![\"La](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1053072032-1-300x100.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Le volume des incidents de s\u00e9curit\u00e9 des \u00e9tablissements de sant\u00e9 s\u2019est envol\u00e9 entre 2020 et 2021\u00a0: 35% d\u2019augmentation aux \u00c9tats-Unis, 45% en Espagne et jusqu\u2019\u00e0 50% en Allemagne et en France... Une situation critique quand ces environnements sensibles ont besoin en moyenne de 28\u00a0jours pour retrouver une activit\u00e9 normale. Malgr\u00e9 les aides et l\u2019accompagnement apport\u00e9s notamment par les \u00c9tats, pourquoi les centres hospitaliers sont-ils encore aujourd\u2019hui vuln\u00e9rables\u00a0?<\/strong><\/p>\n Analyse et r\u00e9action d\u2019experts sur un ph\u00e9nom\u00e8ne qui inqui\u00e8te professionnels de sant\u00e9 et grand public.<\/p>\n <\/p>\n La fragilit\u00e9 des \u00e9tablissements de sant\u00e9 a \u00e9t\u00e9 mise en lumi\u00e8re par la pand\u00e9mie de Covid-19<\/a>, d\u00e9but 2020. Les centres hospitaliers sont alors frapp\u00e9s et paralys\u00e9s par des cyberattaques presque quotidiennement sans distinction de taille ou de lieu g\u00e9ographique. L\u2019AP-HP en mars 2020, Dax, Oloron-Sainte-Marie et Villefranche-sur-Sa\u00f4ne en f\u00e9vrier 2021, Arles en ao\u00fbt 2021, le GHT C\u0153ur Grand-Est en avril 2022, ou encore Corbeil-Essonnes plus r\u00e9cemment en ao\u00fbt 2022. Une liste qui semble interminable\u2026<\/p>\n Pour autant, la vuln\u00e9rabilit\u00e9 des \u00e9tablissements de sant\u00e9 n\u2019est pourtant pas une nouveaut\u00e9 et pr\u00e9occupe les professionnels depuis plus d\u2019une d\u00e9cennie.<\/strong> Une premi\u00e8re initiative pour parler de cybers\u00e9curit\u00e9 des \u00e9tablissements de sant\u00e9 voit le jour en France d\u00e8s 2011, dans la ville du Mans. Avec le souhait de se rencontrer et d'\u00e9changer, le premier Congr\u00e8s National de la S\u00e9curit\u00e9 des Syst\u00e8mes d'Information de Sant\u00e9 est organis\u00e9 sous l\u2019impulsion de Vincent Trely<\/strong>, RSSI du CHU du Mans. En 2013, toujours en France, la Loi de programmation militaire (LPM) consacre la notion d\u2019OIV (op\u00e9rateurs d\u2019importance vitale). Un acronyme qui cat\u00e9gorise alors un ensemble d\u2019entreprises et d\u2019organisations ayant un caract\u00e8re indispensable \u00e0 la survie de la nation. M\u00eame si la liste ne sera pas diffus\u00e9e publiquement, de premiers grands h\u00f4pitaux y sont alors int\u00e9gr\u00e9s. La m\u00eame ann\u00e9e, l\u2019American Association Hospital (AHA) commence \u00e0 publier des alertes et des rapports<\/a> sur les cyberattaques ciblant les \u00e9tablissements de sant\u00e9 sur le territoire am\u00e9ricain. Quelques ann\u00e9es plus tard, en juillet 2016, la directive NIS (Network and Information Security<\/em>) est adopt\u00e9e au niveau europ\u00e9en (avant sa deuxi\u00e8me version, NIS2<\/a>). Elle pr\u00e9voit notamment le durcissement de la cybers\u00e9curit\u00e9 d\u2019op\u00e9rateurs issus de secteurs cl\u00e9s, \u00e0 travers la cr\u00e9ation de la notion d\u2019OSE (op\u00e9rateurs de services essentiels), un autre acronyme qui viendra compl\u00e9ter celui des OIV. En 2017, la refonte des Groupements de Coop\u00e9ration Sanitaire (GCS) des \u00e9tablissements de sant\u00e9 fran\u00e7ais permet de faciliter et d\u00e9velopper les \u00e9changes entre RSSI des groupements de sant\u00e9.