Cyberattaque contre un hôpital – entre sécurité informatique et poursuites pénales
Une matinée structurée à l’hôpital prend un tournant dramatique: une cyberattaque met des patients en danger de mort. Alors que la CERT se concentre sur le retour à la normale, les poursuites pénales tentent d’arrêter les coupables. Une course contre la montre commence et montre ce qui est décisif dans la lutte contre la cybercriminalité.
Le soleil se lève au-dessus de l’hôpital de la ville moderne de «Digicity» en Suisse. Le personnel soignant se prépare au changement d’équipe. Mais alors qu’un infirmier vérifie le dosage d’un médicament, il remarque des incohérences. La dose de morphine prescrite tuerait son patient. Il réalise vite que ce n’est pas le seul dossier médical falsifié. Alerté, il appelle le département informatique de l’hôpital à l’aide.
L’attaque
Le service informatique constate rapidement que leur hôpital a été victime d’une cyberattaque. Les ressources propres sont épuisées, mais la clinique doit continuer à fonctionner – une panne informatique ou des données incorrectes peuvent coûter des vies humaines. La responsable informatique alerte la Computer Emergency Response Team (CERT) de «Digicity». L’experte en sécurité informatique, Mira Sommer, et son équipe arrivent rapidement sur place. Leur objectif: comprendre l’attaque, prendre des mesures de protection et rétablir le fonctionnement normal avec des données intactes. Ils luttent contre la cybercriminalité en contrecarrant les plans des assaillants et en rendant l’organisation plus sûre pour de futures attaques.
Il est clair que les assaillants ont enfreint le droit pénal suisse en pénétrant sans autorisation dans un système (art. 143 bis CP) et en manipulant des données (art. 144 CP). On ne sait pas encore s’il existe également un vol de données (art. 143 CP), s’il y a chantage (art. 181 CP) et si la victime est contrainte de payer une rançon (art. 155 CP).
Le dilemme
Mira conseille de porter plainte. La responsable informatique hésite: «Devons-nous vraiment le signaler? Qu’est-ce que cela apporte? Ils ne peuvent pas nous aider! La police et le ministère public ne sontils déjà pas assez occupés? Et de toute façon, n’est-il pas de notre ressort de maîtriser les cyberattaques?» Elle mentionne un cas antérieur dans lequel la coopération avec la police et le ministère public n’a pas fonctionné et où les agresseurs n’ont pas fait l’objet de poursuites sérieuses.
Remarque: le cas décrit ainsi que les noms et les personnes qui y figurent sont fictifs. L’article est toutefois basé sur des faits véridiques, qui se sont réellement produits dans différentes institutions. Cette présentation sert uniquement à illustrer la collaboration entre une Computer Emergency Response Team et les forces de l’ordre.
Mira rappelle à la responsable informatique que, bien que sa priorité absolue soit de faire face à la cyberattaque, sans l’implication rapide des forces de l’ordre, les coupables resteront impunis, créant un espace numérique de non-droit propice à d’autres attaques.
Mira connaît les bons contacts. Elle appelle le policier Leo Winter, un cyberenquêteur expérimenté. Il a déjà réussi à mettre fin aux agissements de plusieurs gangs internationaux. Tous deux poursuivent le même objectif: améliorer la cybersécurité à «Digicity». Leurs missions sont toutefois fondamentalement différentes.
- Mira veut analyser les traces, prendre des mesures de protection, stopper l’attaque et revenir à un fonctionnement normal en limitant autant que possible les dégâts.
- Leo assure la sécurité publique, le calme et l’ordre. Dans ce cas, il veut enquêter sur les coupables et il a besoin de preuves.
Plus vite il obtient les informations pertinentes, plus vite il sera en mesure d’enquêter. Mais si les données sont trop anciennes, il est presque impossible de poursuivre les coupables.
Tous deux font leur travail, mais un impact durable sur la sécurité numérique ne peut être obtenu que main dans la main.
