Les leçons d’une cyberattaque

KATHRIN MORF. Le week-end du 14 octobre 2023, les employés de Psychiatrie Bâle-Campagne (PBL) voulaient reprendre leur travail comme d’ordinaire. Cependant, des cybercriminels leur ont compliqué la tâche: une grande partie de l’infrastructure informatique avait été cryptée. «Pour des raisons de sécurité, tous les systèmes IT ont été arrêtés à la suite de la cyberattaque», rapporte Thomas Heiniger, président du conseil d’administration de PBL, qui compte plus de 1200 employés et 15’000 patientes et patients par an. PBL gère des cliniques, des services ambulatoires, des centres de jour et propose des traitements à domicile. «Durant plusieurs jours, nos employés n’ont pas pu accéder aux dossiers médicaux électroniques des patients, n’étaient pas joignables par e-mail et n’avaient pas accès à la gestion des entrées et des sorties», ajoute-t-il. La sauvegarde des données n’a pas pu être utilisée, car elle risquait d’être infectée à son tour. «Toute cette expérience a été effrayante mais, au final, elle a également été instructive», déclare Thomas Heiniger qui, en tant que président d’Aide et soins à domicile Suisse, souhaite que l’Aide et soins à domicile (ASD) puisse également profiter des enseignements que PBL a tirés de cette cyberattaque:

• Les organisations d’ASD ne sont pas à l’abri: «Je souhaite sensibiliser les organisations d’ASD au fait que le risque de cyberattaque à leur encontre est très réel», dit Thomas Heiniger. «Aucune organisation ne doit penser que ses données ne sont d’aucune utilité pour les criminels. Souvent, les cybercriminels ne s’intéressent pas à nos données – mais à notre intérêt pour nos données.» Autrement dit, si une organisation subit des préjudices ou une pression lorsqu’elle ne peut pas accéder à ses données, elle est vulnérable au chantage et donc menacée.
  
• Les cybercriminels agissent de manière réfléchie: «Les cybercriminels ne sont pas des terroristes imprévisibles, mais des criminels hautement professionnels avec un ‹modèle commercial› bien réfléchi», dit-il. PBL ne donne pas de détails sur la cyberattaque. C’est pourquoi le «Magazine ASD» a interrogé Pascal Lamia, de l’Office fédéral de la cybersécurité (OFCS), sur le mode opératoire habituel des cybercriminels (voir encadré).
  
• Se prémunir contre une cyberattaque est essentiel: «Les organisations d’ASD devraient rendre l’accès à tous leurs systèmes aussi difficile que possible pour les criminels», conseille Thomas Heiniger (voir les conseils parus dans le Magazine ASD 5/2023). En charge de la numérisation chez PBL et responsable du traitement minutieux de l’attaque, Noemi Bönzli connaît les mesures supplémentaires qui ont été prises par PBL après l’attaque. «Face au danger réel et croissant que représente une cyberattaque, il est assurément important que la sécurité informatique soit considérée comme un processus continu, qui doit être activement mis en œuvre et nécessite des ressources et des compétences spécialisées», conseille-t-elle. Le thème ‹Backup & Recovery›, soit la création de copies de données sécurisées, est particulièrement important. Par ailleurs, PBL a mis en place un Security Operation Center (SOC) externe qui surveille son réseau informatique 24h/24. Tous les processus d’authentification externes sont ­protégés par une authentification à facteurs multiples (MFA). Le réseau a été segmenté en plusieurs sous-réseaux, incluant de nouveaux pare-feux. La sécurité des mots de passe a été renforcée, notamment en passant de combinaisons de 8 à 10 chiffres.
  
• Un concept de gestion de crise est capital: «Malgré de bonnes contre-mesures, on n’est jamais à l’abri d’une cyberattaque», reste convaincu Thomas Heiniger. Par exemple, le logiciel de sécurité de PBL n’a pas détecté l’attaque. «Chaque organisation d’ASD devrait donc préparer un plan d’urgence pour la gestion de crise à la suite d’une attaque, lequel définit les processus et les rôles.»
  
• Une cyberassurance peut aider: «Nous avons été très contents de la cyberassurance de PBL», indique le président du conseil d’administration. Et pas seulement par rapport au remboursement des pertes financières: «Cela a été un grand avantage de pouvoir compter dès le début sur l’expertise et l’expérience de cette assurance et de ses partenaires.»
  
• Il importe de connaître et solliciter des spécialistes externes: «Une organisation d’ASD devrait savoir quels spécialistes externes peuvent lui venir en aide après une cyberattaque», conseille Thomas Heiniger. Dans le cas de PBL, il s’agissait, outre les spécialistes de l’assurance, de ceux d’une entreprise spécialisée en cybersécurité et solutions réseau. «J’ai également contacté le canton de Bâle-Campagne, car le propriétaire d’une organisation doit être informé et impliqué», explique Thomas Heiniger. Par ailleurs, PBL a été en contact avec l’OFCS – et avec un spécialiste pourvu d’une grande expérience de la communication de crise.
  
• Une communication de crise professionnelle est primordiale: «La communication de crise doit ­inclure l’information du personnel sur ce qui s’est passé et assurer aux patientes et aux patients que l’on fait tout son possible pour garantir leur prise en charge. Et le public a également le droit d’être informé d’une telle cyberattaque», conseille-­t-il. «Dans ce contexte, la communi­cation de crise ne doit pas se faire à la hâte, mais de manière bien réfléchie. La première étape est absolument décisive.»
  
