Conseil de sécurité: pour contrer les attaques par rançongiciel, la coopération internationale s’impose, mais les plateformes proposées diffèrent
Pour introduire la réunion demandée par les États-Unis —avec le soutien de la France, du Japon, de Malte, de la République de Corée et du Royaume-Uni, qui la présidait— le docteur Tedros a cité deux exemples récents qui démontrent la gravité de la situation: l’attaque de 2020, en pleine pandémie de COVID-19, contre l’hôpital universitaire de Brno en Tchéquie, l’obligeant à fermer son réseau, à transférer ses patients et à reporter des procédures; l’attaque contre le système de santé publique d’Irlande, par le gang Conti en mai 2021, qui a rendu la plateforme nationale d’imagerie médicale inaccessible et a interrompu les services de radiothérapie dans cinq centres de santé majeurs.
La valeur élevée des données de santé et les ressources parfois limitées des hôpitaux rendent ces derniers particulièrement vulnérables aux attaques de rançongiciels, a expliqué le docteur Tedros, citant des études qui révèlent une augmentation de leur échelle et de leur fréquence. Ainsi, en 2021, plus d’un tiers des répondants à une enquête mondiale ont affirmé avoir subi au moins une attaque de rançongiciel, et un tiers de ces victimes ont payé une rançon, parfois sans être en mesure de récupérer leurs données. De plus, ces attaques ne se limitent pas aux établissements de santé, a-t-il ajouté, mais touchent également toute la chaîne d’approvisionnement biomédicale, comme le montrent les vulnérabilités identifiées chez 17 entreprises impliquées dans la fabrication de vaccins contre la COVID-19 et le développement de traitements.
À sa suite, Mme Anne Neuberger, Conseillère adjointe à la sécurité nationale sur les cybertechnologies et les technologies émergentes des États-Unis, a confirmé le caractère exponentiel de cette menace, rapportant qu’en 2023, plus de 1 500 incidents de rançongiciels ont été recensés dans son pays, avec un total de rançons payées s’établissant à 1,1 milliard de dollars. C’est 50% de plus qu’en 2022, 10 fois plus qu’en 2018 et 100 fois plus qu’en 2014, a-t-elle observé, ajoutant que selon des analyses récentes des renseignements américains, 51% des attaques mondiales par rançongiciel au cours du premier semestre de cette année ont été menées contre des cibles américaines. La santé est d’ailleurs l’un des quatre secteurs les plus attaqués, avec 249 incidents de rançongiciels l’année dernière, a précisé la conseillère.
M. Eduardo Conrado, le Président d’Ascension, un système de santé catholique à but non lucratif, le troisième plus important des États-Unis, a justement offert un témoignage de première main sur l’attaque par rançongiciel dont son organisation a été victime le 8 mai 2024. À la suite de cette attaque, Ascension a dû activer des procédures d’urgence, consistant notamment à revenir aux dossiers papier, ce qui a imposé un fardeau considérable à son personnel. M. Conrado a également souligné que plusieurs hôpitaux du groupe ont dû dévier les services médicaux d’urgence vers d’autres établissements, prolongeant leurs temps de déplacement, avec des conséquences potentiellement graves pour les patients. La restauration complète des systèmes d’Ascension a pris 37 jours, coûtant au groupe 130 millions de dollars, en plus d’une perte de revenus opérationnels estimée à 900 millions de dollars.
Une hausse confirmée des attaques par rançongiciel
À l’instar d’autres membres du Conseil, la France a observé sur son territoire une hausse de 30% des attaques par rançongiciel en 2023 par rapport à l’année précédente, dont un dixième visait des établissements de santé, avec de graves conséquences sur la délivrance de soins vitaux. Cette croissance, a expliqué le représentant français, est favorisée par l’accessibilité sur le marché de codes sources et d’outils d’intrusion cyber. La Slovénie a pour sa part noté le rôle du développement rapide de l’intelligence artificielle (IA), permettant à des acteurs étatiques et non étatiques de mener de telles attaques sans avoir des compétences technologiques élevées. En résulte, selon un calcul de l’Union européenne, qu’une attaque par rançongiciel a lieu toutes les 11 secondes dans le monde, un taux qui devrait passer à une attaque toutes les 2 secondes d’ici à 2031.
