Le mardi 14 janvier, soit 39 jours, après avoir été visé par une cyberattaque, Vidymed a annoncé la restauration de l'essentiel des données. Cette attaque d'ampleur avait paralysé son réseau informatique, rendant inaccessibles tous les dossiers patients, l'historique des consultations et les agendas des collaborateurs. Quelles sont les premières mesures prises lors de ce type d'attaque? Que sont devenues les données médicales des patients de Vidymed? Le secteur de la santé devient-il une cible privilégiée des hackers? Retour sur cet événement avec l'éclairage de Jean-Pierre Hubaux, professeur et directeur académique du Centre pour la confiance numérique de l’EPFL (C4DT).
Lors de la conférence de presse du groupe Vidymed, l'EPFL a été cité comme ayant collaboré avec le groupe durant la période de crise, quel a été son rôle?
Je tiens à préciser que l'EPFL n'a pas vocation à faire du soutien informatique. Il y a des entreprises privées qui sont spécialisées dans ce domaine. Dans le cas de Vidymed, ce qu'a fait l'EPFL est de l'ordre de l'entraide. Dans une situation d'urgence, on cherche des conseils et nous avons été solidaires face à cette situation.
Nous allons revenir chronologiquement sur les événements. Samedi 7 décembre, à la prise de service du matin, les employés de Vidymed ne peuvent accéder au réseau sur leur ordinateur, leurs responsables informatiques s'aperçoivent rapidement qu'il ne s'agit pas d'un «simple bug», mais d'une «intrusion», la première action fut de couper immédiatement la connexion internet, c'est ce qu'il faut faire?
Effectivement. Couper le réseau, c'est couper la connexion internet, donc interrompre l'accès aux machines par les pirates. C'est habituellement la première réaction des institutions visées. Ce que nous constatons, de manière générale, c'est qu'au moment où l'entreprise décide de couper cette connexion, les machines ou les logiciels ne sont déjà plus opérationnels, il est donc trop tard.
Ce qui est important de savoir dans ce type de situation, c'est le timing de la demande de rançon. Si la demande intervient rapidement après le constat de l'intrusion, cela voudrait dire que les données ciblées sont déjà dans les mains des pirates.
Vidymed a dit que l'intrusion ne s'est pas faite via un phishing, soit un lien malveillant qui aurait été activé par un collaborateur, quelles sont les autres méthodes pour paralyser un système de la sorte?
Malheureusement, le savoir-faire des cybercriminels s'est élargi. On connaît la façon la plus classique de pirater un système en envoyant un lien malveillant, mais on peut aussi implanter un virus en profitant d'une faille dans les systèmes informatiques. Si je prends l'exemple d'un ransomware, le virus va rester dormant un certain temps. Il va essayer de se propager en attaquant d'autres serveurs de la même organisation et de se répandre petit à petit.
Le virus va donc envoyer aux pirates les fichiers qu'il a copiés à bas débit de manière à ne pas se faire repérer. Cette exfiltration peut durer des semaines, voire des mois.
Durant cette phase silencieuse, les ordinateurs ou autres logiciels continuent de fonctionner?
Oui, tout à fait. Tout semble normal alors que le virus est déjà dans votre système.
Mais que se passe-t-il alors dans la phase suivante où il est impossible de démarrer les machines ou d'accéder au logiciel?
Il s'agit de la phase aiguë où vous arrivez devant votre poste et que «plus rien ne marche». Les cybercriminels bloquent l'entreprise et déclenchent la panique. Ils exigent de l'argent contre la non-divulgation des données sur le dark web et leur récupération. La demande de rançon arrive très rapidement sous la forme d'un email anonyme.
On dirait le début d'une négociation dans un film policier...
Cela y ressemble beaucoup. Le délai initial de la demande de rançon est très court, les criminels demandent de la payer en quelques jours seulement, mais l'entreprise peut aussi engager une négociation. Les cybercriminels sont rodés à ce type d'échange. C'est comme dans une prise d'otage, il y a toujours un canal de discussion et les négociations s'engagent.
Vidymed n'a pas souhaité apporter de précisions concernant les modalités de l'attaque, car le dossier est aux mains du Ministère public, mais le groupe a expliqué avoir restauré ses données via une nouvelle infrastructure informatique, pouvez-vous nous en dire plus à ce sujet?
Si les organisations sont bien préparées, elles font des sauvegardes des données, incompris des sauvegardes hors lignes, qui n'ont donc pas été accessibles par les pirates. C'est ce qu'on appelle la phase de remédiation. L'entreprise va donc récupérer ces données et les réinstaller dans les machines.