<\/p>\n La prise de conscience semble donc relativement ancienne, tout du moins au niveau des professionnels du secteur de la sant\u00e9 (comme les RSSI ou encore l\u2019ANSSI). De quoi assurer une certaine protection face aux menaces cyber\u00a0?<\/strong> Malheureusement, la crise sanitaire et l\u2019explosion des cas de cyberattaques contre des h\u00f4pitaux ont eu raison de cet optimisme. Selon l\u2019analyste am\u00e9ricain Brett Callow<\/strong>, pr\u00e8s de 170 attaques de ransomware ont infect\u00e9 pr\u00e8s de 1\u00a0800 cliniques et \u00e9tablissements de sant\u00e9<\/a> aux \u00c9tats-Unis sur la p\u00e9riode 2020-2021. En France, l'ANSSI relevait en moyenne un incident par semaine dans un \u00e9tablissement de sant\u00e9 en 2021 et annon\u00e7ait que 27 \u00e9tablissements avaient \u00e9t\u00e9 victimes d\u2019une cyberattaque sur cette m\u00eame p\u00e9riode. Un triste record.<\/p>\n En r\u00e9action \u00e0 ces nouvelles attaques, le secteur se mobilise de nouveau. D\u00e8s f\u00e9vrier 2020, certaines entreprises priv\u00e9es de cybers\u00e9curit\u00e9 mettent en place gratuitement des actions de soutien aux \u00e9tablissements de sant\u00e9. En parall\u00e8le, l\u2019ENISA publie un guide qui recense les 10 bonnes pratiques \u00e0 mettre en \u0153uvre au sein des \u00e9tablissements de sant\u00e9 pour faire face aux cyber-menaces. Puis, en mars 2020, plus de 3 000 professionnels de la cybers\u00e9curit\u00e9 se regroupent sous le nom de COVID-19 Cyber Threat Coalition, dans le but d\u2019\u00e9changer autour d\u2019analyses et d\u2019indicateurs de compromission. Des flux de Threat Intelligence sont alors produits b\u00e9n\u00e9volement et partag\u00e9s au travers de la communaut\u00e9. En septembre 2020 ensuite, l\u2019\u00c9tat fran\u00e7ais se dote d\u2019un fonds de 136 millions d\u2019euros avec le plan France Relance, dont le volet cybers\u00e9curit\u00e9 a pour objectif d\u2019augmenter la s\u00e9curit\u00e9 des infrastructures critiques comme celles des \u00e9tablissements de sant\u00e9. Quelques mois plus tard, le minist\u00e8re de la Sant\u00e9 augmente ce budget de 350 millions d\u2019euros pour les h\u00f4pitaux. En avril et en juin 2021, l\u2019\u00c9tat allemand publie une ordonnance ayant pour but de contraindre les prestataires de services utilisant des infrastructures critiques, dont les h\u00f4pitaux, \u00e0 se conformer \u00e0 un durcissement de leur cybers\u00e9curit\u00e9 tandis que les autorit\u00e9s fran\u00e7aises int\u00e8grent de leur c\u00f4t\u00e9 135 groupements hospitaliers \u00e0 la liste d\u2019op\u00e9rateurs de services essentiels (OSE). Enfin, en ao\u00fbt 2022, le gouvernement fran\u00e7ais annonce un budget suppl\u00e9mentaire de 20 millions d'euros<\/a> \u00e0 l'ANSSI afin de renforcer l'accompagnement des \u00e9tablissements de sant\u00e9.<\/p>\n Face \u00e0 la menace cyber, les \u00e9tablissements hospitaliers ne sont donc pas seuls. Mais est-ce suffisant\u00a0?<\/p>\n <\/p>\n Devant de tels moyens, accompagnements et initiatives, les \u00e9tablissements de sant\u00e9 restent vuln\u00e9rables. Mais pourquoi\u00a0? Dans les faits, la raison majeure semble simple\u00a0tant la surface d\u2019attaque des h\u00f4pitaux est cons\u00e9quente<\/strong>.