La République de Corée, qui avait déjà organisé un débat public sur le sujet au Conseil en juin, a mis en lumière les menaces pour la paix et la sécurité internationales des usages malveillants des technologies de l’information et des communications (TIC) en citant un exemple précis. Selon le rapport annuel du Groupe d’experts du Comité des sanctions concernant la République populaire démocratique de Corée (RPDC), la moitié des revenus en devises étrangères de ce pays proviennent d’activités informatiques illégales, illustrant l’utilisation du cybercrime pour contourner les sanctions internationales et financer, en l’occurrence, ses programmes nucléaire et balistique illégaux. La République de Corée a conclu en affirmant que la menace cybernétique est un problème global qui nécessite une réponse internationale coordonnée.
Les réponses possibles
Parmi les solutions envisagées, plusieurs membres du Conseil ont mis en avant l’« International Counter Ransomware Initiative (CRI) », lancée en 2021 par les États-Unis et 67 partenaires (dont la France, le Japon, la République de Corée, la Slovénie, la Suisse et le Royaume-Uni) et qui a tenu en octobre sa quatrième réunion. Une des recommandations qui en résultent, a indiqué la Royaume-Uni, est que les gouvernements ne payent pas de rançons. Il prône également une meilleure coordination interétatique et un accroissement de la résilience. Ce à quoi les États-Unis entendent s’employer à l’avenir via la création prévue, par leur Agence pour le développement international (USAID), d’un fonds destiné à aider les pays à réagir et à se remettre des attaques par rançongiciel.
À ce propos, les États-Unis ont accusé la Fédération de Russie de laisser les créateurs de rançongiciels opérer en toute impunité depuis son territoire, citant le groupe cybercriminel LockBit du ressortissant russe Dimitry Khoroshev, inculpé par la justice américaine. La délégation russe a nié ces « accusations lancées sans preuves », arguant que l’anonymat rend pratiquement impossible l’identification fiable de la source d’une activité malveillante. Critiquant l’attitude « extrêmement peu constructive et même nuisible » des États-Unis sur ce dossier, elle a encouragé le Conseil à se préoccuper davantage des installations médicales détruites par Israël à Gaza que de débats sur la cybersécurité.
Pour cela, a fait valoir la Russie, il existe des plateformes plus inclusives et légitimes, telles que le groupe de travail à composition non limitée, qu’elle a contribué à créer, ou l’Assemblée générale, qui vient d’approuver le projet de convention des Nations Unies contre la cybercriminalité. Se disant elle-même victime d’attaques par rançongiciel venant d’Ukraine et supervisées par l’OTAN, elle a exhorté à la ratification rapide de cette convention. La Chine, qui a dit partager l’avis de la Russie quant au manque de pertinence de ces questions dans les débats du Conseil de sécurité, a lancé un appel à respecter la nature pacifique du cyberespace et à ne pas le militariser.
Les capacités des pays et la dimension genre
Offrant une autre perspective, le Mozambique a souligné que face à ces cyberattaques, les pays en développement sont particulièrement vulnérables en raison d’une infrastructure de cybersécurité limitée, de cadres réglementaires peu développés et d’un accès insuffisant à des formations de qualité en sécurité numérique. Ainsi, lorsque les attaques par rançongiciel perturbent des secteurs critiques comme ceux de la santé, les coûts nécessaires à la récupération des données et à la mise à niveau des systèmes sont « presque insurmontables » pour des pays déjà très contraints budgétairement, a fait valoir le Mozambique. Le point de vue des pays du Sud « doit être au cœur, et non à la périphérie », des cadres internationaux en matière de cybersécurité et d’intelligence artificielle, a martelé l’Algérie, pour qui « il ne s’agit pas seulement d’équité, mais aussi d’efficacité ». La représentante de Malte a appelé, quant à elle, à ne pas négliger la dimension de genre dans la mise en œuvre des normes cybernétiques et le renforcement des capacités sensibles.
