La cybersécurité intègre peu à peu les mœurs des hôpitaux ; les bonnes pratiques, pas encore. Voilà comment l’on pourrait résumer la conférence du Forum international sur la cybersécurité (FIC), organisée mardi 24 janvier 2023 à Paris, et intitulée : "Hôpitaux : comment renforcer la préparation en cybersécurité ?"

Y sont intervenus Vincent Trely, président-fondateur de l’Apssis (l’Association pour la sécurité des systèmes de santé) ; André Zaphiratos, directeur des systèmes d’information de la Fondation Cognacq-Jay, qui oeuvre dans la solidarité sociale (grand âge, santé, enseignement, soins palliatifs, autisme, maladie d’Alzheimer) ; et Guillaume Ginguené, ingénieur chez OneTrust, société de gestion des risques et de protection des données de santé.

Si les cyberattaques visant les hôpitaux ont parsemé l’année 2022 – la dernière en date, le 3 décembre 2022, a visé l’hôpital André-Mignot, dans les Yvelines– il n’y a pas de volonté spécifique des pirates de s’en prendre à eux, assure Vincent Trely : "Ils tombent dans les mailles du filet des attaques, souvent par hasard." Les établissements de santé représentent néanmoins une cible facile, où se trouvent encore "des dizaines de milliers de postes fonctionnant sous Windows XP, des appareils médicaux achetés dans les années 90 ou 2000…" liste l’expert.

Le dernier rapport de l’ Agence nationale de la sécurité des systèmes d’information (Anssi), publié le 24 janvier 2023, relevait d’ailleurs que les hôpitaux figuraient à la troisième place des cibles privilégiées des pirates (10% des rançongiciels traités ou rapportés à l’Anssi en 2022), derrière les TPE, PME et ETI (40%) et les collectivités territoriales (23%).

Dans son rapport annuel, l’Anssi regrettait "les usages numériques non maîtrisés, les faiblesses dans la sécurisation des données" et le manque d’allant des organisations pour s’adapter, mêmes prévenues de la menace.

A l’hôpital de Dax, "65% des équipements informatiques" toujours pas réparés

Or, une cyberattaque n’a rien d’anodin pour un hôpital, rappelle Vincent Trely. "Il y a des décisions lourdes à prendre en cas de cyberattaque, comme ’quels patients doivent partir en réanimation’ ?" L’hôpital doit ensuite fonctionner de façon dégradée pendant plusieurs jours, en refusant toutes les urgences. "Le pôle de chirurgie doit annuler toute une série d’opérations programmées car il n’y a pas d’images radio. Sans images, il n’y a pas non plus d’examens de biologie. Tout ce qui est sensible est complètement désorganisé", regrette le président de l’Apssis.

Il ne suffit pas non plus de presser un bouton pour relancer le système. Presque deux ans après avoir été victime d’une cyberattaque massive, "65% des équipements informatiques [du CHU de Dax, dans les Landes] ne sont toujours pas réparés", illustre l’expert. Toutes les données des patients ont également été perdues, obligeant les soignants à tout enregistrer de nouveau, et tous les programmes ne sont pas revenus à leur mode de fonctionnement normal. "Il faut quatre heures pour une demande d’examen de biologie, contre 45 minutes auparavant", déplore Vincent Trely.

"Des erreurs humaines" à la base des défaillances

Depuis la cyberattaque de 2019 contre le CHU de Rouen (Seine-Maritime), la première ayant touché un hôpital de cette taille, les établissements de santé ont donc été contraints de s’adapter. "La question n’est pas : ’est-ce que cela va arriver’ mais ’quand est-ce que cela va arriver’ ?" résume Guillaume Guiguené. Les hôpitaux prévoient désormais des sauvegardes, ou répartissent les données de façon à ne pas tout perdre en cas d’attaque. "Il faut aussi prévoir du chiffrement, pour que les données soient illisibles même une fois dehors", ajoute l’ingénieur chez OneTrust.

Au-delà d’une meilleure technique, c’est à un changement de culture au sein de l’hôpital que les spécialistes appellent. "A chaque fois, des erreurs humaines sont à la base des défaillances, souligne André Zaphiratos. Pour les cadres, en cas d’attaque, il faut savoir gérer la communication de crise et prendre des décisions très vite : quel service passe dans le noir, revenir au format papier, annuler des radios…" D’après le DSI de la Fondation Cognacq-Jay, "l’écart reste terrible" entre les pratiques de certains hôpitaux et celles recommandées par l’Anssi.

