Des cyberattaques à la pandémie de Covid-19, du retour de la guerre en Europe à la déferlante de désinformation, sans oublier le changement climatique, le monde doit affronter des risques d’un nouveau type. Tous sont affectés : citoyens, familles, collectivités, États, entreprises, monde politique et associatif… À crise nouvelle, réponse nouvelle. Pour les gérer, les organisations doivent apprendre à réinventer leur arsenal de réponses. Mais avec les mêmes principes et les mêmes exigences – pour éviter les mêmes pièges.
Le dark monde
La Covid-19 n’a pas été la seule épidémie à paralyser le monde. D’autres virus, informatiques cette fois, se sont révélés presque aussi dangereux. Ces cyberattaques, qui se multiplient dans tous les secteurs, ont été parfois très mal gérées en termes de communication de crise.
En France, les plus spectaculaires opérations de piratage sont celles qui ont paralysé des hôpitaux et des grandes municipalités, des cibles particulièrement vulnérables tant sur le plan technique qu’opérationnel. À l’image de missiles tirés contre une maternité, les attaques informatiques contre des centres hospitaliers frappent les esprits et effraient les citoyens. L’atmosphère idéale pour un pirate qui exige une rançon pour débloquer un système informatique. Nous ne sommes pas loin d’un cyberterrorisme à but lucratif. Rassurer, informer, parer à l’urgence et préparer le retour à la normale ne sont donc pas seulement des impératifs fonctionnels. C’est aussi une riposte indispensable contre la pression des hackers, afin de les dissuader de recommencer. Dans le cybermonde, le jeu consiste à convaincre les criminels d’aller voir ailleurs.
L’offensive la plus grave de ces dernières années est survenue en novembre 2022, dans le centre hospitalier de Corbeil-Essonnes. L’hôpital a eu le malheur d’être pris pour cible par le plus redoutable groupe de hackers : le collectif russophone LockBit, connu pour son ransomware (rançongiciel) capable de bloquer la totalité des systèmes et de crypter les données. Les criminels exigent une rançon pour les débloquer. Faute de quoi, non seulement leurs victimes voient leurs données effacées, mais elles sont vendues aux enchères sur le dark web. Une double peine.
Sans doute les cybercriminels croient-ils que les établissements de santé français, comme les cliniques privées américaines, sont prospères et prêts à payer pour retrouver leurs données. C’est méconnaître la réalité des acteurs publics, interdits de débourser le moindre centime sans contrôle de leurs finances. Mais puisque ces structures, pauvrement dotées en matériel dernier cri et en personnel spécialisé, présentent l’avantage d’être facilement piratables, pourquoi les hackers s’en priveraient-ils ? D’autant que les données de santé des patients, particulièrement recherchées sur le dark web, atteignent de juteux prix de revente.
Tout s’est passé dans la nuit du samedi 20 au dimanche 21 août 2022 – moment idéal pour une attaque, car l’équipe informatique est très probablement absente. Soudain, des messages cryptés apparaissent sur les écrans des ordinateurs de l’hôpital. Les équipes techniques, impuissantes, voient tomber l’un après l’autre tous leurs outils informatiques. La première intrusion s’est visiblement produite début août via le piratage du compte d’un fournisseur, une technique éprouvée.
Non seulement l’hôpital n’a plus de système administratif pour gérer son personnel et les admissions, mais ne dispose plus non plus de traçabilité sur les dosages des médicaments, les préparations de chimiothérapie, les automates des laboratoires, les analyses biologiques. Sans accès au dossier médical, impossible de faire des opérations, ni de comptes rendus de ces soins. Impossible aussi de connaître les fiches de paie et de verser les salaires. L’hôpital est aveugle. La direction déclenche le « plan blanc » prévu pour les situations de crise. Les urgences sont transférées dans les hôpitaux les plus proches, ainsi que les nouveau-nés de la maternité. L’activité de l’établissement est divisée par deux. L’hôpital revient au papier et utilise des graveurs de CD pour conserver et transmettre les données d’imagerie. Certaines opérations sont effectuées sans radio préalable. C’est une terrible épreuve pour le personnel hospitalier, déjà épuisé par les vagues de la Covid-19.
Deux semaines plus tard, les imprimantes se mettent à débiter des rafales de papier dans tous les services. Au milieu des feuilles, une demande de rançon. Les hackers demandent dix millions d’euros et menacent de diffuser les données des patients si l’argent n’est pas versé dans les dix jours !
