Rennes, Saint-Renan, Bourg en Bresse… Voici quelques exemples de centres hospitaliers qui ont été touchés par des cyberattaques cet été. Depuis quelques années, les cyberattaques contre les établissements de santé sont devenues monnaie courante alors que les données de santé sont de plus en plus numérisées. La cyber-résilience des hôpitaux est donc désormais un enjeu primordial afin de sécuriser ces données sensibles et de préserver la capacité de ces entités à prévenir, détecter et réagir aux incidents de cybersécurité. La cyber-résilience se traduit par la combinaison de mesures techniques, opérationnelles et humaines, nécessaire au maintien de la confiance du public envers les établissements de santé, à la préservation de la sécurité des données et à la fourniture des services de santé de manière ininterrompue.
Nous avons organisé une table ronde à ce sujet à l’occasion de la 9e édition des Universités de la Cybersécurité et du Coud de Confiance, afin de mieux décrypter ce sujet encore malheureusement d’actualité et répondre aux questions suivantes : Quels sont les défis posés par la numérisation croissante des données médicales et les cyberattaques sophistiquées ? Quelles mesures techniques, organisationnelles et humaines sont nécessaires pour renforcer la prévention, la détection et la réaction aux incidents de cybersécurité dans les établissements de santé ? Comment maintenir la continuité des services de santé est-il lié à la cyber résilience ?
Pour répondre à toutes ces questions, nous avions invité :
- Jacques de La Rivière, CEO Gatewatcher,
- Vincent Cardon, Président Tranquil’IT,
- Jean-Pierre Barré, VP Sales Southern Europe Wallix,
- Carla Gomes, Directrice du marché santé Docaposte,
- Frédéric Descamps, Responsable marché secteur public chez Advens et chargé de l’offre cyber souveraine, C.A. I. H,
- Mehdi Zine, Responsable de projets, ANS,
- Sylvain François, Directeur du Système d’Information, CHU de Rouen,
- Jean-Baptiste Lapeyrie, Directeur du département expertise-innovation et responsable du programme CaRE, ANS.
Revoir la table ronde via le replay ci-après.
Les hôpitaux, des acteurs vulnérables face aux cybermenaces
Loin d’être un phénomène isolé, les cyberattaques touchant les établissements de santé publics ont connu une croissance ces dernières années. En 2022, l’ANSSI a enregistré 730 déclarations d’incidents de la part de centres hospitaliers français (contre 369 en 2020). Quelle est la raison de cette augmentation ? La première raison, c’est la convoitise que suscitent les données de santé, recueillies par les établissements auprès de leurs patients. Elles sont très lucratives, non pas tant à la revente de ces informations, qu’à la tentative des usurpateurs de monter des dossiers de remboursements auprès des assurances. La deuxième raison, c’est qu’aujourd’hui les attaques sont très sophistiquées mais pas toujours ciblées.
Les cyberattaquants lancent des attaques groupées sur des listes d’adresse IP, sans vérifier à qui elles appartiennent. Enfin, les hôpitaux sont également des cibles de choix en raison de la faiblesse des budgets alloués à la modernisation de leur système d’information, et donc par extension, de leur cybersécurité. En effet, peu d’investissements sont alloués à l’achat de solutions efficaces pour contrer les cybermenaces et aux formations de sensibilisation dédiées au personnel. L’absence de sécurité et de réflexes primaires en termes de cyberhygiène font des établissements de santé publics français des proies faciles pour les cyberattaquants. « Les mafias informatiques au ciblage large ont enfin trouvé leur modèle économique avec les rançongiciels ».
Le dernier Panorama de la Cybermenace publié par l’ANSSI en 2022 faisait l’état de la situation : 10% des cas de rançongiciels rapportés ciblent les établissements de santé. « Cependant, les piratages ciblés resteront difficiles à contrer, mais il ne me semble pas que les hôpitaux aient à craindre un tel scénario car les vrais pros de la piraterie informatique sont contraints par leurs donneurs d’ordre à s’astreindre à une certaine éthique », rassure le Vincent Cardon, Président de Tranquil’IT.
Il n’y a pas que le système d’information des établissements de santé qui est vulnérable. Il ne faut pas oublier qu’un hôpital, c’est beaucoup d’éléments qui sont connectés par internet essentiels à son fonctionnement et à la qualité des soins. Climatisation, scanners, appareils médicaux… Ce sont autant de portes d’entrée pour les cyberattaquants s’ils ne sont pas protégés correctement. « L’attaquant va prendre le chemin le plus court », souligne Jean-Pierre Barré en rappelant qu’il y a eu des cas d’usurpation d’un compte fournisseur en passant par le VPN. L’hôpital, c’est aussi un bâtiment ouvert au public, qui est d’ailleurs plutôt facile d’accès pour les visiteurs. Aussi, il ne faut pas exclure la possibilité que des cyberattaquants s’immisce dans l’IT ou l’IoT de l’hôpital via une intrusion physique.
