La cybersécurité dans le secteur de la santé: pourquoi les hackeurs portent rarement un pull-over à capuchon

C’est lundi matin, la machine à café tourne, l’agenda est plein et quelque part entre les résultats de laboratoire et les notes de consultation s’affiche un courriel avec pour objet:
«Urgent – le résultat n’a pas pu être délivré»
Un petit clic et le quotidien reprend son cours. Le hic: c’est ainsi que commencent souvent les cyberattaques.

Cela fait bien longtemps que la cybercriminalité n’est plus un sujet abstrait, mais une réalité dans le système de santé suisse. L’année dernière, plusieurs hôpitaux, prestataires médicaux et organisations liées à la santé ont été victimes d’attaques de rançongiciels. On citera à titre d’exemple les incidents survenus chez RADIX [1], dans le groupe AMEOS [2] ou chez Vidymed [3].

Les systèmes étaient en partie indisponibles, il a fallu reporter des rendez-vous et des données sensibles sont apparues dans le darknet. Et cela non pas parce qu’une personne aurait agi de manière négligente, mais parce que les attaquants tirent systématiquement parti des routines humaines.

Les hackeuses et hackeurs modernes ne sont pas assis dans une cave sombre à saisir des codes comme des sauvages. Ils travaillent de manière structurée, analysent les informations accessibles au public, utilisent les réseaux sociaux et exploitent des données d’accès qui ont été divulguées. Les données médicales sont particulièrement prisées, étant donné qu’elles contiennent des informations sensibles et qu’il est difficile de les «remettre à zéro». Une carte de crédit peut être bloquée, contrairement au dossier médical. Les attaquants opèrent avec professionnalisme et patience.

Un schéma récurrent de cas réels: l’accès s’effectue souvent au moyen de courriels d’hameçonnage trompeurs, prétendument envoyés par des laboratoires, des fournisseurs informatiques ou même des collègues. Un clic suffit à déclencher en arrière-plan un enchaînement d’évènements qui ne se manifestent souvent que plusieurs jours ou semaines plus tard. C’est alors qu’apparaît soudain le message: «Systèmes cryptés. Une demande de rançon suivra.»

La prise de conscience des risques en matière de cybersécurité commence déjà par des questions simples, mais décisives:

De nombreuses attaques s’opèrent avec des moyens de pression tels que l’urgence ou l’autorité («dernier rappel», «support informatique», «notification de sécurité urgente»). Ces messages sont techniquement bien conçus, utilisent un langage de bon niveau et ne peuvent que difficilement être distingués des courriels légitimes.

Prendre conscience des risques en matière de cybersécurité ne veut pas dire qu’il faut se montrer méfiant vis-à-vis de tout ce qui est numérique ou être un expert ou une experte informatique. Il s’agit d’utiliser les outils numériques en connaissance de cause: prendre le temps de réfléchir avant de cliquer, se renseigner en cas de doutes et signaler à temps les évènements suspects.

Les mots de passe sont un autre facteur sous-estimé. Les mots de passe réutilisés ou simples figurent toujours parmi les causes les plus fréquentes d’attaques menées avec succès. Associés à des identifiants provenant de fuites de données antérieures, il en résulte un risque considérable, même si personne ne clique sur le lien malveillant. Ou pour utiliser une image: le meilleur système de sécurité ne sert à rien si la clé est sous le paillasson.

L’intelligence artificielle générative joue un rôle de plus en plus important dans la cybersécurité. Elle est non seulement utilisée comme moyen de défense, mais détournée de manière ciblée. Cela change surtout une chose: la vitesse et la qualité des attaques.

Les courriels d’hameçonnage qui étaient caractérisés autrefois par un langage médiocre ou des formulations illogiques utilisent aujourd’hui souvent un style impeccable, lié au contexte et personnalisé. L’IA générative permet aux attaquants d’établir en quelques secondes seulement des messages crédibles dans un français parfait qui sont adaptés à la branche, au rôle ou même à des évènements actuels. La traditionnelle «faute d’orthographe» qui éveillait les soupçons fonctionne donc de moins en moins bien.

Dans le domaine de la subversion psychologique aussi, l’IA pose de nouveaux jalons. Elle peut ainsi créer de manière automatisée des contenus sur la base d’informations accessibles au public, par exemple en référence à des sujets techniques, des conférences ou des prestataires connus dans le secteur de la santé. Même des messages audio ou vidéo falsifiés («deepfakes») ne sont plus de la musique d’avenir, mais ont déjà servi dans des cas de fraude réels.

En même temps, l’IA n’est pas seulement un outil pour les attaquants. Elle est aussi utilisée comme défense pour reconnaître des anomalies, filtrer des tentatives d’hameçonnage ou identifier des schémas suspects dans de grandes quantités de données. L’IA peut donc aider à reconnaître à temps les attaques. Elle ne remplace toutefois pas la capacité de jugement de l’être humain. Autrement dit, l’IA est comme un stéthoscope très performant. Elle fournit des indices précieux, mais le diagnostic reste une tâche humaine.

C’est pourquoi la sensibilisation en matière de cybersécurité gagne en importance. Si les attaques sont plus crédibles, rapides et taillées sur mesure, l’attention n’est plus une option, mais un élément-clé de la stratégie de sécurité.

Un peu d’humour permet de mieux saisir la portée du sujet: la cybersécurité ressemble à la prévention des infections. Un grand nombre de mesures ne sont pas spectaculaires, voire parfois désagréables – il faut cependant les appliquer systématiquement. Les pare-feu, logiciels antivirus ou mises à jour agissent comme des vaccins: ils sont importants et efficaces, mais ne suffisent pas si les règles d’hygiène de base sont ignorées au quotidien. La cybersécurité se compose d’un grand nombre de petites décisions répétitives au quotidien qui sont souvent anodines, mais décisives. C’est là que se situe leur efficacité. La technique peut intercepter bien des attaques, mais l’être humain reste l’élément central.

Au final, le principe qui s’applique à l’espace numérique est le même que pour la médecine: la prévention est généralement plus avantageuse – et nettement moins douloureuse – qu’une thérapie.