Dans son rapport annuel, l’agence regrettait "les usages numériques non maîtrisés, les faiblesses dans la sécurisation des données" et le manque d’allant des organisations pour s’adapter, mêmes prévenues de la menace. "Le recours au cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace sérieuse", écrivait l’Anssi.

Des moyens pour les logiciels de cybersécurité, mais peu de bras pour les faire tourner

De l’avis des trois experts, le gouvernement a pris l’initiative sur le sujet dès la cyberattaque contre le CHU de Rouen. "Face aux risques de cyberattaques du système de santé, la cybersécurité à l’échelle de chaque établissement de santé est donc devenue une priorité nationale", déclarait en 2019 la ministre de la Santé de l’époque, Agnès Buzyn. Un plan national de sensibilisation à destination des soignants avait été lancé, puis l’Observatoire permanent de la sécurité des systèmes d’information des établissements de santé (Opssies) créé en 2021. "Ce n’est pas un institut de plus : il sert à cartographier les pratiques des différents hôpitaux, car il y a beaucoup d’hétérogénéité", justifie Vincent Trely.

La question des moyens alloués à la cybersécurité reste néanmoins le nerf de la guerre. Pas moins d’un milliard d’euros avait été attribué à l’ensemble du secteur en décembre 2021, dans le but de faire émerger des champions français du domaine. Suite à une attaque visant le Centre hospitalier Sud-Francilien, à Corbeil-Essonnes (Essonne), 20 millions d’euros supplémentaires avaient également été alloués en août 2022 à l’Anssi, dans le but d’améliorer l’accompagnement des hôpitaux.

En décembre 2022, des exercices de gestion de crise ont été annoncés dans les établissements jugés prioritaires, et un plan blanc numérique devrait voir le jour au début de cette année. Des moyens que Vincent Trely appelle à mutualiser entre hôpitaux, et non à saupoudrer entre établissements. "Mutualisons la gouvernance, la feuille de route, le RSSI [le responsable de la sécurité des systèmes d’information]... Le pire serait de dire : on va donner un peu d’argent à tous, parce que tous auraient alors une faible protection, à 50 000 euros chacun, pas très efficace."

Encore faut-il que les RSSI nécessaires soient disponibles. "Il y a une pénurie de bras plus que de compétences, pointe André Zaphiratos. Les gens que je vois sont talentueux, mais la rémunération pose problème. Même quand on travaille pour ’le bien commun’." Outre une meilleure paye, le privé a l’avantage d’être bien plus réactif, et stimulant pour les jeunes recrues. "A l’hôpital, quand un RSSI demande un audit des systèmes à 15 000 euros, parfois il y en a pour quatre mois. Certains jettent l’éponge", soupire Vincent Trely. Or, les ingénieurs en informatique restent indispensables pour trier les alertes des logiciels de cybersécurité, qui s’occupent avant tout de détection. Une autre raison pour que l’hôpital s’adapte au plus vite.

Publié par Louis de Briant le 25 janvier 2023 sur https://www.usine-digitale.fr

Pour en savoir plus :

– La donnée : source d’information ou vecteur de confusion
– Matinale technologique n°18 : Cybersécurité le Mardi 12 décembre 2017 à Nogent
– Une matinale protectrice le 12 décembre 2017 à Nogent
– Matinée « Santé, Intelligence Artificielle et Cybersécurité : quels enjeux ? » le 22 novembre 2018 à Rennes
– 5ème colloque sur la cybersécurité des systèmes d’information pour les établissements sanitaires et médico-sociaux le 03 octobre 2019 à Paris
– La cyberattaque du CHU de Rouen serait bien d’origine criminelle le 15 novembre 2019 à Rouen
– « La cybersécurité, enjeu majeur des acteurs de la santé » le 12 décembre 2019 à Paris
– Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise le 24 février 2020
– Le gouvernement dévoile un plan d’un milliard d’euros pour faire émerger des pépites de la cybersécurité le 18 février 2021
– Recrudescence des rançongiciels : votre organisation est-elle prête ? le 9 juillet 2021
– e-CPS : Application mobile d’identification et d’accès aux Services Numériques le 15 décembre 2021
– Cyberattaques contre les hôpitaux : "la question n’est pas de savoir si cela va arriver, mais quand" le 24 janvier 2023