<\/p>\n Le renouvellement du mat\u00e9riel informatique dans les environnements de sant\u00e9 g\u00e9n\u00e8re de premi\u00e8res contraintes.<\/strong> Lorsqu\u2019un \u00e9quipement informatique classique est renouvel\u00e9 tous les 5 ans, les dispositifs m\u00e9dicaux ont des mod\u00e8les de rentabilit\u00e9 pouvant atteindre une quinzaine d\u2019ann\u00e9es de fonctionnement. De ce fait, les syst\u00e8mes int\u00e8grent aujourd\u2019hui des technologies en fin de vie qui ne sont plus maintenues. \u00ab\u00a0Ces investissements de plusieurs dizaines ou centaines de milliers d'euros se font sur dix ou quinze ans<\/em>, explique Charles Blanc-Rolin<\/strong>, \u200b\u200bancien RSSI d\u2019\u00e9tablissement de sant\u00e9 et chef de projet s\u00e9curit\u00e9 num\u00e9rique en sant\u00e9 au GCS e-sant\u00e9 Pays de la Loire. Il n\u2019est pas rare de retrouver des syst\u00e8mes Windows, ou Windows XP qui n'est plus support\u00e9 depuis 2014. Parfois m\u00eame avec des versions de Windows encore plus anciennes et sur lesquelles il n\u2019existe plus de correctif de s\u00e9curit\u00e9. On se retrouve avec de vraies passoires et <\/em>des syst\u00e8mes tr\u00e8s vuln\u00e9rables<\/em><\/a>. \u00c0 cela s\u2019ajoute le marquage CE, qui est r\u00e9glementaire pour le constructeur. Mais qui est aussi contraignant pour l\u2019\u00e9tablissement de sant\u00e9, qui ne peut pas appliquer de modification sur ce dispositif, comme une mise \u00e0 jour de correctif de s\u00e9curit\u00e9, sans perdre ce marquage CE<\/em>\u00a0\u00bb. Dans le but de pr\u00e9venir le risque d\u2019utilisation de syst\u00e8mes d\u2019exploitation non maintenus, les politiques de s\u00e9curit\u00e9 informatique doivent, au contraire, pouvoir s\u2019adapter, comme le souligne Charles Blanc-Rolin\u00a0: \u00ab\u00a0c'est important de mettre en place un plan de continuit\u00e9 d'activit\u00e9 et un plan de reprise d'activit\u00e9 mais il est \u00e9galement primordial d\u2019avoir des proc\u00e9dures d\u00e9grad\u00e9es. Aujourd\u2019hui, on met beaucoup d\u2019outils de s\u00e9curit\u00e9, mais on en oublie les bases et la n\u00e9cessaire souplesse \u00e0 avoir.<\/em>\u00a0\u00bb<\/p>\n Il n\u2019est pas rare de retrouver des syst\u00e8mes Windows, ou Windows XP qui n'est plus support\u00e9 depuis 2014. Parfois m\u00eame avec des versions de Windows encore plus anciennes et sur lesquelles il n\u2019existe plus de correctif de s\u00e9curit\u00e9.<\/em><\/p>\n En parall\u00e8le, les h\u00f4pitaux sont soumis \u00e0 une num\u00e9risation \u00e0 marche forc\u00e9e depuis plus d\u2019une d\u00e9cennie<\/strong>, g\u00e9n\u00e9rant d\u2019autres contraintes. Jean-Sylvain Chavanne<\/strong>, RSSI du CHU de Brest et du Groupement Hospitalier de Territoire de Bretagne Occidentale, d\u00e9taille\u00a0: \u00ab\u00a0pour donner un exemple<\/em>, le p\u00e9rim\u00e8tre \u00e0 s\u00e9curiser pour le CHU de Brest est compos\u00e9 de 140 applications m\u00e9tiers, 350 serveurs virtuels, 6 000 postes de travail, 10 000 objets connect\u00e9s sur le r\u00e9seau, 20 000 \u00e9quipements biom\u00e9dicaux (comme des pousses-seringues, des IRM, des caissons hyperbars\u2026), 2,7 p\u00e9taoctets de stockage de donn\u00e9es brutes \u00e0 sauvegarder. Ce qui en fait un p\u00e9rim\u00e8tre tr\u00e8s large. En parall\u00e8le de cela, les centres hospitaliers ont connu une num\u00e9risation \u00e0 marche forc\u00e9e depuis les ann\u00e9es 2010, financ\u00e9e par une succession d\u2019appels \u00e0 projets, sans budgets associ\u00e9s pour les maintenir. M\u00e9caniquement, les h\u00f4pitaux se retrouvent avec une grosse dette technique qu'il faut rattraper au fur et \u00e0 mesure.