Pour le monde de la Santé, l’année 2023 est particulièrement marquée par les cyberattaques. En effet, un rapport de l’ENISA (European Union Agency for Cybersecurity) démontre que les cyberattaques ont doublé au premier trimestre 2023 (40 incidents contre 22 en moyenne pour les Q1 2021 et 2022). Au-delà des hôpitaux, les cibles s’élargissent jusqu’aux prestataires de services. Car tout est bon pour accéder aux données de santé des patients.
Cette menace polymorphe qui pèse sur les acteurs de la Santé se trouve grandement renforcée par des facteurs inhérents à ce secteur, dont tout le fonctionnement repose sur un parc informatique vieillissant voire obsolète et un Système d’Information de plus en plus perméable.
Pour exemple, la multiplication croissante des interconnexions IT entre les établissements dans le cadre de groupements, le développement des interventions de télémaintenance de prestataires ou encore le recours de plus en plus courant à la télémédecine et à la télésurveillance ne font qu’accentuer les risques. La surface d’attaque du Système d’Information augmente, du fait d’accès et de points d’accès plus ou moins sécurisés. En interne, l’interconnexion des réseaux informatiques et opérationnels est tout aussi sensible, avec notamment des infrastructures techniques de gestion du bâtiment ou encore de très nombreux équipements biomédicaux qui n’intègrent que trop peu des notions ou solutions de cybersécurité.
En France, le volume de données de e-santé a été multiplié par 30 entre 2016 et 2022 selon l’ANAP (Agence Nationale d'Appui à la Performance des établissements de santé et médico-sociaux), augmentant par définition la surface et la taille des infrastructures à sécuriser. Un cyber-criminel peut espérer revendre chaque dossier médical entre 50€ et 250€. Et depuis 12 années consécutives, les fuites de données dans la Santé s’avèrent être les plus coûteuses, tous secteurs confondus, avec un coût médian avoisinant les 300 000€ en Europe.
Les remèdes cyber pour protéger les infrastructures de santé
Pour protéger les infrastructures de santé, il faut en identifier les points d’entrée. On en catégorise quatre : l’humain, le logiciel, le réseau et le physique.
Une fois ces catégories identifiées, il faut pallier aux failles détectées et ensuite dupliquer ce processus à tous les partenaires ou prestataires et à tous les points d’entrée externes non protégés. Pour exemple, pendant la crise du coronavirus, une entreprise spécialisée dans le transport de vaccins contre la Covid-19 a subi une campagne de phishing, dont l’objectif était d’accéder aux informations sensibles de son réseau de distribution.
D’un point de vue méthodologie, la première étape pour protéger les infrastructures de santé consiste à auditer et analyser tout le système, les actifs les plus sensibles et les risques associés. Dans un deuxième temps, il faut passer à l’action, en déployant les solutions de sécurité (au niveau des réseaux, des terminaux mais aussi des équipements biomédicaux) tout en tenant compte des particularités des données de santé, qui ne peuvent pas être complètement anonymisées. Il faut donc allier deux bases de données, une anonymisée et une capable de réidentifier les dossiers, d’où la complexité de l’opération. Enfin, il faut contrôler la sécurité du Système d’Information en permanence afin de permettre une amélioration continue. Pour cela, les systèmes managés représentent des alternatives adaptées car ils favorisent une mutualisation des ressources et pallient les pénuries de postes.
Mais la protection des acteurs de la Santé ne se limite pas à prévenir et lutter contre les cyberattaques, elle consiste surtout à renforcer les infrastructures IT/OT, afin de les rendre plus solides et fiables. Il est important de relever que les incidents non malveillants représentent 48% des signalements.
S’entourer d’acteurs souverains spécialisés, capables d’épauler le personnel qualifié, semble être la solution pour lutter au mieux face aux cyberattaques et prévenir les défaillances, tout en protégeant les infrastructures, les services et, in fine, les patients. Car si les remèdes cyber sont sensiblement les mêmes dans la Santé que dans les autres secteurs, les conséquences peuvent s’avérer bien plus dramatiques.
La règlementation à l’épreuve du terrain
Avec la directive NIS2 et le RGPD au niveau européen, mais aussi les actions menées par l’ANSSI, les ARS (Agences Régionales de Santé), l’ANS (Agence du Numérique en Santé) et le CERT-Santé ainsi que la CNIL au niveau français, depuis quelques années, le risque cyber dans le secteur sanitaire semble être pris en compte par les autorités publiques.
La prise de conscience des pouvoirs publics a été brutale puisqu’elle a principalement fait suite à des cyberattaques d’envergure, comme ce fut le cas en France suite à celle ayant touché le CHU de Rouen en novembre 2019, point de départ de la réflexion nationale sur le sujet de la protection des hôpitaux.
L’appareil étatique s’est donc doté d’un cadre de référence en matière de e-santé en 2020. Au préalable, le plan France Relance démarré en septembre 2020 et dont le pilotage a été confié à l’ANSSI, permet de renforcer la sécurité des établissements publics. Aujourd’hui, ce sont déjà 132 établissements qui sont engagés dans le Parcours de cybersécurité de ce plan.
Si d’un côté, la bonne volonté des acteurs de la Santé est soutenue, les manquements en sécurité informatique de certains sont quant à eux sanctionnés. C’est ainsi que la CNIL a condamné en avril 2022 la société Dedalus Biologie à 1,5 million d’euros d’amende pour un défaut de sécurité ayant causé une fuite des données de plus de 500 000 personnes.
Un second électrochoc s’est produit en août 2022 suite à la cyberattaque ayant touché l’hôpital de Corbeil-Essonnes, qui a incité le Gouvernement à investir 20 millions d’euros auprès de l’ANSSI pour améliorer l’efficacité de son action.
Au niveau européen, le RGPD, entré en vigueur en 2017, couvre une partie des obligations règlementaires, en cela qu’il s’attache à définir la responsabilisation des acteurs et le rôle donné au consentement des personnes et de l’usage de leurs données médicales. Cette règlementation de référence étant complétée par la directive NIS2. Cette dernière élargit de manière significative le périmètre du secteur de la Santé et oblige par exemple les établissements de santé à déclarer les incidents de sécurité.
Pour compléter ces textes, le règlement européen sur les données de santé est particulièrement bien accueilli par la plupart des acteurs, puisqu’il propose un schéma de sécurisation du partage de l’information pour renforcer les obligations de signalement d’incidents et d’interopérabilité.
Le prochain défi de la cyber-sécurisation du monde de la Santé sera articulé autour du Big Data médical. Il consistera à collecter, traiter et analyser les données avec la promesse d’une médecine personnalisée et prédictive, à laquelle il faudra impérativement intégrer les impératifs de protection et de souveraineté.
