Fin août, le Centre hospitalier Sud Francilien (CHSF) à Corbeil-Essonnes a été victime d’une cyberattaque, très médiatisée, qui s’est soldée par une perturbation importante de l’activité et une demande de rançon s’élevant à 10 millions de dollars.
Depuis à peu près deux ans, le secteur hospitalier est régulièrement visé par des attaques informatiques via des logiciels rançonneurs. En effet, l’Anssi (Agence nationale de la sécurité des systèmes d’information) a indiqué que les établissements de santé avaient été la cible d’un incident par semaine en moyenne en 2021.
Si ces attaques contre les institutions Françaises augmentent, elles ne sont pas les seules visées, d’autant que ces institutions ont pour mot d’ordre de ne pas payer les demandes de rançons et ne sont donc pas rentables pour les hackers. En revanche, les PME sont les cibles privilégiées des pirates informatiques.
Qu’est-ce qu’une cyberattaque ?
Une cyberattaque, ou attaque informatique, désigne tout acte de malveillance portant atteinte à un système d’information (logiciel, site web, réseaux sociaux). Nous pouvons citer quelques-unes des cyberattaques en exemple :
- Phishing : il s’agit d’une escroquerie dans laquelle les cybercriminels se font passer pour un tiers de confiance comme la banque ou les différentes administrations (impôts, Urssaf etc). Leur objectif est d’obtenir de l’internaute des informations sensibles comme ses coordonnées bancaires, ses mots de passe etc.
- Ransomware: aussi appelés rançongiciels ou logiciels rançonneurs, ces malwares prennent en otage des données personnelles contre une demande de rançon, à la manière d’un kidnapping. Concrètement, les hackers bloquent l’accès aux composants clés du réseau et seul le paiement de la rançon permet d’obtenir la clef de chiffrement des données cryptées. C’est le cas de l’attaque subie par le centre hospitalier Sud Francilien (CHSF).
- Spoofing : désigne l’ensemble des cyberattaques consistant à voler l’identité électronique d’une personne (adresse mail, adresse IP, nom de domaine) dans le but d’obtenir des informations sensibles et confidentielles.
- Dénis de service (DDoS): au cours d’une attaque par déni de service ou DDoS, les cybercriminels ont pour objectif d’empêcher l’accès à un site web, une application ou encore à un serveur. Ces attaques visent à ralentir, voire paralyser, le fonctionnement d’un serveur informatique, par exemple via l’envoi de multiples requêtes erronées. Les attaques DDoS représentent 40% des cyberattaques.
Cette liste n’est en rien exhaustive. Il existe, hélas, bien d’autres types d’attaques informatiques !
Qui est vraiment concerné par une cyberattaque ?
L’exemple de l’hôpital de Corbeil-Essonnes nous montre que les cyberattaques sont de plus en plus nombreuses et se « professionnalisent ». Parmi ces attaques, ce sont les demandes de rançons qui connaissent la plus forte augmentation.
Les pirates informatiques tirent profit des systèmes d’information vulnérables. Selon les chiffres de l’Anssi, en 2021, les ETI et les PME ont représenté 52% des victimes de ransomware, soit une augmentation de 53% par rapport à 2020. Ces entreprises sont les premières victimes, devant les collectivités (19%) puis les entreprises stratégiques, mieux protégées (10%).
Les PME font particulièrement les frais des attaques informatiques, à l’instar de BrEAThe, une enseigne de restaurant dont le compte Instagram, suivi par des dizaines de milliers d’abonnés, a été hacké par des cybercriminels. Ils réclamaient une rançon pour en rendre l’accès et menaçaient, à défaut, de détruire le compte. Aucune entreprise n’est à l’abri, y compris les plus petites ! En effet, 74% des TPE-PME indiquent avoir déjà été victime d’une cyberattaque.
53% des attaques par rançongiciels se sont soldées par des pertes égales ou supérieures à 500 000 dollars.
Quelles sont les conséquences d’une cyberattaque ?
Si les PME sont davantage prises pour cible par les cybercriminels que les grandes entreprises, c’est qu’elles sont plus vulnérables. Leurs systèmes d’information sont souvent moins bien protégés et moins surveillés. C’est particulièrement le cas pour les boutiques en ligne qui détiennent des données sensibles concernant leurs clients (comme les adresses mail ou les coordonnées téléphoniques).
Les risques en cas d’attaque informatique sont multiples : vol d’identité, vol de matériel informatique, violation des accès système, infiltration du système, dégradation du site web, l’interception des mots de passe, ou encore le vol de données.
Quels sont les impacts financiers d’une cyberattaque ?
