C’est un paradoxe qui peut effrayer : alors que la confiance est au cœur de la relation entre l’hôpital et ses usagers, 80% des organisations de santé auraient subi une attaque réussie entre 2016 et 2018 d’après une tribune d’Orange Cyberdefense et Orange Healthcare. Comment expliquer une telle vulnérabilité et, surtout, comment y remédier ?
Données et criticité font du milieu hospitalier une cible de choix
Parce qu’elles traitent des données ultra-sensibles, relatives aux patients, les structures de santé attirent particulièrement les hackers. Ransomwares, attaques par déni de service, « medjack », ou encore botnets, tous les moyens sont bons pour compromettre l’accès à ces informations sensibles ou mettre la main dessus. Mais la data n’est pas la seule motivation des cyber-attaquants. Car réussir à bloquer l’activité de ces établissements, dans lesquels des vies sont en jeu, représente un levier de chantage particulièrement puissant pour arriver à leurs fins.
Des facteurs structurels et humains à l’origine d’une vulnérabilité sectorielle
Comment expliquer que des systèmes à ce point sensibles – et que l’on sait être menacés – restent encore si vulnérables ? Par un cocktail de défaillances multiples.
- La perméabilité des réseaux en première ligne
Il n’est pas rare dans le milieu hospitalier que plusieurs réseaux aux niveaux de confidentialité différents coexistent. Depuis un hotspot wifi, il est par exemple facile de se connecter au réseau des patients. Et de là, il est possible d’intercepter le réseau médical puis de là, d’accéder au réseau administratif. Un défaut de segmentation qui, lorsqu’il existe, constitue une première faille exploitable par les hackers.
- Priorité à l’urgence
Les hôpitaux et autres organisations de santé sont contraints par une obligation de continuité de service. Concrètement, ils ne peuvent se permettre d’interrompre les soins. C’est pourquoi, lorsque leur infrastructure informatique évolue, ils sont peu nombreux à basculer en mode maintenance – ou à éteindre, même brièvement, certains appareils. Cette façon de fonctionner les conduit souvent à composer avec l’ancien, plutôt que d’appréhender le système d’information comme un projet global, avec une gouvernance propre. Petit exercice pratique : lors d’une prochaine visite à l’hôpital, jetez un œil aux navigateurs ou applications utilisées. Dans un rapport relayé par Le MagIT, le bureau national d’audit britannique, le National Audit Office (NAO), s’est penché sur l’impact de WannaCry auprès du National Health Service (NHS). À l'époque, « la majorité des équipements du NHS infectés utilisaient des versions supportées de Windows 7 sur lesquelles les correctifs n’avaient pas été appliqués ». En parallèle, l’urgence se traduit aussi au quotidien par un oubli des principes de base de sécurité comme verrouiller sa session lorsque l’on quitte un poste de travail. Les informations contenues dans le dossier du patient restent alors accessibles, ainsi que potentiellement certains accès administratifs.
- Peu d’experts cybersécurité en interne
Au-delà de ce déficit de gouvernance, c’est tout simplement l’absence d’experts en sécurité informatique qui est souvent à déplorer au sein des établissements de santé. Mais cette phrase devrait être bientôt à employer au passé, tant le secteur réalise des efforts considérables pour se (re)mettre au niveau. En France, le colloque de l’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) de début octobre 2019 témoignait de la montée en puissance de cette thématique, au cœur des débats des établissements sanitaires et médico-sociaux.
- Une pratique courante mais incontrôlée du BYOD
Un autre facteur aggravant la vulnérabilité des milieux hospitaliers tient directement au mode d’exercice des médecins : beaucoup partagent leur temps entre un cabinet privé et l’hôpital, mais utilisent le même ordinateur et le même smartphone. Ce matériel n’étant pas fourni par l’hôpital, il ne respecte pas toujours les règles de sécurité mises en place par celui-ci.
- Des nouvelles technologies médicales peu sécurisées
Au sein des hôpitaux aux moyens les plus importants, les appareils médicaux connectés se répandent. Or, l’attention portée à la sécurité lors de leur conception est encore faible, ce qui constitue une porte ouverte au « medjack ».
- Généralisation des systèmes de gestion technique des bâtiments
Les systèmes de gestion technique des bâtiments permettent, entre autres, le contrôle à distance d’équipements comme l’air conditionné, la détection incendie ou les ascenseurs. Le piratage d’un tel dispositif peut conduire à l’évacuation forcée de l’hôpital par exemple. Conçus selon les normes de sécurité « physique », ces systèmes ne sont pas suffisamment armés du point de vue de la sécurité numérique.
Comment le milieu hospitalier peut-il développer sa résilience aux cyberattaques ?
La première mesure consiste à prendre conscience de la vulnérabilité de ces structures de santé et à faire de la cybersécurité une préoccupation majeure de l’organisation, avec ce que cela implique en termes d’investissements (ressources humaines, gouvernance, matériel, budget dédié…).
- Utiliser des solutions de sécurité réseau et matériel certifiées et qualifiées
D’un point de vue plus concret, il est impératif de recourir à des solutions sécurisant les réseaux, pour les protéger contre les intrusions et garantir une continuité de service, mais aussi les postes de travail. Avec, comme obligation, de les imposer à l’ensemble du matériel impliqué dans le traitement des patients, que la structure en soit propriétaire ou non.
- Sensibiliser le personnel
Pour convaincre les personnels de santé de se conformer aux bonnes pratiques de la cybersécurité, il est indispensable d’en rappeler régulièrement les enjeux et de clarifier avec eux les procédures. C’est dans cet esprit que le groupement de coopération sanitaire e-santé Pays de la Loire (GCS) a travaillé avec Orange Cyberdefense à l’élaboration d’un escape game baptisé Sant’escape – Sécurité numérique. Le principe ? Expliquer et appliquer les bonnes pratiques dans le secteur de la santé par le biais du jeu !
- Signaler les incidents à l’Agence Régionale de Santé (ARS)
En France, les établissements de santé ont l’obligation de signaler tout incident ou suspicion d’incident sanitaire mais aussi de cybersécurité via un portail mis à leur disposition par le gouvernement. Les agences régionales de santé se chargent ensuite de communiquer ces informations à la cellule « Accompagnement Cybersécurité des Structures de Santé » (ACSS). En plus d’un meilleur suivi, le rôle de ce dispositif national d’assistance créé par l’agence française de la sécurité numérique (ASIP) est de formuler des recommandations.
Aujourd’hui, les hôpitaux et le secteur de la santé en général sont pris entre la nécessité de réduire leurs coûts et celle d’exploiter tout le potentiel du numérique avec par exemple nouveaux services comme la téléconsultation. Or, le déficit de sécurité de leurs systèmes d’information pourrait avoir un prix particulièrement élevé pour la confidentialité et la sécurité des patients. À moins que la cybersécurité ne devienne une priorité de santé à part entière. Pour autant, les hôpitaux seront-ils un jour épargnés par la menace cyber ?
