Hôpital de l'Essonne cyberattaqué : "Il faut tenir bon" face aux hackers, estime un expert en cybersécurité
"On est vraiment dans une forme de mise sous pression" avec la diffusion des données, mais "il faut vraiment tenir bon", a expliqué dimanche 25 septembre sur franceinfo Gérome Billois, expert en cybersécurité pour le cabinet Wavestone, un cabinet de conseil en transformation des entreprises. Le groupe de hackers Lockbit 3.0 qui a orchestré une cyberattaque par chiffrage contre le centre hospitalier Sud Francilien de Corbeil-Essonnes (CHSF), a commencé à diffuser des données ce vendredi. "Au total, 11Go ont été divulgués", selon une source proche à franceinfo. Sur l'ampleur de ces cyberattaques, "il y a eu un quadruplement entre 2020 et 2021", d'après l'expert.
franceinfo : Que sait-on des données divulguées ?
Gérome Billois : Peu de choses et il ne faut pas chercher à accéder à ses données et à savoir ce qu'il y a dedans. Il faut laisser l'hôpital gérer comme il se doit la crise qu’il traverse. Onze gigas cela peut être beaucoup comme peu de choses, cela dépend du type de données. Le texte et les images n'ont pas du tout la même taille.
Comment expliquer que l'hôpital n'ait pas payé ?
La posture de l'Etat et de la France en particulier est claire là-dessus en ce qui concerne les hôpitaux. C'est clairement de ne pas payer la rançon. Cela entraîne les cybercriminels à recommencer et cela finance les prochaines attaques. Mais dans d'autres pays, il y a beaucoup de systèmes hospitaliers qui ont payé et pour un cybercriminel, souvent loin de la France, il n'y a pas beaucoup de différences.
Cette diffusion d'informations est-elle un aveu de résignation ou une réelle menace ?
Souvent avec les cybercriminels qui pratiquent ce genre de rançon on est vraiment dans une forme de négociation, de mise sous pression, et parfois avec des groupes qui révèlent petit à petit des données en espérant faire craquer la victime pour pouvoir récupérer de l'argent. Donc, il faut vraiment tenir bon.
Comment va se passer la suite ?
Quand on est dans une gestion de crise de ce type-là on va d'abord comprendre la situation sur le terrain et ensuite voir par où le cybercriminel est rentré, puis fermer cette porte-là et toutes les autres. Ensuite on passe en veille pour voir si des données ont fuité et comment réagir lorsqu'elles sont potentiellement diffusées.
A quel point peut-on se protéger de tout ?
La sécurité à 100% n'existe pas. Il faut avoir une approche qui mélange protection des systèmes informatiques, mais aussi des capacités de détection pour voir à quel moment démarrent les attaques et être capable de réagir au plus vite. Pour se protéger, on parle de plusieurs millions d'euros quand on est sur de grosses entreprises. Le coût de gestion de crise vont entre 15 et 20 millions d'euros quand on est une structure moyenne, et cela peut monter à 300 ou 400 quand on est sur une structure de plus grande taille. C'est à comparer avec le bon niveau d'investissement en cybersécurité. On met souvent entre 5 et 10% du budget informatique.
Quelle est l'ampleur de ces attaques ?
Il y a beaucoup d'attaques qui ne sont pas rendues publiques. On voit beaucoup ces attaques dans les hôpitaux parce que c'est visible immédiatement et c'est rapidement médiatisé. Sur l'ampleur de ces attaques, il y a eu un quadruplement entre 2020 et 2021.