Depuis 2019, des cyberattaques se multiplient contre les hôpitaux français. Ce phénomène témoigne d’un marché criminel en plein essor. Conscients de cette menace, les pouvoirs publics ont dégagé des moyens importants pour renforcer la sécurité informatique des établissements de santé et mieux les préparer face aux risques numériques. A cela doit s’ajouter la sensibilisation des équipes, la consolidation de l’organisation et de la gouvernance autour de la cybersécurité. De la volonté de partager et de coopérer naîtra une résilience cyber de la santé en France.
Une menace cyber grandissante pour les établissements de santé
La fragilité des systèmes informatiques et l’essor du marché des données de santé encouragent les cyber attaques. On recense aujourd’hui une tentative d’attaque par semaine contre des infrastructures de la chaîne hospitalière, alors que ces dernières ne survenaient que mensuellement avant 2019.
Des obligations déjà fortes
Les hôpitaux font partie des opérateurs d’importance vitale, et doivent donc, comme l’exige la Loi de Programmation Militaire (LPM) renforcer la sécurité de leurs systèmes d’information. Celle-ci prévoit une mise à niveau de la sécurité des systèmes d’information des OIV afin d’éviter, par exemple, qu’une cyberattaque ne pirate la continuité de service des blocs opératoires, ne prenne le contrôle de tout un hôpital, de son réseau électrique, altère les fonctions d’un objet connecté de santé ou falsifie les données vitales liées à un patient impliquant des conséquences quant au bon fonction de la Nation mais aussi sur la vie même des patients.
L’entrée en application de la LPM implique un investissement conséquent de la part des OIV, et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) estime à 3 ans la durée nécessaire à ces derniers pour assurer un déploiement global des mesures de cybersécurité édictée.
Les établissements de soins de santé, y compris les hôpitaux et cliniques privées, sont désormais intégrés à la liste des « opérateurs de service essentiels » (OSE). En effet, l’interruption de leur service a un impact significatif sur le fonctionnement de la société. Ils doivent ainsi appliquer strictement les règles de sécurité propres aux SI considérés comme essentiels (SIE), signaler à l’ANSSI chaque incident et faire réaliser régulièrement des audits de cybersécurité. Fin 2020, une soixantaine de structures seulement avait fait l’objet d’un audit externe de l’ANS. Ceux-ci avaient uniquement pour objectif de valider les prérequis du programme Hôpital Numérique (Hop’EN). Les structures de santé doivent ainsi consacrer systématiquement 5 à 10 % de leur budget à la sécurité des systèmes d’information. Ainsi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si cet engagement n’est pas constaté.
Le gouvernement impose également dans tous les cursus de formation des professionnels de santé l’intégration d’une sensibilisation à la cybersécurité.
30% des professionnels de santé ne se sentent pas concernés par les questions de cybersécurité
L’hébergement des données de santé recueillies à l’occasion d’activités de prévention, diagnostic, soin ou suivi social est lui aussi soumis au respect de conditions, dont le respect se matérialise par l’obtention d’un agrément en vertu de l’article L. 1111-8 du Code de la santé publique.
Ainsi, seuls les acteurs certifiés « HDS » peuvent stocker des données. Cette certification nécessite le respect de certains normes et exigences et la prestation d’hébergement doit faire l’objet d’un contrat comportant un certain nombre de mentions obligatoires.
Dans le cadre de leur transition digitale, les acteurs de la santé et du secteur médico-social doivent impérativement tenir compte du risque cyber. Cette prise en compte, pour être efficace, suppose à la fois une gestion technique (mobilisation de la DSI et du RSSI) mais également un pilotage juridique (Direction Juridique et du DPO). Plusieurs objectifs devront être fixé :
De nouveaux moyens alloués
Le programme Hôpital Numérique 2012-2017 a permis de développer, de moderniser et de renforcer la sécurité des systèmes d’information hospitaliers (SIH).