Enfin, a insisté le docteur Tedros sur la base de plusieurs rapports publiés par l’OMS en collaboration avec INTERPOL et l’Office des Nations Unies contre la drogue et le crime (UNODC), ce qu’il convient de faire urgemment, c’est de changer radicalement notre mentalité quant à la dépendance aux systèmes informatiques et d’investir autant dans les personnes que dans la technologie. « Les humains sont à la fois les maillons les plus faibles et les plus forts en matière de cybersécurité », a-t-il martelé, avant d’en appeler lui aussi à une coopération internationale renouvelée, afin de combattre un mal, qui, « comme les virus, ne respecte pas les frontières ».
NOUVEAU - Suivez la couverture des réunions en direct sur notre LIVE
MENACES CONTRE LA PAIX ET LA SÉCURITÉ INTERNATIONALES
Exposés
M. TEDROS ADHANOM GHEBREYESUS, Directeur général de l’Organisation mondiale de la Santé (OMS), a évoqué devant le Conseil de sécurité les menaces croissantes liées aux attaques de rançongiciels contre les hôpitaux et autres établissements de santé. Il a d’abord souligné la gravité de la situation en rappelant l’attaque de 2020, en pleine pandémie de COVID-19, contre l’hôpital universitaire de Brno en Tchéquie, qui a dû fermer son réseau, transférer des patients et reporter des procédures. Ou encore l’attaque contre le système de la santé publique de l’Irlande par le gang de rançongiciels Conti en mai 2021, qui a rendu la plateforme nationale d’imagerie inaccessible et interrompu les services de radiothérapie dans cinq centres de santé majeurs, forçant plus de la moitié des hôpitaux de soins aigus à reporter les rendez-vous externes et les interventions cliniques programmées.
« Ces attaques ne concernent pas seulement la sécurité et la confidentialité; elles peuvent être une question de vie ou de mort », a-t-il ainsi relevé, avant d’expliquer que la transformation numérique des systèmes de santé, combinée à la valeur élevée des données de santé et aux limites des ressources des établissements de santé les rend particulièrement vulnérables à de telles attaques.
Le Directeur général a ensuite cité des études qui montrent une augmentation de l’échelle et de la fréquence des attaques contre le secteur de la santé. En 2021, plus d’un tiers des répondants d’une enquête mondiale ont subi au moins une attaque de rançongiciel, et un tiers de ces victimes ont payé une rançon, bien que 31% n’aient pas récupéré leurs données cryptées. Les attaques ne se limitent pas aux prestataires de services de santé, mais touchent également la chaîne d’approvisionnement biomédicale, comme le montrent les vulnérabilités identifiées chez 17 entreprises impliquées dans la fabrication de vaccins contre la COVID-19 et le développement de traitements.
Le rapport d’un groupe de travail à composition non limitée sur la question a proposé plusieurs recommandations pour renforcer la cybersécurité, que l’OMS et ses partenaires appliquent dans le domaine de la santé. En décembre dernier, a expliqué son Directeur général, l’OMS a réuni des experts à Genève afin d’élaborer des stratégies pour faire face aux menaces de cybersécurité. Ils ont identifié plusieurs défis majeurs: l’incapacité à communiquer clairement aux décideurs la menace des rançongiciels et l’intérêt d’investir dans la cybersécurité; l’absence d’un cadre de gouvernance clair pour la cybersécurité; une infrastructure complexe qu’il est difficile de rendre plus sûre; un écart important entre l’offre et la demande mondiales de compétences et d’experts en cybersécurité.