<\/em>\u00a0\u00bb Dans le prolongement de cette num\u00e9risation<\/a>, les \u00e9tablissements de sant\u00e9 se sont vus \u00e9galement fragilis\u00e9s par la d\u00e9mocratisation des produits connect\u00e9s<\/strong>. La m\u00e9decine et ses usages \u00e9voluant sans cesse et les domaines de l\u2019imagerie m\u00e9dicale, de l\u2019hospitalisation \u00e0 domicile ou encore de l\u2019identification des patients ont \u00e9t\u00e9 boulevers\u00e9s par ces innovations comme le rappelle Charles Blanc-Rolin\u00a0: \u00ab\u00a0avec les nouveaux usages, comme le tracking patient avec des bracelets RFID, on peut savoir exactement o\u00f9 se situe le patient au sein d\u2019un h\u00f4pital pour am\u00e9liorer son parcours de soins. Il faut donc cadrer ses nouveaux usages num\u00e9riques et ajouter une couche de s\u00e9curit\u00e9 sans engendrer de dette technique<\/em>\u00a0\u00bb. Du fait de la multiplication de ces objets dans les services de sant\u00e9, l\u2019\u00e9largissement non contr\u00f4l\u00e9 de la surface d\u2019attaque<\/a> est un probl\u00e8me que Jean-Sylvain Chavanne analyse au travers de trois risques majeurs\u00a0: \u00ab\u00a0Le premier risque, est la non-ma\u00eetrise des objets connect\u00e9s qui sont d\u00e9ploy\u00e9s dans un syst\u00e8me d'information hospitalier. C\u2019est le cas d\u2019un fournisseur qui arrive et se branche sur le r\u00e9seau sans mesure de s\u00e9curit\u00e9 mise en \u0153uvre. Le deuxi\u00e8me risque se trouve dans les relations contractuelles. Sans contrat avec des sous-traitants ou des fournisseurs, aucune obligation de s\u00e9curit\u00e9 n\u2019est exig\u00e9e, comme la mise \u00e0 jour des logiciels concern\u00e9s. Et enfin, le troisi\u00e8me risque, ce sont les logiciels embarqu\u00e9s eux-m\u00eames, v\u00e9ritables \u201cbo\u00eetes noires\u201d. Si nous ne savons pas ce qu\u2019ils contiennent, nous ne pouvons pas ma\u00eetriser la s\u00e9curit\u00e9 et patcher les vuln\u00e9rabilit\u00e9s. En d\u00e9cembre dernier, c\u2019est arriv\u00e9 avec Log4Shell, o\u00f9 nous avons d\u00fb contacter 200\u00a0fournisseurs d\u2019\u00e9quipements m\u00e9dicaux pour savoir si leur logiciel l\u2019embarquait ou non.<\/em>\u00a0\u00bb<\/p>\n Les centres hospitaliers ont connu une num\u00e9risation \u00e0 marche forc\u00e9e depuis les ann\u00e9es 2010, financ\u00e9e par une succession d\u2019appels \u00e0 projets, sans budgets associ\u00e9s pour les maintenir. M\u00e9caniquement, les h\u00f4pitaux se retrouvent avec une grosse dette technique qu'il faut rattraper au fur et \u00e0 mesure.