Depuis 2019, des cyberattaques aux conséquences parfois majeures se multiplient contre les hôpitaux français. Ce phénomène témoigne d’un marché criminel en plein essor. Conscients de cette menace, les pouvoirs publics ont dégagé des moyens importants pour renforcer la sécurité informatique des établissements de santé et mieux les préparer face aux situations de crise. Ces moyens financiers sont indispensables à la sécurisation des systèmes et des usages. Néanmoins, d’autres actions complémentaires doivent être mises en place. Tout d’abord, la sensibilisation des équipes, ou la consolidation de l’organisation et de la gouvernance autour de la cybersécurité. Mais aussi la définition de processus de gestion de crise. C’est pourquoi, Eurogroup Consulting accompagne les établissements de santé et les équipes à chaque étape de ces projets.
UNE MENACE CYBER GRANDISSANTE POUR LES ÉTABLISSEMENTS DE SANTÉ
La fragilité des systèmes informatiques et l’essor du marché des données de santé encouragent les cyber attaques. On recense aujourd’hui une tentative d’attaque par semaine contre des infrastructures de la chaîne hospitalière, alors que ces dernières ne survenaient que mensuellement avant 2019.
La valeur de la donnée santé
Les établissements de santé sont des proies faciles et lucratives pour les cyberpirates. Cela s’explique en premier lieu par la faiblesse des infrastructures SI. Mais il ne faut pas négliger un autre facteur : la richesse des données qu’ils hébergent. Le déploiement en cours du dossier médical partagé la renforce par ailleurs.
La valeur des données de santé devrait en outre croître dans les années à venir. Les recherches impliquant intelligence artificielle et big data les exploitent de plus en plus. Par nature, ces projets nécessitent un nombre considérable de données.
Renforcer la sécurité des SIH
Le programme Hôpital Numérique 2012-2017 a permis de développer, de moderniser et de renforcer la sécurité des systèmes d’information hospitaliers (SIH). Toutefois, leur capacité à répondre rapidement à une menace dont la nature évolue très rapidement reste limitée.
En effet, plusieurs facteurs font des SIH des environnements particulièrement complexes et difficiles à prémunir contre les cyber attaques :
- multiplication des logiciels applicatifs
- connexions peu sécurisées entre SI hospitaliers et SI des prestataires
- connexion à internet des dispositifs médicaux
- installation de services sans l’approbation des services informatiques
- équipes faiblement sensibilisées aux menaces cyber
L’IMPACT DE L’EXPOSITION DES ÉTABLISSEMENTS DE SANTÉ AUX CYBER ATTAQUES
La fragilité des systèmes informatiques et l’essor du marché des données de santé encouragent les cyber attaques. On recense aujourd’hui une tentative d’attaque par semaine contre des infrastructures de la chaîne hospitalière, alors que ces dernières ne survenaient que mensuellement avant 2019.
En février 2021, par exemple, l’hôpital de Dax est victime d’une attaque par rançongiciel. Des opérations chirurgicales ont alors dû être déprogrammées. En effet, la stérilisation du matériel n’était plus possible car dépendante du système informatique. Des séances de chimiothérapie et radiothérapie ont été annulées ou réalisées dans des hôpitaux voisins. Des systèmes provisoires de « mini réseaux » ont été mis en place dans des services clés comme les urgences, la chimiothérapie, l’imagerie ou encore la biologie médicale. Néanmoins la prise en charge des patients est restée perturbée près de deux mois après l’attaque.
Fortement médiatisées, les cyberattaques impactent l’image des établissements mais peuvent également causer des pertes financières de plusieurs natures :
- extorsion d’argent en cas de paiement de la rançon
- coût de restauration du matériel numérique
- pertes d’exploitation pouvant se chiffrer en centaines de milliers d’euros
Les établissements s’exposent également à des poursuites judiciaires en cas d’usurpation d’identités à des fins de fraudes.