L’hôpital de Corbeil-Essonnes refuse de payer la rançon et déclenche sa cellule de crise, soutenu par l’Agence régionale de santé et l’ANSSI. Des négociateurs du GIGN échangent par mail avec les cybercriminels et obtiennent que la rançon soit abaissée à un million. Ils font gagner du temps aux experts informatiques dans la réponse à incident.
Entre-temps, les pirates mettent leur menace à exécution : le 23 septembre, LockBit met en ligne 11 gigaoctets de données des patients (pathologies, consultations, examens médicaux…). Outre l’impact réputationnel sur l’hôpital, les cybercriminels pourraient s’en servir pour faire des hameçonnages ciblés. Ou encore des « arnaques au président » – se faire passer pour un dirigeant et obtenir un versement de fonds.
Pour la première fois, la France, impuissante, a subi un vol massif de données médicales. Des patients dont les données intimes sont vendues au plus offrant. Un pirate pourrait connaître avant lui si un patient a déclaré un cancer. Tous les chantages, toutes les arnaques sont imaginables.
Face à l’impuissance des équipes de l’État dans cette affaire, les Français semblent encore relativement passifs. Le pays est l’un des moins matures en matière d’éducation aux dangers numériques. Les précautions à prendre pour protéger ses données restent mal connues. D’où la campagne publique d’information qui montre des inconnus crier sur les toits leurs problèmes digestifs… Avec ce message : « Vos données médicales ne doivent pas être dans la nature, elles sont confidentielles ». Il faut faire prendre conscience aux Français de l’importance de l’hygiène numérique. Ils n’ont pas encore réalisé la valeur de leurs données et donc ne se mobilisent que peu, et restent frappés d’impuissance quand on leur annonce qu’ils sont victimes d’une fuite de données.
Parler ou se taire ?
Jusqu’ici, les hôpitaux attaqués, comme ceux d’Arles et d’Ajaccio en 2021, avaient gardé le silence, sans révéler quelles données avaient été volées. La presse en avait eu vent tardivement et sans jamais avoir confirmation d’une cyberattaque. Cette fois, l’hôpital de Corbeil-Essonnes, après un long moment de sidération, se résout à la transparence. Mais l’établissement tarde trop à expliquer la situation et à fournir des informations précises sur la tourmente qu’il traverse. Sa gestion de crise tâtonnante dévoile surtout l’inquiétante vulnérabilité des hôpitaux et de leurs systèmes informatiques désuets. Elle révèle leur manque de moyens pour s’adapter à ces enjeux. Nous voyons les hôpitaux multiplier les exercices de gestion de crise et préparer des éléments de langage, mais pas se barricader numériquement.
Or, il ne s’agit pas de communication de crise mais de soigner le mal à la racine. Sans une initiative d’ampleur, le public et le personnel hospitalier perdront confiance. Un premier pas en ce sens a été fait en 2023 : le Gouvernement a pris acte publiquement de l’ampleur du désastre en annonçant une rallonge de 20 millions d’euros pour renforcer la cybersécurité des hôpitaux.
Tirant les leçons des déboires de ses voisins, l’hôpital André-Mignot de Versailles, gravement attaqué à son tour fin 2022, a choisi d’emblée la transparence. Même scénario de crise, là encore un dimanche soir, début décembre 2022. Des écrans devenus noirs et dont l’accès est totalement bloqué, affichent ce message : « Tous vos dossiers importants ont été dérobés et cryptés. Suivez nos instructions ». Une cellule de crise est ouverte, en lien avec les autorités. Une rançon est réclamée, comme l’annonce, pour une fois publiquement, le coprésident du conseil de surveillance de l’établissement. « Nous n’avons pas l’intention de la payer », déclare-t-il, en précisant que le taux d’activité est réduit de 50 %. La direction de l’hôpital n’hésite pas à relater dans les médias son fonctionnement « à la main ».
Elle explique avoir coupé le réseau téléphonique et Internet pour éviter toute propagation du rançongiciel.
Le Gouvernement décide de projeter toute la lumière sur ce cas et deux ministres se rendent sur place, Jean-Noël Barrot (Numérique) et François Braun (Santé). Des reportages sont autorisés dans l’établissement pour filmer le calvaire des soignants. Les autorités sanitaires exposent leur plan de réponse : régulation des urgences et transferts de patients à risque au Samu, mobilisation des établissements publics et privés des alentours, activation d’une cellule de crise à l’Agence régionale de santé.