<\/em><\/p>\n Mais l\u2019humain est \u00e9galement un facteur de vuln\u00e9rabilit\u00e9 dans les h\u00f4pitaux<\/strong>. Soumis \u00e0 un manque d\u2019effectif, les \u00e9quipes informatiques sont concentr\u00e9es sur l\u2019objectif de fournir rapidement l\u2019information. Au risque parfois de s\u2019affranchir des r\u00e8gles de s\u00e9curit\u00e9 \u00e9videntes. C\u2019est dans ce cadre que les \u00e9quipes SSI des centres hospitaliers sensibilisent le personnel et reviennent parfois sur des libert\u00e9s que les professionnels de sant\u00e9 n\u2019auraient pas d\u00fb avoir et qu\u2019il faut d\u00e9construire, comme l\u2019analyse Jean-Sylvain Chavanne\u00a0: \u00ab\u00a0Actuellement, nos \u00e9quipements de s\u00e9curit\u00e9 bloquent un spam toutes les 50 secondes et un virus toutes les heures. Il faut sensibiliser et \u00e9duquer sur le fait que nous n\u2019avons pas une pleine libert\u00e9 d\u2019utilisation des logiciels qui stockent et g\u00e8rent des donn\u00e9es de sant\u00e9. Par exemple, le personnel m\u00e9dical ne doit pas avoir les diagnostics de leurs patients sur leur t\u00e9l\u00e9phone personnel. Nous rappelons les bonnes pratiques tout au long de l\u2019ann\u00e9e.<\/em>\u00a0\u00bb Un personnel m\u00e9dical sous pression constante, qui a tendance \u00e0 prendre des raccourcis pour se concentrer sur son m\u00e9tier de soin, et qu\u2019il faut rendre r\u00e9ceptif au sujet de la cybers\u00e9curit\u00e9<\/a>. Un vrai d\u00e9fi pour les RSSI, qui peuvent s\u2019inspirer de la communication<\/a> qu\u2019un directeur d\u2019h\u00f4pital parisien a adress\u00e9 \u00e0 ses collaborateurs.<\/p>\n Obsolescence du mat\u00e9riel, culture du risque \u00e0 parfaire, probl\u00e9matique de recrutement\u00a0; il reste encore de nombreux points \u00e0 r\u00e9gler au sein des \u00e9tablissements hospitaliers pour assurer une r\u00e9elle cybers\u00e9curit\u00e9 de ces infrastructures vitales.<\/p>\n <\/p>\n Au regard de ces diff\u00e9rentes difficult\u00e9s, Charles Blanc-Rolin souligne que l\u2019enjeu vital de la s\u00e9curit\u00e9 des \u00e9tablissements de sant\u00e9 concerne la donn\u00e9e des patients et leur prise en charge<\/strong>. \u00ab\u00a0Les cyberattaques par ransomware notamment peuvent paralyser un h\u00f4pital et diminuer les chances de prise en charge des patients. Les soignants, sans acc\u00e8s aux donn\u00e9es ni aux diagnostics, devront faire de la m\u00e9decine de guerre. Ce qui induit une d\u00e9gradation de la qualit\u00e9 de soin. C\u2019est l\u00e0, le vrai danger.<\/em>\u00a0\u00bb<\/p>\n Les soignants, sans acc\u00e8s aux donn\u00e9es ni aux diagnostics, devront faire de la m\u00e9decine de guerre. Ce qui induit une d\u00e9gradation de la qualit\u00e9 de soin. C\u2019est l\u00e0, le vrai danger.<\/em><\/p>\n Mais les donn\u00e9es de sant\u00e9 ont en parall\u00e8le un autre int\u00e9r\u00eat pour les cyber-criminels. Au-del\u00e0 du caract\u00e8re personnel et usuel de certaines donn\u00e9es comme le nom, pr\u00e9nom et date de naissance, ces donn\u00e9es peuvent parfois contenir un aspect bien plus personnel pouvant engendrer des sc\u00e9narios de demandes de ran\u00e7ons terrifiantes pour les victimes elles-m\u00eames. C\u2019est pr\u00e9cis\u00e9ment ce qui est arriv\u00e9 aux patients de la soci\u00e9t\u00e9 Vastaamo durant l\u2019ann\u00e9e 2020. Ce regroupement de 25 centres de psychoth\u00e9rapie en Finlande a \u00e9t\u00e9 victime d\u2019une fuite de donn\u00e9es, contenant le suivi psychiatrique de ces patients. Comme le rapportait