Vous avez été attaqué par un ransomware, faut-il payer la rançon ?

Début février, dans la nuit du 4 au 5 exactement, le Hollywood Presbyterian Medical Center (HPMC), un hôpital de Los Angeles aux USA, a fait l’objet d’une attaque virale via un virus de type ransomware (rançongiciel). Tout le Système d’Information Hospitalier (SIH) est devenu hors d’usage. Les pirates demandaient initialement, d’après les premiers journaux, plus de 3,6 millions de dollars à payer en Bitcoins, cette monnaie virtuelle difficile à tracer, pour fournir la clé de déchiffrement des données.

Un hôpital moderne dont les processus de soins sont pleinement informatisés (niveau 6 ou 7 sur l’échelle EMR de l’HIMSS) peut se retrouver en grande fragilité pour assurer sa mission auprès des patients lors d’un incident informatique majeur. Les équipes médicales peuvent continuer à travailler mais elles le feront dans le cadre d’un Plan de Reprise d’Activité, si il existe, avec un passage forcé par l’âge de pierre, disons plutôt un retour au papier et aux crayons façon années 90. Cela n’étant pas sans risque pour les patients.

D’autre part dans le cadre d’un piratage, si le virus a pu chiffrer nos données, qu’a t-il pu faire d’autre ? Pour un expert en sécurité, la réponse est très anxiogène : Tout est envisageable ! Les bonnes pratiques et l’expérience nous conseillent de tout nettoyer par formatage. Les postes, les serveurs et les équipements infectés. Imaginez alors la complexité du chantier lorsque l’on parle de l’ensemble d’un SIH !

Il aura fallu dix jours à peu près pour que l’hôpital décide de payer une rançon négociée à 17 000 $ (15 000 € environ). Dix jours de cauchemar pour cet établissement d’environ 400 lits.

La question qui est aujourd’hui sur toutes les lèvres est la suivante : est-ce que Monsieur Stefanek, le PDG du HPMC, a eu raison de payer cette rançon pour débloquer son SIH ?

Une grande majorité des experts en sécurité vous diront qu’il n’aurait jamais dû accepter, la raison que nous évoquons tous à ce sujet c’est que si l’on paye on alimente ce système et les futures attaques seront encore plus évoluées et sans doute plus dramatiques.

Certes cela est juste mais il faut aussi peser le rapport “bénéfices / risques”. Un hôpital ne peut pas rester bloqué dans une situation à hauts risques pour ses patients. 15 000 € dans cet exemple, est-ce si cher eu égard à ce que peut coûter une aggravation médicale liée à une erreur voire pire, un décès ?

La question à se poser, l’analyse à faire pour l’HPMC, c’est pourquoi est-ce arrivé ? Pourquoi l’établissement n’a pas pu restaurer son Système d’Information Hospitalier dans l’état stable le plus récent, précédent l’attaque ? Il n’était sans doute pas prêt, comme beaucoup d’autres établissements de santé partout dans le monde, y-compris chez nous en France.

Dans cet exemple c’est un hôpital qui n’a pas eu de chance (d’après le FBI il n’était pas spécifiquement ciblé). Depuis 2013 nous avons référencé des dizaines d’attaques de ce type, dont plusieurs en milieu hospitalier. Dans une très grande majorité des cas une déconnexion du poste utilisé pour l’attaque, suivi d’une restauration complète des systèmes infectés à suffit. En quelques heures seulement, parce que les outils et le savoir-faire étaient au rendez-vous.

Mais pour vous, qu’en est-il de votre organisation ?