Cette phase peut prendre plusieurs semaines et elle est très fastidieuse.
Elle a pris 39 jours pour Vidymed, c'est une durée normale, selon vous?
Cela ne me surprend pas. C'est un travail colossal.
Vidymed n'a pas communiqué sur une éventuelle rançon, secret de l'instruction oblige, mais si le groupe a pu créer un système informatique parallèle, cela signifie probablement qu'il n'a pas payé les pirates, n'est-ce pas?
Si les mesures de sécurité comme ces sauvegardes hors ligne ont été appliquées et que l'entreprise peut les restaurer, elle peut décider de ne pas payer les pirates et de ne pas financer le crime organisé. Mais, comme je vous l'ai dit précédemment, le nettoyage du parc informatique et la restauration du système demandent non seulement des compétences particulières en informatique, mais aussi un investissement financier important. En général, les entreprises attaquées font appel à des sociétés externes pour accélérer le processus de nettoyage et de restauration. La question est:
Nous parlons ici de données médicales. C'est un sujet très émotionnel. Cette période d'incertitude a dû être très difficile pour le personnel soignant et les patients.
Mais la cybercriminalité est un marché florissant, beaucoup de victimes paient n'est-ce pas?
Avant d'être attaquées, on entend les organisations dire qu'elles ne paieront jamais de rançon, mais quand elles sont victimes, elles se retrouvent confrontées à un dilemme. Dans l'urgence, la panique et l'ampleur de l'attaque, certaines finissent par payer.
Imaginez pour une PME de ne plus avoir accès à ses factures, commandes, suivi et clients, du jour au lendemain. Si l'entreprise est mal préparée, elle n'aura plus accès à un fichier client ni à ses archives, cela peut lui être fatal.
Quel est le montant des rançons demandées par les criminels?
Vous savez, les cybercriminels sont rusés. Les sommes demandées ne doivent pas être inatteignables. Elles doivent rester réalistes.
Une PME de 50 salariés ne va pas payer aussi cher qu'une grande entreprise. Elles peuvent s'élever à plusieurs millions pour des multinationales, quelques dizaines de milliers de francs pour une petite entreprise. Il faut que le business fonctionne, si je peux m'exprimer ainsi.
Est-ce que les structures de santé sont des cibles privilégiées des cybercriminels?
Les pirates attaquent tout le monde, sans aucun scrupule. Les établissements de santé ont été énormément ciblés, car les données de santé sont sensibles et les cybercriminels espèrent obtenir plus facilement des rançons. Il faut aussi souligner que les grandes structures ont des vulnérabilités qui sont liées à la complexité et la diversité extrême du parc des machines.
Vous entendez, par là, des ordinateurs vieillissants?
Oui, mais pas seulement, il peut s'agir des logiciels qui ne sont pas mis à jour par exemple.
Dans des établissements hospitaliers, nous trouvons des instruments de mesure, comme des scanners ou autres qui sont plus vieillissants et peut-être moins protégés.
Vidymed a dit que les données de ses patients ne sont pas sur le darkweb, comment peut-elle le savoir?
Sans entrer dans les détails, je dirai qu'il y a des sociétés qui sont mandatées pour explorer le darkweb et que certaines personnes sont très bien informées. C'est en quelque sorte une zone grise du darkweb.
Nul ne peut dire ce qu'il adviendra de ces données par la suite. Si les entreprises attaquées ne cèdent pas au chantage, elles prennent le risque de se voir exposer sur le darkweb, mais si elles cèdent, en payant les criminels et qu'elles récupèrent leurs données, rien ne leur garantit qu'elles ne seront plus ciblées à l'avenir. Ce sont des criminels et ils sont opportunistes. Payer est une solution à très court terme, cela montre notre vulnérabilité et les criminels peuvent recommencer sans scrupules.
Est-ce légitime de penser que, tôt ou tard, chaque entreprise sera victime d'une cyberattaque et qu'il faut tout d'abord se concentrer sur la restauration des données?
Non, ce n'est pas une fatalité. Je vais faire une analogie avec le secteur de la santé. On doit se concentrer autant sur la prévention que sur les soins. C'est la même chose concernant la cybercriminalité. Les entreprises ont besoin de se préparer aux attaques et de former leurs collaborateurs. On doit non seulement faire un effort de prévention en déployant des outils pour protéger les infrastructures, mais aussi de remédiation, c'est-à-dire, trouver la meilleure façon de restaurer son système et ses infrastructures. Aujourd'hui le risque de subir une cyberattaque est devenu systémique. C'est un business model en pleine expansion.