Les établissements de santé font aujourd’hui face à deux urgences, comme le rappelle Jacques de la Rivière, CEO de Gatewatcher : « On est face aujourd’hui à deux urgences essentielles pour les établissements de santé. La première, c’est d’empêcher les interruptions de services. On est dans la prise en compte de la chaîne logistique complète, de tous les services de soins qui doivent être adressés (…). La deuxième urgence, qui est aussi essentielle, c’est de protéger les données sensibles de santé qui sont détenues par les établissements de santé ». Les pouvoirs publics et les industriels se mobilisent donc sur ces deux urgences pour accompagner les hôpitaux dans leur démarche de cyber résilience.
Le programme CaRE, une réponse des pouvoirs publics pour développer la cyber-résilience des hôpitaux
Face à la détresse des établissements de santé, les pouvoirs publics ont répondu par le programme CaRE (Cybersécurité accélération et Résilience des Établissements), mis en place via l’Agence du Numérique en Santé (ANS), que Jean-Baptiste Lapeyrie et Mehdi Zine sont venus représenter lors de notre table ronde. Ce programme est bâti autour de quatre piliers : Gouvernance et résilience ; Ressources et mutualisation ; Sensibilisation ; Sécurité opérationnelle.
En ce qui concerne la partie « Gouvernance et résilience », l’enjeu est d’aider les établissements de santé à intégrer de la cybersécurité dans leur gouvernance et dans leur démarche qualité et gestion des risques. L’un des grands objectifs du point de ce programme est la systématisation des exercices de crise, avec déjà un résultat prometteur puisque 500 établissements avaient déjà réalisé au moins un premier exercice entre janvier et mai 2023. L’autre objectif est d’intégrer des nouveaux critères numériques et cyber dans le référentiel HAS, qui est un gage de la qualité du service des hôpitaux.
Pour la partie « Ressources et mutualisation » du programme, l’ANS prévoit une augmentation du budget sur le numérique, et en particulier concernant la cybersécurité. La cible minimale est de 2% des dépenses, pour permettre aux hôpitaux de mieux s’équiper et de mieux se protéger. Le programme promeut aussi la mutualisation des compétences au niveau des GHT (Groupes Hospitaliers Territoriaux), ainsi qu’au niveau régional.
Le Programme CaRE prévoit aussi une partie « Sensibilisation », qui se traduit notamment par la mise en place d’un plan annuel pour les professionnels des établissements sanitaires médico-sociaux. Une formation cyber sera intégrée à la formation initiale ou continue des professionnels, afin qu’ils soient sensibilisés aux bonnes pratiques pour prévenir et réagir en cas de cyberattaque. L’accent sera également mis sur la centralisation de l’information afin de permettre à chaque établissement d’améliorer efficacement sa cyber résilience.
Le dernier volet du programme concerne la « Sécurité opérationnelle ». Il propose un soutien financier aux établissements afin que des résultats tangibles soient atteints. Ces résultats seront mesurés grâce à des audits réguliers, qui se concentreront sur des sujets prioritaires comme l’exposition sur internet, la réalisation des sauvegardes ou bien encore la détection des attaques.
Les industriels, prêts à accompagner les établissements de santé dans leur sécurisation
« Le rôle d’une infirmière ou d’un médecin, c’est de soigner. Nous, en tant qu’industriels, notre responsabilité, c’est de simplifier la cybersécurité », rappelle Jean-Pierre Barré, VP ales Southerne Europe, Wallix. En effet, malgré les formations et les sensibilisations, les professionnels de santé restent débordés et il est important de leur proposer des solutions – souveraines, si possible – qui soient faciles d’utilisation. Il ne faut pas oublier que l’on a affaire à des professions qui doivent faire face au manque de temps et de moyens, et qui sont régulièrement mobilisés sur des situations d’urgence.
Docaposte a fait de la santé une de ses activités prioritaires. « Notre mission en santé est d’accompagner et d’accélérer la transformation numérique des acteurs de santé sur toute la chaîne de valeur de la data et en particulier par une utilisation pertinente de celle-ci, pour amener les acteurs de la santé vers un pilotage facilité de leurs données », précise Carla Gomes, Directrice marché santé Docaposte. Le but pour Docaposte est d’optimiser l’efficience organisationnelle des acteurs de la santé, d’améliorer la qualité et la sécurité des soins et d’accélérer la recherche clinique et l’innovation.
« Tranquil’IT a travaillé avec plusieurs Conseils départementaux pour développer un store thématique métier pour l’ensemble des collèges de France. Nous voulons faire la même chose pour les hôpitaux, leur permettre de profiter de l’intelligence collective des informaticiens, afin de leur permettre d’augmenter leur capacité de réponse aux menaces agissant sur leur résilience cyber pour leurs établissements de santé », propose Vincent Cardon, Président Tranquil’IT . Effectivement, le partage de connaissances semble être primordial pour permettre d’améliorer la cyber résilience des hôpitaux. Les RSSI, les DSI et les DPO sont souvent timides à l’idée de communiquer sur les cyberattaques et d’échanger sur les bonnes pratiques en cas d’incident, car cela ne fait pas bonne presse.
