Santé : les rançongiciels s’invitent dans les débats à l’ONU

« Animées par des motivations financières, la plupart du temps, les attaques par rançongiciel ont un impact sur les individus et les entreprises, mais aussi sur le fonctionnement même de services essentiels, et donc, sur la stabilité des États ». C’est ce que déplorait la France au Conseil de Sécurité des Nations Unies le 8 novembre dernier. 

Et d’illustrer : « 10 % des attaques par rançongiciel recensées par les autorités françaises en 2023 visaient des établissements de santé avec de graves conséquences sur la délivrance de soins vitaux ». 

Plus loin, la France a souligné que la menace n’épargnait pas les « entreprises de secteurs stratégiques » ni même les « administrations publiques » ou encore que les activités cybercriminelles soutenues par certains pays contribuent au financement de programmes d’armement nucléaire – pointant la Corée du Nord.

Ces commentaires répondaient au signal d’alarme tiré plus tôt par le directeur général de l’OMS, Tedros Adhanom Ghebreyesus : « soyons clairs : les ransomwares et autres cyberattaques visant les hôpitaux et autres établissements de santé ne sont pas seulement des questions de sécurité et de confidentialité ; ils peuvent être une question de vie ou de mort ».

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), 30 hôpitaux ont été victimes de cyberattaque avec ransomware, en France, entre 2022 et 2023. Et la liste a continué de s’allonger en 2024.

Mais l’Hexagone n’est pas le seul concerné. Tedros Adhanom Ghebreyesus a ainsi rappelé l’attaque ayant touché l’hôpital universitaire de Brno, en République tchèque, en mars 2020, ou encore celle menée par Conti contre le service de santé irlandais en mai 2021. 

Plus récemment, entre fin août et début septembre, des cyberattaques ont été rapportées dans la presse internationale contre rien moins que 3 établissements de santé en une seule semaine. Quelques semaines plus tard, le centre médical université de Lubbock, au Texas, venait allonger la liste. 

Tedros Adhanom Ghebreyesus indique que l’OMS et « d’autres agences des Nations unies soutiennent activement les États membres en leur fournissant une assistance technique, des normes, des standards et des conseils afin de renforcer la résilience des infrastructures de santé face à la cybercriminalité, y compris les ransomwares ».

Il ajoute que « l’OMS élabore également des orientations sur la mise en œuvre et l’investissement dans la cybersécurité et la protection de la vie privée des interventions de santé numérique, qui seront publiées l’année prochaine ».

Certes, pour Tedros Adhanom Ghebreyesus, « il faut investir dans la technologie et veiller à ce que les budgets des projets de santé numérique incluent les coûts des contrôles de cybersécurité de base ». Et cela en particulier « dans des systèmes permettant d’identifier rapidement les attaques, car la plupart d’entre elles ne sont découvertes que plusieurs mois après avoir eu lieu, et le mal est fait ».

Mais ce n’est pas tout : « notre état d’esprit doit changer radicalement pour reconnaître que nous ne pouvons pas compter sur les seuls systèmes informatiques pour nous protéger des cyberattaques ». Il faut aussi investir dans l’humain pour « améliorer la cyber-maturité ».