Le gouvernement alloue désormais un budget total de plus de 375 millions d’euros aux établissements de santé pour lutter contre les cyber menaces. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Agence du numérique en santé (ANS) leur proposent également un accompagnement humain pour renforcer la sécurité de leurs SI. Elle collabore étroitement avec la cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) de l’Agence du Numérique en Santé (ANS). L’objectif : renforcer la sécurité des SIH. Le gouvernement entend ainsi allouer un budget spécifique au profit de la cybersécurité des établissements de santé : 2 milliards d’euros sacralisés par le Ségur de la Santé afin d’optimiser les SIH, 350 millions d’euros spécifiquement dédiés à la sécurisation des SIH et 25 millions d’euros alloués par l’ANSSI à la réalisation d’audits pour les accompagner dans leur démarche de cyber sécurisation. Ce financement permettra d’accélérer le déploiement du « service national de cyber surveillance en santé » en partenariat avec l’Agence du Numérique en Santé (ANS) et à développer les moyens du dispositif « cyber veille en santé » pour augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyber attaques.
Le chef de l’État a annoncé la création d’un observatoire permanent du niveau de sécurité des établissements de santé. Il sera chargé de coordonner les pratiques, surveiller les vulnérabilités et mutualiser les expériences.
Manager et anticiper le risque cyber
Nous avons l’une des meilleures protections en santé dans le monde. Faisons en sorte qu’il en soit de même pour celle de nos systèmes de santé de demain.
Le management du risque cyber dans la santé est un enjeu clé pour notre avenir. Cette cybersécurité exige une analyse et une cartographie des risques dynamiques. Celle-ci doit être la pierre angulaire de tout plan d’action. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque qui puisse être accepté en toute connaissance de cause, au bon niveau de décision. L’outillage permet ainsi de modéliser une cartographie des risques et de rendre la situation plus concrète. Le côté visuel, intuitif, permet de partager plus facilement les informations entre les différentes entités de l’organisation.
Partage d’informations & coopération active
« Nous nous efforçons de réaliser un travail d’accompagnement des structures et de concrétiser notre mot d’ordre : le partage. Beaucoup de décideurs pensent se fragiliser en partageant l’information. C’est pourtant tout à fait l’inverse. Les défenseurs ont tout à gagner à échanger l’information, et c’est ce que nous proposons : étudier les modes d’attaque, les profils des attaquants, les failles éventuelles et les compiler dans une bibliothèque pour en faire profiter tous les acteurs de la filière. » explique Pierre Oger, Directeur Général et Fondateur d’EGERIE.
Une situation à risque s’appréhende rarement sans information extérieure et ne peut se résoudre seul. Pour se protéger, il faut partager et diffuser cette appréciation du risque pour que toute la communauté en bénéficie par effet rebond. « Le parallèle avec les combattants est frappant : un soldat ne part jamais seul au front. Il a besoin des autres pour avancer, s’adapter à la situation et prendre des décisions. Il est donc tout à la fois émetteur d’une information utile et récepteur d’informations émanant de la communauté. » souligne Pierre Oger.
Si nous voulons anticiper la prochaine crise qui ne tardera pas à sévir, faire figurer la cybersécurité au cœur de la gouvernance constitue un préalable. S’intéresser aux scénarios prospectifs des schémas d’attaques pouvant toucher le SI demain permettra, non pas d’éviter les cyberattaques, mais de réagir vite et mieux, et d’assurer la résilience de nos systèmes vitaux.
« Le futur de l’analyse de risques sera de plus en plus industrialisé. Le seul moyen d’assurer une prise de décision rapide est de se faire assister par un outil d’intelligence artificielle, qui améliore le processus complet de l’analyse, de la gouvernance et donc de la maîtrise de risques. Aujourd’hui l’enjeu de l’analyse de risques se situe autour de sa modélisation. Il faut l’automatiser davantage pour parvenir à construire des arbres d’attaques encore plus sophistiqués et plus précis, répondants aux besoins évolutifs des utilisateurs finaux » ajoute Pierre Oger.
La gestion de la cybersécurité implique donc autant une sécurisation technique des SI qu’une prise de conscience de l’ensemble des parties prenantes des établissements face aux risques encourus. Les directions générales doivent porter un message et une ambition clairs sur la gestion des risques de cybersécurité. Toutefois, c’est uniquement en impliquant les communautés médicales et soignantes que les établissements de santé pourront faire face aux risques de cyberattaques.
Aujourd’hui, plus que jamais, redonnons une nouvelle dimension collective et collaborative à la cyber-vigilance !
