Chiffrer les (impacts des) cyberattaques
publié le 2 avril 2024
Les établissements hospitaliers, cibles “privilégiées” des cyber-attaques, c’est désormais une chose bien établie et une triste réalité. Triste, détestable même et coûteuse. Rarement (heureusement) en vies mais systématiquement en termes de coûts induits.
Quel que soit le type d’attaque (déni de service, hameçonnage, vol de données, rançongiciels, blocage des serveurs…) mais avec des répercussions variant en intensité, les cyber-attaques sont un gros facteur de coûts pour les hôpitaux : fermeture de services, exode de patiente, coûts de restauration des données, des systèmes et/ou des services…
Si l’on se focalise sur les attaques par rançongiciels (ransomware), officiellement, aucun établissement belge n’a encore annoncé ou admis avoir cédé au chantage. Certains hôpitaux privés français ont par contre laissé entendre qu’ils avaient payé pour pouvoir retrouver une activité normale et le gouvernement a entériné l’idée d’une indemnisation des rançons à condition qu’une plainte ait été déposée dans un délai précis), la facture est toujours élevée.
Que les hôpitaux paient ou non les preneurs d’otage, des chiffres précis sont disponibles, annoncés par certains hôpitaux qui furent victimes de telles attaques.
A Corbeil-Essonnes, en France, les rançonneurs (le collectif de hackers Lockbit, d’origine russe) réclamaient 10 millions de dollars.
Le Centre hospitalier de Dax, victime d’une attaque par rançongiciel en 2021, a mis plusieurs semaines avant de pouvoir rouvrir ses portes et a passé de très nombreux mois à remettre son infrastructure et ses opérations informatiques en ordre de marche intégral.
Coût total des opérations de restauration : plus de 2,3 millions d’euros. Une facture qui inclut “des investissements matériels côté réseau (174.000 euros), des prestations de cybersécurité et de réinstallation de systèmes (546.000 euros), la sous-traitance de prestations de biologie médicale (9.000 euros), des coûts de formation et d’information internes, les équipes de renforts mobilisées et les heures supplémentaires induites (1,48 million d’euros) ou encore les pertes de recettes commerciales de l’établissement (143.000 euros).” Source: le site The Conversation.
Ce total n’a rien d’exceptionnel, les observateurs estimant qu’une restauration après cyber-attaque peut coûter “entre 3 et 5 millions d’euros” pour un établissement hospitalier. Voir à ce sujet l’étude “Cyber security and resilience for smart hospitalisé” de l’ENISA (European Union Agency for Cybersecurity).
Selon une étude de Check Point Software ethnologies, fournisseur de solutions de sécurité, on a dénombré, en 2023, une moyenne de 1.684 cyber-attaques par semaine visant des établissements hospitaliers (à l’échelle mondiale). Soit une augmentation de 22% par rapport à 2022.