Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée à la transformation numérique et à la dématérialisation !
Novembre 2019 marque un tournant dans la sécurisation des établissements de santé. Et pour cause : c'est à cette date que le CHU (Centre hospitalier universitaire) Charles-Nicolle de Rouen, a été frappé par une cyberattaque massive, provoquée par un virus de type rançongiciel.
« Les interruptions de services consécutives ont été un choc, au même titre que la rançon demandée, et il y a eu une forte médiatisation de cet événement », glisse le consultant Vincent Trely, qui a créé l'APSSIS (Association pour la sécurité des systèmes d’information de santé) en 2010.
Les interruptions ont touché tout le système d'information, dans un premier temps : il n'était plus possible pour les collaborateurs de gérer numériquement des tâches aussi essentielles que les dossiers d'admission, les prescriptions ou les analyses...
Lire aussi : La fièvre des données de santé
27 hôpitaux victimes de cyberattaques en 2021
Depuis, le phénomène s'est hélas encore amplifié. Cédric O, secrétaire d’État à la transition numérique, a précisé début 2021 que 27 hôpitaux (légalement obligés de déclarer les événements de sécurité) ont été la cible d'attaques majeures en 2020.
Il a ajouté qu'ils sont cette année confrontés à une menace sérieuse par semaine, en moyenne : ce fut le cas par exemple à l'hôpital de Dax, en février, où le service de radiothérapie (indispensable pour les patients souffrant d'un cancer) a dû être fermé plusieurs jours, et à Villefranche-sur-Saône, en mars, où la cyberattaque a entraîné une dégradation des services sur plusieurs semaines (l'intégralité du système de données a dû être reconstruit par la direction informatique).
Lire aussi : Cybercriminalité : comment réagir en cas de ransomware ?
Pourquoi les hôpitaux sont-ils une cible ?
Pourquoi un tel acharnement ? « Les hôpitaux ne sont pas toujours spécifiquement ciblés », précise Vincent Trely. « Il arrive que les pirates envoient de façon aléatoire un cryptovirus vers des milliers d'adresses e-mails. Or il suffit d'un utilisateur qui ouvre la pièce jointe et déclenche le virus pour que celui-ci finisse par aller se répandre à d'autres endroits du système d'information. »
Mais les hôpitaux accusent un certain regard dans la sécurité informatique, au même titre que certaines administrations ou collectivités territoriales. « Faute de moyens financiers, entre autres, ils se sont numérisés plus tardivement que les grandes entreprises du CAC 40 ou les industriels de pointe », indique le président de l'APSSIS. « Leur transformation s'est donc faite à la hâte à partir de 2000, en empilant des couches logicielles et des équipements de santé numériques. Et ils ont dû attendre plus longtemps pour s'entourer de professionnels de sécurité aguerris. »
Lire aussi : Cybermenaces : comment lutter contre les ransomwares en toute légalité ?
Vol d'informations
Reste, enfin, la valeur des informations qu'ils détiennent. En plus de la rançon (qui n'est jamais versée, dans le cas des hôpitaux), un assaillant peut espérer générer 150 dollars par dossier médical vendu sur le darknet :
« La vente de dizaines ou centaines de milliers de dossiers peut intéresser des groupes pharmaceutiques peu scrupuleux, dans une optique de guerre économique ; des réseaux criminels, en quête de cartes ouvrant droit à une couverture sociale, dans des pays où sont celles-ci sont rares ; ou bien encore des gouvernements, qui les utilisent à des fins de renseignement. »
Les pirates peuvent en outre dans certains cas espérer faire chanter le « top management » en le menaçant de diffuser sur internet les informations sensibles ainsi obtenues (un dossier de cancérologie ou de chirurgie esthétique, par exemple). « Il y aurait préjudice et les patients qui porteraient plainte et demanderaient des dommages et intérêts gagneraient probablement leur procès », souligne le même responsable.
Lire aussi : A l’hôpital Saint-Joseph de Marseille, la dématérialisation se porte bien
Cybersécurité renforcée sur toute la chaîne de transmission
Pour protéger les hôpitaux, les solutions de sécurité périmétriques (qui sécurisent les infrastructures situées dans un périmètre défini, via des antivirus et pare-feux) sont assez peu efficaces, selon Vincent Trely.
« Parallèlement à leur transformation numérique, les hôpitaux vivent en effet une mutation d'ouverture, explique-t-il. « Ils interfacent leurs systèmes d'information avec des applications tierces, tant pour la prise de rendez-vous que pour les échanges avec les médecins de ville ou les Agences régionales de santé (ARS). »
Résultat ? « Ils cherchent à faire monter le niveau de sécurité sur 100 % de la chaîne et se montrent plus vigilants sur la sécurisation des progiciels et matériels externes, tels les logiciels documentaires, les solutions de gestion des dossiers informatisés, les scanners connectés...
Pour tout ce qui touche à la veille et au knowledge management, Gilles Batteux, président de l'éditeur Kentika, se dit prêt à relever le challenge : « Notre solution de base de données 4D, notamment, est dotée de son propre système d'analyse des requêtes » (ce qui s'avère assez efficace pour déjouer les attaques potentielles).
« Un certain nombre d'établissements devraient aussi accroître leurs investissements, typiquement en délaissant les clouds étrangers grand public pour se concentrer sur des solutions d'hébergement hexagonales, certifiées SecNumCloud par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) », juge de son côté Vincent Bouthors, PDG de Jalios, dont la plateforme est entre autres utilisée par le service mutualisé des hôpitaux de Vaud, en Suisse. « Un cloud SecNumCloud est certes plus cher. Mais il est beaucoup plus sûr. »
Tous devraient enfin prendre le temps de sensibiliser leurs nombreux collaborateurs aux enjeux de sécurité. « Dans ces établissements par essence bienveillants, il n'est pas facile pour un RSSI (responsable de la sécurité des systèmes d'information) d'expliquer qu'il faut fermer une porte, badger pour accéder à un ordinateur ou à un équipement utilisés en situation d'urgence. »
Lire aussi : Le métier de responsable sécurité des systèmes d’information (RSSI) : missions, compétences, formation et salaire
Coup de pouce de l’État
Fait notable : le président Emmanuel Macron s'est engagé mi-2021 à renforcer la « stratégie de cybersécurité à destination des établissements sanitaires et médico-sociaux », grâce à une aide financière de 350 millions d'euros (comprise dans les 2 milliards d'euros d’investissements liés à la numérisation, mis à l'ordre du jour par le Ségur de la santé).
Le gouvernement a par ailleurs décidé d'attribuer 25 millions d'euros à l'ANSSI pour qu'elle organise des audits dans les établissements et les accompagne dans la modernisation de leurs systèmes existants.
Il y a urgence à renforcer la sécurité pour une partie des établissements les plus importants. Car à l'issue du Ségur de la santé, 135 groupements hospitaliers ont été ajoutés à la liste des « opérateurs de service essentiels ». Ce qui signifie, concrètement, qu'ils seront désormais soumis à des contrôles de l'ANSSI et devront se conformer « à des règles de sécurité informatique plus strictes et [à] la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. »
Commentaires (1)