Et si en 2020, les établissements de service public décidaient de faire le nécessaire pour être à la pointe de la cybersécurité et se protéger des hackers ?
Alors que la mise en place du RGPD a surtout contribué à alerter sur les failles de sécurité informatique qui concernent les entreprises, il ne faut pas oublier que les établissements publics sont aussi les cibles privilégiées des hackers.
Il suffit de regarder le nombre et la virulence des cyberattaques dont ils ont été victimes en 2019 pour se convaincre de l’ampleur du phénomène.
Zoom sur quelques exemples très éloquents.
Le Centre Hospitalier Universitaire de Rouen
Le cas du CHU de Rouen est emblématique de la vague de piratages qui a visé les hôpitaux français. Il pose un réel problème concernant la protection des informations personnelles… mais aussi des malades !
Le 15 novembre 2019, à 19h45 exactement, les services du CHU ont ainsi été paralysés par un cyberattaque (un ransomware). À l’ère du tout numérique, cela pose vite de gros problèmes au niveau de la gestion des admissions, de l’édition des comptes-rendus mais aussi, et c’est plus inquiétant, de la prise en charge des malades et de la création des prescriptions.
Fort heureusement, cette paralysie n’a pas mis en danger la santé des patients. Mais faut-il pour autant se réjouir ? Ce n’est pas la première fois que les hôpitaux sont visés.
En effet, en 2019, d’autres établissements ont subi des dysfonctionnements informatiques. Le plus souvent, la raison n’est pas à chercher bien loin : la politique de cybersécurité est insuffisante. Ainsi, les hôpitaux de Montpellier (Hérault), Saint-Denis (Seine-Saint-Denis) et Condrieu (Rhône) ont aussi été la cible des hackers. Quant au Groupe privé Ramsay-Générale, il a du gérer en catastrophe une attaque généralisée touchant 120 cliniques et hôpitaux du groupe.
Il est donc d’urgent de mettre en place une culture de la sécurité informatique (formation du personnel, utilisation du chiffrement…) dans les établissements de soins français ! L’espoir viendra peut-être de la prochaine classification des hôpitaux comme Opérateurs de Services Essentiels (OSE). Il s’agit d’un dispositif élaboré à l’échelle européenne, comme l’a annoncé Guillaume Poupard, le responsable de l’ANSSI (source).
Nuits-Saint-Georges, un petit village de Côte d’Or
Le cas de Nuits-Saint-Georges est très intéressant, il montre que les petites communes ne sont pas à l’abri d’une cyberattaque. Bien au contraire, elles ont tout intérêt à prendre des mesures pour préserver la sécurité des données de leurs administrés.
Le 18 novembre dernier, ce paisible village de 5000 habitants a eu la surprise de voir ses services administratifs totalement bloqués. Les ordinateurs des équipes municipales se contentent alors d’afficher une demande de rançon. Le montant réclamé n’est pas énorme (2 200 €) mais les dégâts sont bien réels. Et une question se pose : alors que la mairie assure être équipée d’un système de protection, s’agit-il d’une erreur humaine ? Trop souvent, l’aspect formation et pédagogie est oublié dans les établissements publics.
L’exemple de Nuit-Saint-Georges est d’ailleurs loin d’être isolé. La mairie d’Aussonne (au nord de Toulouse), 7 000 habitants, a perdu soudainement l’accès à tous ses services (état-civil, cadastre).
La communauté d’agglomération de Grand Cognac (Charente) a été victime d’un rançongiciel. 400 ordinateurs ont été paralysés pendant plus de 10 jours, impactant ainsi directement ou indirectement plus de 70 000 habitants.
Et les exemples pourraient être multipliés à l’infini ! Nous pouvons encore citer Sarrebourg en Moselle, Sequedin dans le Nord (cette commune de 5000 habitants n’a pas pu récupérer les informations personnelles de ses administrés durant plusieurs mois)…
La sécurité informatique : un enjeu à l’échelle mondiale
La France n’est pas le seul pays dans lequel sévissent les cybercriminels. Aux Etats-Unis, une vingtaine de municipalités ont également vu leur système de sécurité informatique être déjoué par des hackers.
À chaque fois, au-delà des données sensibles dérobées, il peut y avoir des conséquences sur le bien-être et la santé des personnes :
- Numéros d’urgence hors service,
- Moyens de communication compromis (e-mails, téléphone…),
- Contrôle des eaux de la ville problématique,
- Trafic routier perturbé…
À titre d’illustration, il faut savoir que la ville de Baltimore a estimé ses pertes, suite à une cyberattaque, à 18 millions de dollars !
Dans ce contexte, il est grand temps d’agir. En effet, l’avenir est au tout connecté et à la smart city (ville intelligente) qui utilise un maximum d’applications. Pour éviter que les objets connectés ne deviennent la porte d’entrée des hackers, les questions de cybersécurité doivent être traitées en amont et en priorité.