Cet article date de plus d'un an.

Cyberattaque : les hôpitaux ne paient pas de rançon, mais les données personnelles peuvent se "monétiser", selon un professionnel de la cybersécurité

L'hôpital de Corbeil-Essonnes (Essonne) est visé depuis dimanche 21 août par une cyberattaque. Les hackers réclament une rançon de 10 millions de dollars. 

Article rédigé par France Info
Radio France
Publié Mis à jour
Temps de lecture : 1 min
Une entrée du Centre hospitalier sud-francilien (CHSF) à Corbeil-Essonnes (Essonne), le 20 septembre 2011.  (JOEL SAGET / AFP)

Viser les hôpitaux "n'est pas lucratif, ce n'est pas une bonne opération pour l'attaquant, parce qu'il y a une consigne de l'Etat de ne pas payer les rançons", a expliqué ce mardi sur franceinfo Nicolas Arpagian, directeur de la stratégie en cybersécurité chez Trend Micro, auteur de La Cybersécurité, publié aux PUF.

Pour le Centre hospitalier Sud Francilien (CHSF) à Corbeil-Essonnes, au sud-est de Paris, une demande de rançon de 10 millions de dollars a été formulée en anglais et exigée par le ou les hackers. Au-delà de la consigne, l'hôpital "n'a pas la capacité financière de libérer cette somme."

"Vous avez une espèce d'industrialisation"

Il y a plusieurs types de cyberattaques. Lorsqu'elle est ciblée, "on peut envisager que l'attaquant n'ignore pas qu'il s'agit d'un hôpital, estime Nicolas Arpagian. S'il s'agit juste d'une démarche crapuleuse à des fins de monétisation, l'hôpital qui ne paiera pas la rançon n'est pas un bonne cible".

Le vrai risque, c'est l'utilisation des données qui seraient revendues parce que le pirate peut disposer d'un certain nombre de données de patients, des données personnelles et de santé, qu'il peut monétiser sur des places de marché criminel.

Nicolas Arpagian

directeur de la stratégie en cybersécurité chez Trend Micro, à franceinfo

Les criminels ont évolué dans le milieu de la cyberattaque. "Avant, celui qui concevait l'outil malveillant était celui qui l'exploitait et qui en tirait profit, explique Nicolas Arpagian. Dès lors que ça devient des activités lucratives vous avez une espèce d'industrialisation. Des gens vont concevoir les logiciels malveillants, d'autres vont passer commande et donc ils ne sont pas forcément capables de fournir les clés de déchiffrement."

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.