Avec le congrès de l’APSSIS, l’hôpital soigne sa cybersécurité

30 juin 2023. « Anonymous Sudan », un groupe de pirates informatiques africains, aurait revendiqué une cyberattaque touchant plusieurs hôpitaux français, en réponse à la mort de Nahel, l’adolescent décédé à Nanterre le 27 juin 2023 après un refus d’obtempérer lors d’un contrôle routier.

L’attaque par déni de service (DDoS) a rendu inaccessible pendant une à trois heures des sites internet de l’AP-HP, dont celui de l’hôpital de la Pitié-Salpêtrière, de l’hôpital Saint-Antoine et de l’Hôpital américain de Paris, mais également celui des Hôpitaux Universitaires de Marseille (AP-HM) ainsi que du CHU de Lyon.

Bien que l’on cherche en vain le rapport entre ces structures de soin et le drame qui a frappé le jeune homme, l’incident illustre une sombre réalité : les hôpitaux sont des cibles privilégiées des cybercriminels en tout genre. En 2021, les établissements de santé ont déclaré 733 incidents de cybersécurité.

C’est dire si le Congrès national de la sécurité des systèmes d’information de santé conserve plus que jamais sa pertinence. Sa 11^e édition, qui s’est tenue du 13 au 15 juin dernier au Mans, a réuni plus de 230 professionnels du secteur autour d’ateliers, de conférences et débats. La récente agression DDoS des pirates informatiques soudanais n’aura eu que des conséquences limitées, surtout si on la compare aux nombreuses attaques par ransomware dont ont été -et sont encore- victimes les structures hospitalières.

La bonne nouvelle, c’est que leur situation s’améliore sur le front cyber. L’Agence du numérique en santé (ANS) n’a enregistré que 522 déclarations de cyber-incidents en 2022 (soit une baisse de près de 29 % par rapport à 2021), a relevé Marc Loutrel lors de son intervention au congrès.

Cyber-incidents en baisse dans les hôpitaux

Une baisse qui se poursuit en 2023, a encore souligné l’ancien directeur expertise, innovation et international de l’ANS : « La tendance est positive, nous voyons que les efforts collectifs commencent à payer. » La mauvaise nouvelle : l’Anssi confirme « les tendances observées en 2021, notamment avec des attaques de plus en plus sophistiquées et des profils d’attaquants de moins en moins facilement définissables entre acteurs étatiques et acteurs cybercriminels », a déploré Laure Duhesme, coordinatrice sectorielle santé de l’organisme.

Ce sont face à ces incidents les plus graves que les nombreux retours d’expérience qui ont jalonné le congrès de l’APSSIS trouvent tout leur sens. Procédures à mettre en place, formation du personnel, entraînements aux réponses à incidents, solutions techniques déployées, mais aussi contraintes légales et réglementaires… Tous les établissements n’ont pas encore la même maturité face aux cyber risques et tous peuvent bénéficier de ces partages d’enseignements tirés de situations parfois extrêmes.

« En trois ans, j’ai dû gérer neuf incidents, dont deux assez graves » : Vincent Genot, RSSI du GHT Dordogne, a planté le décor, avant de détailler sa réponse à une attaque par ransomware survenue en 2022. Alors qu’une trentaine de serveurs du GHT étaient déjà encryptés par les pirates au moment où il est intervenu, Vincent Genot n’a que peu de temps pour limiter les dégâts. L’anticipation et la préparation en amont des réponses à incident ont alors joué un rôle crucial au cœur de la crise, mais aussi dans la phase de rétablissement des systèmes après l’attaque.

Faire de l’humain « le maillon fort de la cyberdéfense »

Les orateurs et participants aux tables rondes ont donc abordé beaucoup de considérations techniques, organisationnelles, managériales… Mais aussi pédagogiques, comme lors de l’intervention d’Arnaud Meunier. Le RSSI du GHT Union Hospitalière de Cornouaille a expliqué comment, en lien avec François Machacek, responsable de l’offre infogérance de SIGMA, il a réussi à impliquer l’ensemble des personnels dans la cybersécurité au quotidien. BD, support online et offline, une pédagogie drôle et non culpabilisante, l’opération a permis, selon ses promoteurs, de faire de l’humain « le maillon fort de la cyberdéfense » du GHT Union Hospitalière de Cornouaille.

D’autres tables rondes ont mis l’accent sur la gestion des données, sujet sensible s’il en est. La data est en effet le nouvel eldorado des structures de soin. De leur bonne exploitation dépendent en effet le suivi efficace des patients mais aussi les progrès médicaux de demain, notamment avec les diagnostics assistés par IA. Des représentants d’Alcatel-Lucent et de Keenturtle ont ainsi expliqué comment bien faire circuler les données, tout en renforçant leur sécurité.

Coralie Lemke, auteur de Ma santé, mes données (éd. Premier parallèle) a de son côté dressé un panorama de l’évolution de l’utilisation de la donnée, des premiers essais cliniques à l’IA médicale, en passant par les dérapages, comme la vente de données de santé à des acteurs privés par le NHS (National Health Service, le système de santé publique britannique).

IA et blockchain face aux cyber risques

En plus de conférences pointues sur des aspects techniques de la cybersécurité des hôpitaux, comme la sécurité de l’OT, l’IA ou la blockchain en milieu médical, les failles des produits Microsoft, la « Cyber Threat Intelligence » (renseignement sur les cybermenaces) ou les meilleurs moyens de sécuriser les applicatifs web et autres API, les participants ont eu l’occasion de prendre de la hauteur.

Ce fut le cas au sens littéral avec la conférence de l’astronaute Jean-François Clervoy, qui portait sur le thème « Se préparer au pire pour espérer le meilleur », mais aussi les des sessions d’ouverture et de clôture de l’événement. La première a dressé les grandes lignes de l’évolution du contexte dans lequel évoluent les responsables de la cybersécurité en milieu médical, la seconde s’est concentrée sur celle du métier de RSSI à proprement parler. Car dans cet univers aussi, « il n’est de richesse que d’hommes », comme le soulignait dès le XVI^e siècle Jean Bodin.