• L’engagement de tous les employés est nécessaire: Dès le 17 octobre déjà, un deuxième communiqué de presse de PBL sur la cyberattaque annonçait que les processus numériques centraux avaient été convertis avec succès en procédures analogiques. «Tous les employés doivent collaborer de manière intensive à la résolution de l’ensemble des défis opérationnels, techniques et politico-juridiques», relève Thomas Heiniger. «Par exemple, nos employés ont à nouveau recueilli toutes les informations nécessaires sur leurs patientes et patients – en recourant au papier et au stylo.» Pendant ce temps, les spécialistes IT internes et externes ont travaillé à la restauration du système principal et mis en place un système parallèle pour une utilisation immédiate. Le 25 octobre, un communiqué de presse a informé de la reprise de l’activité normale après qu’une partie des systèmes informatiques ait pu être remise en marche.
  
• Un bon suivi prend du temps: Nous ne savons pas si des données sensibles ont été volées, a déclaré le porte-parole de PBL, Thomas Lüthi, le 26 octobre à «Inside IT». Rien n’indique que des documents appartenant à PBL aient été publiés sur le web Néanmoins, «il faudra environ six mois pour terminer les travaux de réparation du système et que toutes les données soient à nouveau disponibles et sécurisées», indique Thomas Heiniger. Le traitement de l’incident ainsi que le suivi juridique prennent aussi beaucoup de temps. «Nous négocions actuellement avec l’assurance pour savoir quelles conséquences de la cyberattaque – comme le surcroît de travail considérable causé par l’attaque – elle acceptera de considérer comme dommages.»

Je souhaite sensibiliser l’Aide et soins à domicile aux dangers très réels d’une cyberattaque.

THOMAS HEINIGER

Président du conseil d’administration de PBL / président d’Aide et soins à domicile Suisse

Pour finir, Thomas Heiniger souligne que le traitement d’une cyberattaque devrait également inclure la reconnaissance envers l’ensemble du personnel: «Finalement, si les cybercriminels n’ont pas réussi à nuire à la bonne prise en charge de nos patientes et patients, c’est uniquement grâce à l’engagement sans faille de nos collaboratrices et collaborateurs.»

La Confédération donne un aperçu des cyberattaques

Selon l’Office fédéral de la statistique (OFS), le nombre précis de délits de «criminalité numérique» signalés en 2022 s’élève à 30 351, soit près de 25 % de plus que l’année précédente. La cybercriminalité économique en représente 88 %. «La plupart des cyberattaques sont menées selon le principe de ‹l’arrosoir›, notamment en exploitant des vulnérabilités ou en envoyant des e-mails avec des pièces jointes malveillantes à des centaines de milliers de victimes potentielles», explique Pascal Lamia, vice-directeur et responsable de la cybersécurité opérationnelle à l’Office fédéral de la cybersécurité (OFCS). «Le motif des auteurs est généralement de se procurer les plus gros gains financiers possibles avec le moindre effort.» Les autres motivations ne peuvent faire l’objet que de spéculations. Par exemple, les auteurs pourraient vouloir voler des informations sensibles pour discréditer une personne connue. Les attaques par «rançongiciel» sont toutefois plus fréquentes. Elles débutent en général par l’accès des cybercriminels à un système cible. Ces derniers copient ensuite les données et les chiffrent progressivement dans le système. «En règle générale, les auteurs se procurent aussi un aperçu de la situation financière de l’entreprise afin de déterminer le montant de la rançon.» Une demande de rançon est alors formulée – souvent avec la menace de publier les données copiées sur le darknet. Le contact entre les victimes et les ­assaillants commence la plupart du temps par un message sur les écrans de l’entreprise et se poursuit dans des salons de discussion spéciaux sur le darknet. Le paiement doit être effectué avec des monnaies numériques. «Souvent, l’auteur propose de décrypter gratuitement l’un ou l’autre fichier. Il prouve ainsi que la récupération des données fonctionne», explique l’expert. Comme les entreprises sérieuses, les groupes de hackers sont intéressés à une bonne réputation et attachent une grande importance à un bon «service après-vente». «Sur le darknet, il existe même des portails d’évaluation sur lesquels les groupes de hackers peuvent être notés.» Selon Pascal Lamia, il est arrivé dernièrement que des malfaiteurs proposent aux victimes potentielles la possibilité de payer une protection: qui paie ne sera pas attaqué.

L’OFCS conseille à toutes les victimes de faire appel aux autorités de poursuite pénale. En étroite concertation avec la police, les mesures individuel­les nécessaires sont ensuite prises pour la déli­mitation des dommages et pour l’identification et la restauration des systèmes infectés. «L’OFCS déconseille catégoriquement le paiement d’une rançon», souligne Pascal Lamia. «Les sommes ­extorquées sont investies par les auteurs dans des infrastructures, de sorte que les attaques futures seront encore plus sophistiquées. De plus, les ­extorsions ne cesseront pas tant que les demandes de rançon seront satisfaites.»

De plus amples informations sur la protection contre les cyberattaques et la procédure à suivre après une attaque se trouvent sur www.ncsc.admin.ch