Au nom de la loi : les cyberattaques d’hôpitaux

Les cyberattaques d’hôpitaux est le thème abordé par Alain Bensoussan dans sa dernière chronique pour l’émission « Au nom de la loi » diffusée par la web TV ANews Sécurité.

Alain Bensoussan évoque dans la dernière émission « Au nom de la loi » sur ANews Sécurité les hôpitaux cibles de cyberattaques.

Les cyberattaques n’ont jamais été aussi nombreuses.

Elles touchent tout particulièrement le secteur hospitalier, sensible par son importance vitale, et sa vulnérabilité en termes de moyens.

Si l’hôpital intègre de plus en plus de nouvelles technologies (équipements biomédicaux et IA), cela concerne essentiellement le cœur de son métier : le soin.

Or, l’actualité illustre pour les hôpitaux comme pour l’ensemble des entreprises la nécessité de se doter de solutions robustes en termes de sécurité par rapport aux risques encourus.

Cyberattaques d’hôpitaux et ransomware

De nombreuses entreprises, entités ou particuliers sont aujourd’hui confrontés au fléau des rançongiciels ou ransomware.

Ceux-ci consistent, pour des pirates, à s’introduire dans un système informatique à l’aide d’un logiciel malveillant. Ils cryptent les données et réclament une rançon pour fournir la clé de décryptage.

Organisés en véritables industries du cybercrime, ils sont très difficiles à démasquer par les équipes de cyberpolice.

Il existe deux catégories d’attaques en matière de fraude informatique : l’exfiltration de données accompagnée d’une demande de rançon ; le chiffrement de l’ensemble des données de l’entreprise et leur déblocage en échange d’un mot de passe de déchiffrement.

L’une comme l’autre appellent une réponse immédiate. Tout d’abord, une réponse technique pour se protéger des attaquants ; ensuite, une réponse juridique, notamment par une notification de la violation de données à la Cnil.

Cyberattaques d’hôpitaux : quelle stratégie adopter ?

Faut-il payer, ou au contraire ne pas céder au chantage ? Quels réflexes adopter ? Quels signalements opérer ? Comment se faire assister ? Et surtout, comment s’en prémunir ?

La règle c’est de ne jamais payer les rançons, même si cela est facile à dire lorsqu’on est à la tête un hôpital en situation de blocage.

La doctrine française du ministère de l’Economie et des Finances, a évolué. Aujourd’hui, il est possible de s’assurer face à un système d’attaque et une fraude informatique réussie, et lorsqu’il s’agit, comme dans le cas d’hôpitaux, de données hautement sensibles, pour pouvoir obtenir de l’assureur qu’il paye la rançon.

Cela suppose un contrat particulier.

Les assureurs vont pouvoir aider les entreprises à mieux se protéger et mutualiser le risque. Avec toutefois le risque que plus on paye de rançons, plus il y ait d’attaquants.

Espérons que le niveau de sécurité va être renforcé et que la répression va en entraîner une baisse de ces attaques. Mais dans tous les cas de figure, si on ne dispose pas de sauvegarde, payer la rançon sera alors une façon de minimiser les préjudices.

Eric Bonnet
Avocat
Directeur de la communication juridique