UNE NOUVELLE STRATÉGIE NATIONALE ET DES MOYENS POUR RÉPONDRE AUX ENJEUX DE LA CYBERSÉCURITÉ
Le gouvernement alloue un budget total de plus de 375 millions d’euros aux établissements de santé pour lutter contre les cyber menaces. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Agence du numérique en santé (ANS) leur proposeront également un accompagnement humain pour renforcer la sécurité de leurs SI.
Le Campus cyber
Face à l’augmentation des menaces cyber, l’Etat Français a renforcé son investissement sur les sujets SI en établissements de santé. Ils visent à développer les liens entre la recherche publique et privée. Ainsi, le « Campus Cyber » réunira des grands groupes, startups et acteurs publics dès l’automne 2021.
Des moyens financiers
Davantage de moyens tant financiers qu’humains seront alloués à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle collaborera étroitement avec la cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) de l’Agence du Numérique en Santé (ANS). L’objectif : renforcer la sécurité des SIH.
Le gouvernement entend ainsi allouer un budget spécifique au profit de la cybersécurité des établissements de santé :
- 2 milliards d’euros sacralisés par le Ségur de la Santé afin d’optimiser les SIH
- 350 millions d’euros spécifiquement dédiés à la sécurisation des SIH
- 25 millions d’euros alloués par l’ANSSI à la réalisation d’audits sécuritaires
Un observatoire permanent à la sécurité
Le chef de l’État a annoncé la création d’un observatoire permanent du niveau de sécurité des établissements de santé. Il sera chargé de coordonner les pratiques, surveiller les vulnérabilités et mutualiser les expériences.
RENFORCER LES OBLIGATIONS RÉGLEMENTAIRES DES ÉTABLISSEMENTS DE SANTÉ
Les obligations réglementaires des établissements de santé en matière de cybersécurité vont être sensiblement renforcées. Les 891 hôpitaux regroupés en 135 groupements hospitaliers français (GHT) vont en outre être intégrés à la liste des « opérateurs de service essentiels ». En effet, l’interruption de leur service a un impact significatif sur le fonctionnement de la société. Ils devront ainsi appliquer strictement les règles de sécurité propres aux SI considérés comme essentiels (SIE), signaler à l’ANSSI chaque incident et faire réaliser régulièrement des audits de cybersécurité. Fin 2020, une soixantaine de structures seulement avait fait l’objet d’un audit externe de l’ANS. Ceux-ci avaient uniquement pour objectif de valider les prérequis du programme Hôpital Numérique (Hop’EN).
Les structures de santé devront ainsi consacrer systématiquement 5 à 10 % de leur budget à la sécurité des SI. Le non-respect de ce prérequis entraînera un désengagement des tutelles dans le financement de ces projets. Le gouvernement imposera également dans tous les cursus de formation des professionnels de santé l’intégration d’une sensibilisation à la cybersécurité.
DES ENJEUX DE SÉCURISATION, DE SENSIBILISATION ET D’ORGANISATION
La mise en place d’autre actions, moins coûteuses et à l’impact tout aussi important ne doit toutefois pas être négligée par les établissements de santé. La sensibilisation et la formation des équipes, la consolidation de l’organisation et de la gouvernance autour de la cybersécurité ainsi que la définition de processus de gestion de crise sont tout autant indispensables que les moyens financiers et humains pour faire face aux cyberattaques.
Former les équipes aux risques cyber
La gestion de la cybersécurité dans les établissements de santé est tout autant un enjeu de culture qu’un enjeu technologique. En effet, les rançongiciels transmis par courriels piégés constituent la menace principale auxquels ils sont exposés. Chaque corps de métier doit ainsi être formé aux risques spécifiques à son activité dans le cadre de parcours de formation adaptés. Portés par la DSI et la DRH, ils doivent mobiliser l’ensemble du personnel médical et soignant.
Un tiers d’entre eux ne se sent pas concerné par ces questions. Pourtant ils sont plus de 40% à utiliser leur smartphone pour manipuler les données des patients.