VICE<\/em><\/a>, 30\u00a0000 patients avaient ainsi re\u00e7u une demande de ran\u00e7on \u00e0 r\u00e9gler sous 24h sous peine de divulgation. Une \u00e9volution dans la m\u00e9thode des cyberattaques, o\u00f9 la ran\u00e7on est la plupart du temps associ\u00e9e \u00e0 une entreprise. Mais dans ce cas, les patients se sont retrouv\u00e9s en premi\u00e8re ligne. Plus de 25 000 plaintes ont \u00e9t\u00e9 d\u00e9pos\u00e9es aupr\u00e8s des autorit\u00e9s, faisant de cette cyberattaque la plus grande affaire criminelle de l\u2019histoire de la Finlande. Quelques mois plus tard, l'autorit\u00e9 finlandaise de protection des donn\u00e9es infligera \u00e0 l\u2019entreprise une amende de 608 000 \u20ac pour avoir enfreint le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es. La France ne sera pas \u00e9pargn\u00e9e, puisqu\u2019\u00e0 la m\u00eame p\u00e9riode, 500 000 dossiers m\u00e9dicaux furent d\u00e9rob\u00e9s \u00e0 un groupement de laboratoires de l\u2019ouest de la France. Selon une \u00e9tude am\u00e9ricaine<\/a> de mars 2022, les donn\u00e9es de sant\u00e9 auraient une valeur 25 fois sup\u00e9rieure \u00e0 celle d\u2019une carte de cr\u00e9dit<\/strong>.<\/p>\n Si les donn\u00e9es de sant\u00e9 sont une manne financi\u00e8re pour les cyber-criminels, les donn\u00e9es de l\u2019univers de la sant\u00e9 peuvent \u00eatre un objectif de puissances \u00e9tatiques. Obtenir des informations sur le d\u00e9veloppement de vaccin lors de la crise sanitaire a ainsi \u00e9t\u00e9 une priorit\u00e9 pour certains pays ne disposant pas de moyens de recherche et d\u00e9veloppement. Selon le Wall Street Journal<\/em>, pas moins de six entreprises pharmaceutiques<\/a> incluant Johnson & Johnson et Novavax Inc auraient \u00e9t\u00e9 cibl\u00e9es \u00e0 la m\u00eame p\u00e9riode par des cyber-activistes Nord-Cor\u00e9ens. \u00c0 la fin de l\u2019ann\u00e9e 2020, ce m\u00eame groupe, en se faisant passer pour un cabinet de recrutement, aurait approch\u00e9 les salari\u00e9s de l\u2019entreprise Astrazeneca \u00e0 l\u2019aide de fausses offres d\u2019emploi dans le but de faire transiter au sein de l\u2019entreprise des documents contenant des charges malicieuses. Cette m\u00eame ann\u00e9e, en France, sur 24 incidents comptabilis\u00e9s dans le secteur de la sant\u00e9, sept concernaient l'industrie pharmaceutique, d'apr\u00e8s Charlotte Drapeau<\/strong>, cheffe du bureau Sant\u00e9 et Soci\u00e9t\u00e9 au sein de l\u2019ANSSI. Une tendance de fond selon le HIPAA Journal<\/em>\u00a0: le nombre de br\u00e8ches majeures concernant des vols de donn\u00e9es de sant\u00e9<\/a> est pass\u00e9 aux \u00c9tats-Unis de 368 en 2018 \u00e0 714 en 2021.<\/p>\nDes initiatives pour faire face \u00e0 la menace cyber<\/h2>\n
Pourquoi les h\u00f4pitaux sont-ils encore vuln\u00e9rables\u00a0?<\/h2>\n
Charles Blanc-Rolin<\/strong>, chef de projet s\u00e9curit\u00e9 num\u00e9rique en sant\u00e9 au GCS e-sant\u00e9 Pays de la Loire<\/pre>\n<\/blockquote>\n
Jean-Sylvain Chavanne<\/strong>, RSSI du CHU de Brest<\/pre>\n<\/blockquote>\n
Vers un front \u00e9largi de la menace cyber autour de la donn\u00e9e de sant\u00e9<\/h2>\n
Charles Blanc-Rolin<\/strong>, chef de projet s\u00e9curit\u00e9 num\u00e9rique en sant\u00e9 au GCS e-sant\u00e9 Pays de la Loire<\/pre>\n<\/blockquote>\n