En janvier, l’OMS a publié des rapports en collaboration avec INTERPOL et l’Office des Nations Unies contre la drogue et le crime (UNODC) sur les moyens de renforcer la sécurité informatique et de contrer la désinformation, a fait observer le docteur Tedros. Il a mis l’accent sur la nécessité de changer radicalement de mentalité vis-à-vis de la dépendance aux systèmes informatiques pour la sécurité, insistant sur l’importance de l’investissement dans les personnes autant que dans la technologie pour contrer ces menaces. Il a souligné que la formation du personnel pour identifier et répondre aux cyberattaques est cruciale, ajoutant que « les humains sont à la fois les maillons les plus faibles et les plus forts en matière de cybersécurité ».
En conclusion, le docteur Tedros a appelé à une coopération internationale indispensable pour combattre les cyberattaques, qui, comme les virus, ne respectent pas les frontières. Il a évoqué l’Initiative mondiale sur la santé numérique et l’Initiative mondiale sur l’IA pour la santé, soulignant le rôle de ces plateformes dans le dialogue international et dans la formulation de réponses coordonnées à la menace cybernétique globale.
M. EDUARDO CONRADO s’est exprimé en tant que Président d’Ascension, un système de santé catholique à but non lucratif qui est le troisième plus grand système de santé des États-Unis. Il a indiqué qu’Ascension prodigue chaque année des soins à plus de 6 millions de personnes, avec plus de 3 millions de visites aux urgences et pratique près de 600 000 interventions chirurgicales. Le secteur de la santé est particulièrement vulnérable aux attaques cybernétiques et aux rançongiciels en raison de sa taille, de sa dépendance technologique et des données sensibles qu’il sécurise et conserve, a-t-il fait remarquer, avant d’informer que son organisation a été victime, elle-même, d’une attaque de ce type le 8 mai 2024. Le groupe Ascension a été ainsi obligé de passer aux dossiers papier pendant que les systèmes de dossiers médicaux électroniques étaient compromis. « En raison d’une attaque malveillante, nos équipes de soins et nos patients sont passés de l’utilisation de toute la technologie incroyable qu’ils utilisent tous les jours à travailler sur papier, par télécopieur et par livraison en main propre », a-t-il témoigné. En bref, notre système de soins moderne a été renvoyé dans le passé.
Ce n’est que le 14 juin, 37 jours après le lancement de l’attaque que les services ont été rétablis, mais « nous continuons à gérer les retombées de cette attaque aujourd’hui », a-t-il avoué. M. Conrado a souligné qu’Ascension n’est qu’une des nombreuses entités de santé ciblées par les cybercriminels chaque jour. Contrairement à de nombreuses organisations de soins de santé plus petites qui ne disposent peut-être pas d’autant de ressources, nous avons eu la chance de pouvoir rapidement engager des experts en cybersécurité internes et externes et des conseillers juridiques pour enquêter, contenir le problème et sécuriser nos systèmes, a-t-il expliqué. Il a dit que le groupe a collaboré avec le Bureau fédéral d’investigation (FBI) et l’agence nationale de cybersécurité pour répondre à cette attaque.
Malgré tout, l’impact financier de l’attaque par rançongiciel de mai 2024 a été énorme, car Ascension a dépensé environ 130 millions de dollars pour sa réponse à cette attaque et a perdu environ 900 millions de dollars de revenus d’exploitation à la fin de l’exercice 2024. Le Président d’Ascension a indiqué que les attaques de rançongiciels contre les systèmes de santé sont en augmentation, avec 386 cyberattaques dans le secteur de la santé signalées jusqu’à présent en 2024 aux États-Unis selon le Ministère américain de la santé et des services sociaux. Ces attaques ne sont pas menées par des individus malhonnêtes, mais par des cybercriminels professionnels qui sont hautement qualifiés et bien dotés en ressources, a-t-il affirmé. D’où son appel à renforcer la coordination et la coopération internationales pour lutter contre les attaques de rançongiciels et protéger les systèmes de santé dans le monde entier.