ORGANISATION ET GOUVERNANCE AUTOUR DE LA CYBERSÉCURITÉ
La cybersécurité doit ainsi devenir un enjeu de politique d’établissement au même titre que la qualité des soins ou la prévention des risques. Son intégration dans les projets d’établissement doit bénéficier d’une vision et d’une ambition associée. En outre, la direction générale doit soutenir une feuille de route claire. L’attribution de budgets de fonctionnement et d’investissement dédiés est également nécessaire pour mener à bien ces projets. L’adaptation des schémas de gouvernance peut, quant à elle, prendre la forme d’une intégration du sujet cybersécurité aux instances existantes ou de comités ad hoc dans les grands établissements. La Direction générale de l’Offre de soins (DGOS) préconise même la mise en place d’une gouvernance unique de gestion des risques intégrant démarche qualité et sécurité des soins, et démarche sécurité du SI.
L’acquisition de compétences clés mutualisables entre les établissements, par la formation ou le recrutement, est également un enjeu majeur de la sécurisation des SIH. En conséquence, elle doit être réfléchie à une échelle régionale. Cette montée en compétence devra s’appuyer sur une base documentaire solide et diffusable sur le sujet de la sécurité informatique (politique de SSI, procédures associées).
PRÉPARER LA CRISE POUR SAVOIR Y RÉPONDRE EN TEMPS VOULU
Les processus de gestion de crise cybersécurité doivent être généralisés dans les établissements de santé. En effet, la rapidité de réaction face à une attaque est clé pour limiter ses conséquences. Une stratégie de gestion de crise cyber doit ainsi être construite par les DSI des structures, en impliquant l’ensemble des acteurs. De cette façon, elle les incitera à remonter les alertes au plus vite. Ces dernières seront ensuite qualifiées selon un niveau de criticité, permettant le déclenchement d’une réponse rapide et adaptée à chaque situation. Ces réponses étant définies dans l’architecture globale de processus de gestion de crise. Une cellule de crise pourra par ailleurs être constituée en amont et activée par gradation selon les besoins.
Les structures pourront également mener des actions additionnelles, en définissant des plans de recours et de communication internes et externes. Ils visent à réduire le temps de réaction et l’impact sur la prise en charge des patients selon des situations types définies.
SÉCURISER LES SYSTÈMES ET LES USAGES
L’ensemble de ces actions doit toutefois être mené conjointement à une sécurisation technique des SI. Cette tâche titanesque au regard de la complexité des architectures réseau et du nombre d’acteurs conditionne la sécurité des structures. En effet, un logiciel vétuste ou défaillant offre peu de résistance aux rançongiciels.
Cette sécurisation nécessite la mise en place d’un socle technologique moderne. Il vise à protéger l’ensemble des composantes du SI contre des pratiques malveillantes de plus en plus diversifiées. Cette technologie est indispensable pour sécuriser et restreindre l’accès des prestataires externes aux données de la structure, mais aussi fiabiliser la transmission de données par les dispositifs médicaux connectés.
La mise à disposition de SI modernes, performants et adaptés aux besoins des professionnels de santé permet également de sécuriser les données sensibles « par les usages ». Elle prévient l’utilisation d’outils ou d’applications non protégés ou non validés par la DSI. En ce sens, deux éléments tenant compte de la gestion de l’obsolescence et des usages actuels et futurs conditionnent le succès d’un projet conçu avec et pour les utilisateurs. Tout d’abord, la sécurisation d’investissements matériels et logiciels. En second, la définition d’une feuille de route stratégique autour du schéma directeur du système d’information (SDSI).
La gestion de la cybersécurité implique donc autant une sécurisation technique des SI qu’une prise de conscience de l’ensemble des parties prenantes des établissements face aux risques encourus. Les directions générales doivent porter un message et une ambition clairs sur la gestion des risques de cybersécurité. Toutefois, c’est uniquement en impliquant les communautés médicales et soignantes que les établissements de santé pourront faire face aux risques de cyberattaques.
