« Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle« , raillait le directeur de l’Anssi Guillaume Poupard, au forum international de la cybersécurité (FIC), début septembre 2021. « Le constat est un peu dur », sourit Vincent Trely, Président de l’Association Pour la Sécurité des Systèmes d’Information de Santé (Apssis), qui organise de nombreuses formations et conférences sur le sujet. « Il y a des gens de bonne volonté, mais ils jouent en Ligue 1 contre des joueurs de National », compare-t-il.
Alors, pour faire changer les hôpitaux de division, depuis le 1er septembre 2021, les 135 Groupements hospitaliers de territoire (GHT) qui regroupent tous les établissements publics sont désormais classés comme opérateurs de service essentiel (OSE). Par conséquent, ils doivent répondre aux 23 règles de la directive européenne Network and Information System Security (NIS). Concrètement, ils doivent déclarer à l’Anssi tous leurs incidents de sécurité, identifier leurs systèmes d’informations (SI) essentiels, mettre en place des procédures de cloisonnement, de relance, de fonctionnement en mode dégradé, installer des antivirus… Dans un discours du 18 février 2021, Emmanuel Macron a également annoncé que 350 millions d’euros seront consacrés à la sécurité des SI dans la santé.
Des hôpitaux sous tension
Des mesures pertinentes au vu du feu nourri de cyberattaques que subissent les hôpitaux. La part des incidents d’origine malveillante est en constante augmentation depuis trois ans : 41% en 2018, 43% en 2019, 60% en 2020, sur un total de 369 occurrences, selon le rapport 2020 des incidents sur les systèmes d’information pour le secteur santé. « Les données se revendent très bien sur le darknet, ajoute Vincent Trely. On peut aussi faire chanter les hôpitaux puisqu’ils ont l’entière responsabilité de la confidentialité des données. » Les cyberattaques se transforment parfois en scénario catastrophe, comme à Dax. Le 9 février 2021, des pirates lancent un rançongiciel qui chiffre quasiment toutes les données. Non seulement, le personnel perd instantanément l’accès aux archives mais doit aussi repasser au papier et au stylo. Le nombre de soins réalisables est divisé par 10, le centre de vaccination Covid ferme… Le retour à la normale prendra des mois. Une semaine plus tard, l’hôpital de Villefranche sur Saône subit une attaque semblable.
Les DSI des hôpitaux manquent de moyens humains et financiers
À l’hôpital de Strasbourg, Nicolas Boschetti, directeur des systèmes d’information, raconte aussi comment ses équipes se battent tous les jours pour éviter une attaque pouvant paralyser l’hôpital. Il dit affronter des actes malveillants toutes les semaines. « C’est bien de recevoir de l’argent pour acheter des licences ou des logiciels, mais on a besoin de bras supplémentaires, plaide-t-il aujourd’hui. Et ils coûtent chers. On est en concurrence avec des banques, des SSII. On ne peut pas payer les mêmes salaires… »
Il faut aussi un changement de mentalité. « L’hôpital, c’est un endroit bienveillant, juge Vincent Trely. C’est la culture de la porte ouverte. On a l’habitude de partager des mots de passe, par exemple. »
Même si les règles NIS vont dans le bon sens, « les hôpitaux sont déjà écrasés par le réglementaire. Ils sont souvent mis en demeure pour des sujets plus graves. Donc ça ne stresse pas vraiment le directeur », ajoute-t-il. Pour lui, la cybersécurité progresserait à « coups d’incidents ». « Quand un hôpital est inopérant pendant une semaine, quand des journalistes se ruent sur l’affaire, quand des patients portent plainte… Là, seulement, ça impacte les directeurs et les médecins qui ont vécu une cyberattaque. »
Un nouvel observatoire pour mesurer les dégâts
Jean-François Parquet, fonctionnaire de sécurité des systèmes d’information des ministères chargés des affaires sociales, a annoncé le 18 novembre 2021 que l’Opssies (Observatoire permanent de la sécurité des systèmes d’information des établissements de santé) serait déployé progressivement jusqu’à la fin de l’année. À l’aide d’audits, l’observatoire devra répondre à 6 objectifs : gouvernance des établissements de santé, diagnostic de sécurité des systèmes d’information, sécurisation et mise en conformité, sensibilisation au risque cyber, préparation en cas d’incident et gestion des incidents.
L’ambition est, à terme, de ne plus se focaliser sur des événements isolés, mais de mettre en lumière des défaillances globales… et d’y trouver des solutions.