Crier haro sur les pirates est facile. Mais les pouvoirs publics se gardent bien de mentionner trop ouvertement les faiblesses informatiques de tous les hôpitaux français. Un éléphant dans la pièce… Car il s’agit de reconnaître leurs responsabilités. S’ensuit l’impression d’une sorte de silence coupable des autorités.
Les plus grandes villes françaises se sont également retrouvées paralysées par des hackers, avec le même modus operandi. En mars 2020, une attaque massive avec demande de rançon provoque un véritable black-out de l’administration marseillaise. Les 300 serveurs, 6 000 ordinateurs et 450 applications métiers sont inaccessibles : ils ont été entièrement cryptés. Plus de 90 % des données de la Métropole Aix-Marseille, qui gère l’exploitation de la voirie, des tunnels, du ramassage des ordures ménagères, de l’eau, sont inutilisables. Les sauvegardes de toutes ces données, qui permettent d’administrer la vie de la cité phocéenne, sont sauvées in extremis, à quelques heures de subir le même sort.
« Plus aucun de nos services à la population, comme Allô Mairie, n’étaient disponibles, on n’avait plus le moindre planning de nos 12 000 fonctionnaires, ni même plus notion de leur rémunération, on avait paumé les listes électorales pour le lendemain, mais aussi les listes d’inscriptions des enfants dans les crèches et écoles primaires pour la rentrée prochaine, on était bien incapables de savoir à quelles entreprises on devait de l’argent, tout comme on ne savait plus où en étaient les instructions de centaines de permis de construire, les commissions de sécurité sur les immeubles en péril, on ne pouvait plus enregistrer de mains courantes à la police municipale, laquelle ne pouvait même pas dresser de PV électroniques dans le cadre du respect des règles de confinement, on ne pouvait plus savoir, non plus, quelles concessions étaient libres dans les cimetières et puis, de toute façon, on ne pouvait même plus enregistrer en bonne et due forme les naissances et les morts », détaille un fonctionnaire à la presse locale. Tout cela en plein coronavirus, à quelques jours du confinement… Marseille va demeurer pendant des mois sans pouvoir facturer ses services ni gérer l’état civil.
Un scandale absolu ! Et pourtant, une fois de plus, l’affaire reste sous les radars de l’actualité. L’ampleur des dégâts n’est dévoilée qu’un mois plus tard. Les Marseillais ignorent complètement ce risque. Les Bouches-du-Rhône deviennent le seul département à ne pas pouvoir communiquer le nombre de ses victimes de la Covid-19. Pendant plusieurs semaines, Marseille est la seule ville à ne pas pouvoir délivrer d’actes de décès…
Alors que ces rançongiciels sont déjà bien connus, la sécurité numérique n’a pas progressé.
« Personne n’est à l’abri, car quand on est attaqué de la sorte c’est au terme d’une série de petites négligences, comme ne pas changer assez souvent les mots de passe, ne pas restreindre les accès privilégiés, ne pas cloisonner suffisamment les différents serveurs, etc. C’est plein de petites erreurs qui mènent à la catastrophe comme dans un crash aérien », expliquera un responsable de la sécurité.
Et pourtant, une ville ne paie généralement pas, ne serait-ce que par manque de moyens. Les entreprises ciblées sont en revanche soigneusement choisies ; les pirates étudient leurs comptes avant de lancer leur attaque. Les très petites et moyennes entreprises préfèrent souvent payer une somme dans leurs moyens plutôt que de tout perdre.
La ville ne retrouvera ses moyens opérationnels que trois mois plus tard, après un examen minutieux de chaque serveur. Attaquée de la même façon en 2023, la ville de Lille, contrainte de traiter ses dossiers administratifs à la main, choisit elle aussi de s’exprimer le moins possible. L’argument est d’éviter de faire de la publicité aux hackers, de crainte de faire des émules. Mais ce manque de transparence n’a pas fait progresser d’un pouce la culture de la précaution numérique. On trouve toujours sur le dark web plus de la moitié des mots de passe utilisés par les Français. Au final, ces crises silencieuses ne font qu’inquiéter davantage la population et donner plus de poids aux menaces des hackers.
