Cyberattaques : quels risques pour les hôpitaux et leurs patients ?

Les cyberattaques sont loin d'être sans conséquences pour les établissements de santé et leurs patients. L'Ehpad de Beuzeville, dans l'Eure, est le dernier à en avoir fait les frais mercredi 24 août. Dans la nuit de samedi à dimanche précédent, c'est l'hôpital de Corbeil-Essonnes, dans le sud-est de Paris, qui voyait son activité fortement perturbée par une cyberattaque d'ampleur de type « rançongiciel ».

Au total, plus de 730 incidents cyber ont été recensés dans le secteur de la santé en 2021, plus du double de l'année précédente. Lorsqu'ils sont touchés par des cyberattaques, « les systèmes informatiques des hôpitaux sont complètement bloqués », explique Corinne Hénin, experte indépendante en cybersécurité. Et pour cause, « tout est informatisé aujourd'hui, du simple scanner aux prescriptions médicales », indique la spécialiste.

Retour au papier

L'attaque visant le réseau informatique du Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes a ainsi rendu inaccessibles « tous les logiciels métiers de l'hôpital, les systèmes de stockage et le système d'information ayant trait aux admissions de la patientèle », selon un communiqué de l'établissement.

Depuis, c'est retour au papier pour le personnel, contraint de traiter les dossiers manuellement. « Les infirmières, au lieu de saisir par informatique toutes les données des patients, doivent à nouveau remplir des pancartes », expliquait lundi Valérie Caudwell, présidente de la commission médicale du CHSF, sur France Info .

La fiabilité des traitements pénalisée

Touché par une cyberattaque similaire en février 2021, l'hôpital de Dax (Landes) avait dû reporter certaines opérations, faute d'accès aux dossiers de ses patients. Le CHU de Rouen, également victime d'une cyberattaque massive en novembre 2019, avait quant à lui dû traiter les admissions de ses patients à la main, ralentissant considérablement leur prise en charge.

« Un hôpital touché ne peut pas traiter ses patients de la même manière », résume Ingrid Söllner, directrice marketing chez Tehtris, entreprise spécialisée en cybersécurité, alors que les hôpitaux souffrent déjà de sous-effectifs. « Avec le retour au papier, la fiabilité des traitements est fortement pénalisée », estime-t-elle.

Le retour à la normale peut prendre du temps. Un an et demi après, l'hôpital de Dax en garde des « stigmates » selon Aline Gilet-Caubère, sa directrice adjointe. « Au-delà de l'impact sur le collectif qui se fait toujours ressentir, environ 2 % des applicatifs n'ont pas encore été remontés », indique-t-elle.

Les patients comme cibles potentielles

Lors d'une cyberattaque, les patients peuvent par ailleurs directement être pris pour cibles. « Un pirate peut décider de changer la lecture d'un électrocardiogramme et induire le personnel soignant en erreur », alerte Benoît Meulin, porte-parole de WithSecure, entreprise spécialisée dans la cybersécurité.

Les patients peuvent aussi faire l'objet de chantage. C'est ce qui est arrivé en octobre 2020 en Finlande. Des pirates ont dérobé les données de milliers de malades d'une société de psychothérapie, dont leurs discussions avec les médecins. Ils les ont ensuite fait chanter individuellement en menaçant d'en divulguer le contenu.

Un autre risque est l'usurpation d'identité. « Plus vous avez d'informations sur les patients, plus c'est facile d'usurper leur identité », explique Corinne Hénin. Enfin, « les données peuvent se retrouver en vente sur le darknet », ajoute Aroua Biri, experte en cybersécurité, « ce qui fait courir un risque à leur confidentialité ».

La cyberattaque la plus dramatique reste à ce jour celle qui a visé la clinique de Düsseldorf en septembre 2020 . Une patiente qui devait y être opérée est morte lors de son transfert d'urgence vers l'hôpital de Wuppertal, à une trentaine de kilomètres.