La direction de la Fondation santé des étudiants de France (FSEF), qui gère treize cliniques françaises de soins non urgents pour des jeunes âgés de 12 à 25 ans, a déclaré, mardi 20 avril, avoir été victime d’une cyberattaque.
Plus précisément, le groupe de santé a été victime d’un rançongiciel : un programme malveillant par lequel des pirates chiffrent les fichiers d’un système informatique dans lequel ils se sont introduits pour le rendre inopérant. Ces logiciels demandent ensuite une rançon aux entreprises ciblées si elles souhaitent retrouver l’accès à leurs ordinateurs et à leur réseau informatique.
Pas de retards de soins
Le rançongiciel (ransomware) qui a frappé la FSEF a rendu inaccessible la plupart des données de santé des patients de la fondation, a fait savoir Vincent Beaugrand, son directeur général, à l’Agence France-Presse – ce qui a contraint les équipes soignantes à retourner à des moyens rudimentaires de fonctionnement, avec du papier et du crayon.
Ces cliniques fournissent des soins de psychiatrie ou de réadaptation, mais pas d’urgences, de chirurgie ni de réanimation. Elles sont situées pour beaucoup en Ile-de-France, mais aussi dans d’autres départements, comme les Alpes-Maritimes.
M. Beaugrand a toutefois assuré qu’aucune de ces données n’avait été dérobée par les pirates et que cette attaque n’avait « pas d’impact pour [les] patients » de la FSEF : « aucun changement » n’a été, selon lui, nécessaire dans leur prise en charge ces derniers jours au sein des cliniques du groupe. L’accès aux « outils prioritaires » des 2 700 salariés devrait être rétabli d’ici à la « fin de semaine », a-t-il affirmé, en précisant que les systèmes de sauvegarde n’avaient pas été bloqués, ce qui a permis aux soignants d’accéder à certains dossiers de patients.
La FSEF, qui a détecté l’attaque dans la nuit du jeudi 15 au vendredi 16 avril, l’a signalée à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), avant de porter plainte dans un commissariat de Paris.
Un plan du gouvernement
Ces derniers mois, les établissements de santé ont été victimes d’attaques informatiques à une cadence qui tend à s’emballer. Vendredi 16 avril, un groupe hospitalier privé des Hauts-de-France a été également l’objet d’une attaque au rançongiciel ; le 9 avril, c’était un hôpital de Haute-Garonne qui était visé.
Ces hôpitaux, laboratoires ou plates-formes, qui gèrent des données sensibles, sont devenus des cibles privilégiées depuis la crise sanitaire. En février, le secrétaire d’Etat au numérique, Cédric O, évoquait « vingt-sept cyberattaques d’hôpitaux en 2020, une par semaine depuis 2021 », tandis que le président Emmanuel Macron a promis un plan d’un milliard d’euros destiné à renforcer la cybersécurité des services de santé.