Les impacts d’une cyberattaque sont multiples : blocage du site, conséquences financières, nuisance en termes de réputation notamment si les données des utilisateurs fuitent. Dans tous les cas, une cyberattaque implique souvent des pertes financières importantes pour les entreprises.
Le ransomware est l’une des attaques les plus dangereuses. En effet, un programme attaque votre système (site web, réseaux sociaux etc.) et le pirate vous demande une forte somme d’argent pour vous permettre de le récupérer. Il est recommandé de ne pas payer la rançon, quitte à prendre le risque de perdre vos accès définitivement. En effet, si la rançon est payée, rien ne vous garantit que les cybercriminels ne réitéreront pas leur attaque.
Outre la demande directe d’argent par les hackers, ces attaques génèrent des pertes financières car elles perturbent le fonctionnement de vos systèmes. La perturbation, voire l’arrêt des activités, fait perdre beaucoup d’argent aux entreprises. Nous pouvons prendre l’exemple de Saint-Gobain qui a perdu 220 millions de chiffre d’affaires en 2017 suite à une attaque informatique depuis sa filiale Ukrainienne.
Enfin, si vos matériels sont endommagés et que tout le réseau informatique est touché, le montant des réparations peut s’avérer particulièrement élevé.
Quelles sont les incidences judiciaires d’une cyberattaque ?
Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur en mai 2018 , oblige les entreprises à protéger les données de leurs clients. Or, une cyberattaque peut entraîner une fuite des données clients, celles-ci se retrouvant alors entre les mains d’un tiers.
Ainsi, la fuite de données client, outre les risques d’entacher la réputation de l’entreprise, est passible de sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.
Dans le cas où votre entreprise est attaquée et que celle-ci se retrouve confrontée à une fuite de données, vous devez impérativement signaler ce fait :
- dans les 72 heures de la prise de connaissance de la fuite des données à la CNIL, qui est l’autorité en charge de la protection des données en France ;
- ainsi qu’aux personnes concernées dans un délai raisonnable.
En France, la cybercriminalité est appréhendée juridiquement depuis la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978. Puis, par loi Godfrain 88-19 du 5 janvier 1988 relative à la fraude informatique.
Celle-ci a introduit les articles 323-1 et suivants dans le Code pénal afin de réprimer toutes les atteintes aux systèmes de traitement automatisé de données (STAD), tels que les piratages et les entraves par déni de service distribué (DDOS), les ransomwares chiffreurs de données..etc
Il faut également citer la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 avec son article 6 relatif aux fournisseurs d’accès internet, aux hébergeurs et éditeurs de contenus manifestement illicites.
La LCEN a également introduit un nouvel article dans le Code pénal (323-3-1), visant directement la détention et la mise à disposition d’équipements conçus pour commettre les faits d’intrusion dans un système ou d’entrave au fonctionnement de ce système.
La loi du 30 septembre 1986 dite « CANAL+ » pour la captation de programmes audiovisuels, le Code de la propriété intellectuelle (articles L. 335-1 et suivants), et le Code monétaire et financier (article L. 163-4-1 du Code monétaire et financier) prévoient de nombreuses incriminations.
Par exemple, les fraudes et la contrefaçon érigeant, pour certaines d’entre elles, le recours à un réseau de télécommunication en circonstance aggravante (articles L. 521-10, L. 615-14, L. 623-32, L. 716-9 du Code de propriété intellectuelle).
La loi Lemaire n° 2016-1321 du 7 octobre 2016 a également sa dimension pénale. Plus récemment, la loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la Justice (LPJ), prévoit l’extension de recours à l’enquête sous pseudonyme et l’harmonisation des techniques spéciales d’enquête adaptées en matière de lutte contre la cybercriminalité.
Le législateur adapte en permanence l’arsenal pénal au regard de l’évolution constante et rapide des cybermenaces.
Plus généralement, l’article 323-1 du code pénal sanctionne « le fait d’accéder ou de se maintenir frauduleusement, dans tout ou partie d’un système de traitement automatisé ».
La peine encourue est 2 ans d’emprisonnement et 30000€ d’amende.
Celle-ci peut être portée à 3 ans d’emprisonnement et 45000€ d’amende lorsqu’il en résulte « soit la suppression, soit la modifications de données contenues dans le système, soit un altération du fonctionnement de ce système ».
Le hacker encourt également, au titre des peines complémentaires, la confiscation du matériel informatique qui a servi ou était destiné à commettre l’infraction. Il convient de préciser que le hacker engage sa responsabilité pénale mais également sa responsabilité civile. Il devra ainsi verser des dommages-intérêts à la victime pour l’indemniser.