Défis de la collaboration
| Perspective de la CERT | Perspective des forces de l’ordre |
| Mira s’intéresse aux traces des assaillants afin de se faire une idée de l’attaque. Elle peut ainsi prendre des mesures utiles pour protéger l’hôpital et ses organisations partenaires. Les informations sur les auteurs de l’infraction en tant que personnes lui sont peu utiles dans son travail. | Les informations techniques de Mira guident Leo sur la bonne voie. Il doit être en mesure d’associer les informations relatives à l’affaire à une ou plusieurs personnes spécifiques afin de la/les poursuivre en justice. |
| En ce qui concerne les ressources, Mira doit veiller à ce que son travail soit rentable. Son engagement en faveur du bien commun de «Digicity» et la rentabilité de son travail – un exercice d’équilibre permanent – déterminent dans quelle mesure elle contribue, par son temps et ses connaissances, à l’enquête de Leo. Contrairement à Leo, Mira peut toutefois s’adapter beaucoup plus rapidement aux menaces actuelles et au marché spécialisé avec des ressources financières données et des structures légères. | Leo travaille sous une pression énorme, car la cybercriminalité ne cesse d’augmenter. Bien que la numérisation apporte de nombreux avantages, elle déplace non seulement la vie et le travail dans l’espace numérique, mais aussi la criminalité. Motclé: Cybercrime-as-a-Service. Les ressources humaines et techniques de Leo sont limitées. Les professionnels sont rapidement débauchés et la police et le ministère public ont du mal à suivre le développement de nouvelles menaces et la professionnalisation de la cybercriminalité. |
| En ce qui concerne les possibilités juridiques, Mira a plus de liberté que Leo, car une CERT est moins soumise aux restrictions légales qu’une autorité. Cela signifie qu’elle peut utiliser dans son travail toutes les solutions techniques dont l’utilisation n’est pas interdite par la loi. Néanmoins, il est essentiel d’avoir conscience du fait que Mira peut elle-même être incriminée, afin qu’elle ne viole pas la loi simplement parce que cela est techniquement possible. Il s’agit d’un exercice d’équilibre difficile. | Leo, en revanche, est soumis à des conditions-cadres légales strictes. Il est souvent incapable d’agir dans la mesure nécessaire dans son travail. La loi est souvent à la traîne par rapport aux types de délits commis dans l’espace numérique. Il en résulte un champ de tension permanent dans lequel il doit peser précisément ses actes par rapport aux possibilités juridiques. Il ne peut faire que ce qui est expressément autorisé dans le cadre des poursuites pénales. |
| Le système politique représente également un défi pour les deux parties. Mira est davantage axée sur les valeurs sociales et dispose d’une plus grande marge de manœuvre au niveau national et international pour réagir aux menaces actuelles en raison de la flexibilité de son environnement de travail. Mira se sent très à l’aise dans son environnement rapide et agile, ce qui lui facilite le travail. | Leo est fortement attaché au système fédéraliste, ce qui complique la collaboration entre les différentes autorités. Cela devient particulièrement problématique lorsqu’il s’agit de lutter contre la cybercriminalité, qui, elle, ne connaît pas de frontières territoriales. Dans un tel système, une collaboration efficace est exigeante. |
| La collaboration et la confiance entre Mira et Leo ne sont pas toujours faciles non plus. Mira doit souvent fixer ses propres limites et se concentrer sur sa mission principale. Cela peut engendrer des tensions lorsque Leo attend de l’aide. Dans le cadre d’une procédure en cours, elle n’a pas le droit de savoir ce que ses informations et son aide apportent à l’enquête de Leo, ce qu’elle trouve frustrant. | Leo, quant à lui, a besoin de l’aide de Mira et d’autres partenaires. Toutefois, la collaboration est souvent entravée par des restrictions légales. Les deux parties ne savent souvent pas quels sont les effets réels de leur travail sur leur adversaire – cela crée une situation de «boîte noire». Il faut beaucoup de confiance, de tact et de pragmatisme. En collaborant, on peut gagner beaucoup, mais tout autant perdre. |
La réussite commune
Mira et Leo poursuivent tous deux le même objectif: une cybersécurité durable. Ils ont pris conscience de leur rôle complémentaire et résolvent ainsi des cas avec succès.
L’objectif actuel est la sécurité de l’hôpital de «Digicity». Malgré de nombreux obstacles, Mira et Leo trouvent une solution. Les assaillants voulaient semer le chaos, ils ont manipulé des données et volé les bonnes données. Ils demandent une rançon. Mira trouve l’origine de l’attaque, Léo active ses contacts. Le gang est appréhendé à l’étranger, une procédure d’urgence pour l’entraide judiciaire internationale permet de récupérer les données et tout cela dans les 48 heures! Avec les bonnes données, Mira peut maîtriser l’incident de sécurité informatique et rétablir le fonctionnement normal de l’hôpital. Leo a arrêté les coupables, et avec les informations de Mira, il peut fournir une chaîne de preuves sans faille de l’attaque. Cela n’aurait jamais été possible l’un sans l’autre.
L’essence
La transparence, la compréhension mutuelle et une collaboration coordonnée sont essentielles pour lutter efficacement contre la cybercriminalité, aujourd’hui comme demain.
À propos de l’auteure
Lorsque Darja-Anna n’est pas hyperfocalisée et n’essaie pas de résoudre une énigme dans la criminalistique numérique, elle s’entretient avec des personnes et essaie de transmettre son enthousiasme pour le thème de la sécurité informatique. Elle gère également les incidents de sécurité informatique et se réjouit de reconstituer chaque nouveau puzzle. Depuis 2020, elle le fait avec passion pour Switch CERT.
