuel de données".
"Nouveaux angles d'attaque"
Au CHU de Montpellier, Laurent Wilmann-Courteau, directeur du pôle numérique, Jérôme Euvrard, directeur du système d'information du numérique et Vincent Templier, responsable de la sécurité des systèmes d'information, se prêtent, autant que possible, à une opération de transparence.
La cybersécurité, c'est l'affaire des 65 agents de l'équipe informatique, mais pas que. Elle tient aussi au comportement de chacun des salariés de l'hôpital, ses usagers, et au-delà, ses prestataires pour écarter les tentatives de phishing (hameçonnage) via des spams malveillants et de "nouveaux angles d'attaque".
La réponse passe par des doubles identifications, un cloisonnement des données strict, la formation... "Vous pouvez donner un conseil ? Surtout, ne jamais utiliser un mot de passe usuel quand vous rentrez dans notre univers numérique. Si un pirate saisit vos données par ailleurs, il peut rentrer chez nous", expliquent-ils, forts d'une alerte provoquée par un "trojan" (cheval de troie) en 2019. "Il avait la volonté de récupérer des données bancaires. Il a été très vite isolé. On a eu plus de chances que nos collègues de Corbeil-Essonne, et ça nous a permis de prendre des mesures de vigilance accrue".
"Le risque zéro n'existe pas"
Ils marchent sur un fil : "Notre rôle est de produire du soin, pas d'édifier un bunker. Et on préfère mettre de l'argent dans un scanner que dans un anti-spam". Reste qu'avec 2 000 consultations quotidiennes, et quelque 600 patients hospitalisés, "a minima 10 000 données relatives aux soins" transitent chaque jour par le CHU de Montpellier.
"La menace est permanente, on en a bien conscience, le risque zéro n'existe pas, même les grandes entreprises n'y échappent pas. Le problème, c'est que chez nous, les données sont très sensibles et leur diffusion peut fondamentalement changer la vie des gens. Toutes les semaines, un établissement tombe. Et il suffit d'une erreur pour qu'on soit piraté. On s'y prépare".