Comment se prémunir d’une cyberattaque ? 10 Astuces simples à mettre en place :
1- Former vos collaborateurs : les failles les plus fréquentes sont celles causées par le comportement des collaborateurs qui facilitent l’intrusion des hackers dans le système informatique. La formation et la sensibilisation de TOUS les salariés de l’entreprise aux règles de sécurité SI, permet de mieux sécuriser leurs navigations internet ainsi que leurs outils informatiques (logiciels, ordinateurs, smartphones etc). Cet enjeu est encore renforcé par le développement du télétravail.
2- Contrôler les accès aux systèmes d’information : les accès aux systèmes d’information manquent parfois de contrôle. Une grande rigueur au niveau de ces accès peut aider à réduire le risque de cyberattaques. Par exemple : mettre en place des périmètres de confidentialité cantonnés au rôle du collaborateur, supprimer définitivement l’accès au SI des personnes ayant quitté l’entreprise etc.
3- Renforcer les mots de passe : les mots de passe sont les sésames d’accès aux systèmes d’information et aux données qu’ils abritent. Renforcez vos mots de passe en choisissant ceux qui ne pourront pas être devinés par une tierce personne (on évite donc tout mot de passe ayant un lien avec vous-même) ou par un outil informatisé. Les collaborateurs doivent être invités à faire de même et à changer régulièrement de mots de passe.
4- Mettre en place une authentification multifacteurs : les pirates ont réussi à récupérer vos mots de passe ? En instaurant une authentification multifacteur, ceux-ci ne pourront pas pénétrer dans vos systèmes d’informations et vos ordinateurs même s’ils disposent des mots de passe. Cette précaution est particulièrement importante pour limiter les conséquences des tentatives de pishing.
5- S’assurer de disposer d’une connexion sécurisée : cette précaution est devenue particulièrement cruciale avec le développement du télétravail. En effet, les collaborateurs connectent leurs matériels en dehors du réseau maîtrisé par votre DSI. Sensibilisez vos collaborateurs au risque de se connecter à un réseau Wi-fi ouvert ou non maîtrisé. Certaines entreprises imposent à leurs salariés de se connecter uniquement depuis leur domicile, via une connexion sécurisée.
6- Mettre à jour ses systèmes d’exploitation et ses logiciels : utiliser des systèmes à jour limite considérablement les risques de cyberattaque. En effet, les mises à jour permettent de corriger les éventuelles failles d’un ordinateur ou d’un programme. Si vous ne mettez pas à jour vos systèmes (logiciels, CMS etc), vous permettez aux pirates d’en exploiter les failles pour s’y introduire.
7- Utiliser des pare-feu et des antivirus : en détectant les logiciels malveillants, les antivirus et les pare-feu constituent des protections supplémentaires. Équipez-en les différents appareils connectés au réseau.
8- Prévoir des sauvegardes des systèmes : sauvegardez régulièrement tous les éléments utiles, qu’il s’agisse des données de vos logiciels, du contenu présent sur votre site web, ou encore de tous vos documents indispensables. En cas d’attaque, vous pourrez ainsi restaurer rapidement vos systèmes.
9- Être prudent avec les e-mails et pièces jointes : les e-mails sont des voies royales pour les cybercriminels. Pour éviter tout problème, n’ouvrez jamais la pièce jointe d’un mail transmis par un destinateur inconnu, ne cliquez pas non plus sur les liens et ne répondez jamais aux demandes d’informations confidentielles par retour de mail. Les fraudeurs se font parfois passer pour l’administration ou votre banque : en cas de doute, contactez vos interlocuteurs habituels. Les arnaques aux entreprises sont extrêmement fréquentes et de mieux en mieux ficelées.
10- Effectuer des audits de sécurité : n’hésitez pas à réaliser des audits de sécurité avec des entreprises spécialisées en sécurité des systèmes d’informations. Ces experts vous indiqueront toutes les failles et comment y remédier.
Si votre entreprise est victime d’une cyberattaque, vous pouvez prendre contact avec le Centre Opérationnel de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) : cossi[@]ssi.gouv.fr
Merci pour toutes ces infos pratiques
Je ne comprends pas ces agissements, désolé je suis naïf. Mais j’aimerai comprendre comment il est possible pour un être humain normalement constitué d’agir de la sorte.
Bloquer un hopital c’est mettre en danger les patients et les citoyens qui ont droit à leurs soins. Ils paient des impôts pour cela.
Ces gens qui font le mal pour le mal devraient être déchus de tous leurs droits civiques, sociaux et mis au ban de la société pour de bon.
L’acte est criminel, mais humainement bon sang, comment c’est possible d’agir comme ça ? On parle d’un hopital là !!
Ces salopards vendent ensuite les données des patients. La malveillance totale !
https://www.20minutes.fr/societe/4001129-20220913-essonne-hopital-cyberattaque-desormais-victime-chantage-donnees