In November 2024, ANSSI published its report on the state of cybersecurity threats in the healthcare sector. The figures revealed that during the 2022/2023 period, the agency was informed of 30 ransomware compromises and encryptions affecting healthcare facilities, representing 10% of all reported ransomware attacks. Among these, 86% targeted healthcare facilities, 7% pharmaceutical producers, 5% medical research centers, and 2% ministries overseeing health policies and their public institutions.

Des établissements souvent victimes d’attaques opportunistes

Pour autant, le secteur n’est pas nécessairement la cible privilégiée des attaquants de tous poils. Thomas Aubin, secrétaire général adjoint du Club des RSSI de Santé, et RSSI du GHT HPGL et du CHU de Lille rappelle : « Les cyberattaques restent un vrai enjeu pour les hôpitaux, mais pour l’ensemble des entreprises aussi. 30 attaques ces deux dernières années, ce sont encore 30 attaques de trop, il reste une marge d’amélioration, mais il faut rappeler que les attaques sur les établissements hospitaliers font grand bruit, car elles sont très visibles, touchent à la santé des Français, ce qui est un sujet très sensible. »

Le responsable considère que le secteur reste dans la moyenne des secteurs et que les établissements sont confrontés aux mêmes modes opératoires que les entreprises « classiques », avec des attaquants qui ont inondé Internet de campagnes de phishing, d’attaques par force brute sur les accès VPN, etc. Il s’agit d’attaques opportunistes dans 99,9 % des cas. Des structures de santé réellement ciblées restent des cas relativement rares. Guillaume Deraedt, Conseiller en stratégie numérique et cybersécurité auprès de la Centrale d’Achat de l’Informatique Hospitalière (CAIH) et Délégué à la protection des données du Centre Hospitalier Boulogne-sur-Mer ajoute : « Le secteur de la santé n’a jamais été réellement ciblé, mais nous avons été des victimes collatérales, car nous utilisons des technologies très répandues, notamment celles de Microsoft et lorsqu’une faille est exploitée, on peut être atteints par une attaque tout comme les autres entreprises. » Une particularité du secteur est de faire la une de la presse à chaque incident majeur, mais aussi au manque de budgets pour l’IT et la Cyber. 

La Cyber, un investissement souvent non prioritaire

Lors de la conférence Cloud & Cyber Security Expo Paris 2024, Cédric Voisin, Group CIO et CISO de Doctolib, soulignait le manque de moyens de protection performants : « Un constat partagé par tous les acteurs est que l’écosystème digital de la santé est vieillissant et en retard. Les matériels comme les IRM ne peuvent être mis à jour et tout un pan de l’informatique des hôpitaux est comparable à l’OT de l’industrie. » Un autre point important est le manque de culture Cyber des personnels de santé, dont la mission originelle est bien éloignée des préoccupations des RSSI… « Il ne faut pas oublier que le métier des soignants n’est pas de faire de l’informatique. Ils sont là pour soigner les patients et pas pour mettre à jour les antivirus ou mettre en œuvre une authentification multifacteur. Il faut rendre la technologie simple pour les personnels. » Guillaume Deraedt précise : « L’ensemble des hôpitaux sont déficitaires, avec la double peine du sous-investissement : l’informatique est une priorité qui reste loin derrière celle de la prise en charge des patients.a non attractivité de la fonction publique qui freine l’embauche de talents dans l’IT et la cybersécurité. » Les petites structures ont beaucoup de mal à attirer les talents avec les salaires de la fonction publique et peinent à retenir les plus experts. « Seuls les 136 GHT (Groupements hospitaliers de Territoire) qui sont adossés à un gros centre hospitalier universitaire peuvent atteindre une masse critique, former des équipes conséquentes et offrir des salaires proches de ceux du privé. »

Les principales attaques par rançongiciel ayant touché les centres hospitaliers en France depuis 2020 Source : ANSSI

Les actions engagées commencent à porter leurs fruits

Face à ce constat plutôt alarmant, les pouvoirs publics et le secteur se sont mis en mouvement et l’attaque du groupe Lockbit sur l’hôpital de Corbeil-Essonnes en 2022 a joué le rôle d’électrochoc pour tout l’écosystème. « Suite aux attaques de 2022, le programme CaRE (Cybersécurité accélération et Résilience des Établissements) a été lancé par le gouvernement » rappelle Thomas Aubin. « Ce programme est conçu en 4 axes : la gouvernance et la résilience, la mise à disposition de ressources et de mutualisation, la sensibilisation et la sécurité opérationnelle. Ce dernier point est extrêmement important, puisqu’il porte sur la sécurité opérationnelle des systèmes d’information. » Celui-ci se décline en 5 domaines : 

  • D1 pour les annuaires techniques et exposition sur internet, 
  • le domaine D2 pour la continuité et de reprise d’activité, 
  • D3 pour la sécurisation des accès distants, 
  • D4 pour la supervision des postes de travail 
  • et enfin le domaine HospiConnect, pour l’accompagnement technique et financier des établissements pour déployer auprès des professionnels qui y exercent les moyens d’identification électroniques (MIE).

« Dans le cadre du programme CaRE, le domaine 2 qui va être initié début 2025, introduit l’obligation de mener un exercice de crise cyber avec impact dans un service de soin afin d’évaluer cette capacité de réaction et de résilience d’activité » explique Thomas Aubin. 

La mise en place de plans de continuité est essentielle pour assurer la résilience des établissements et faire en sorte que la prise en charge des patients ne soit pas stoppée, même si le système d’information est arrêté. Tous les établissements sont aujourd’hui dans cette trajectoire. Les établissements sont contraints depuis 2022 de faire des exercices de crise. Outre se mettre en situation, l’intérêt de ces exercices est de tester ces plans de continuité d’activité.

Le risque sur la Supply Chain est bien présent

Hormis ce programme, de nombreuses initiatives ont émergé dans l’écosystème. Des actions ont été aussi entreprises au niveau régional sous l’égide des ARS, avec la mise en place des C2RC (Centre Ressources Regional Cyber). En parallèle, le Club des RSSI de santé permet le partage d’expériences, de points de vue techniques sur les solutions. Depuis 2 ans, le Club travaille en partenariat avec la CAIH sur un clausier de sécurité qui reprend toutes les mesures qui doivent s’imposer aux fournisseurs du secteur. Thomas Aubin évoque les futures évolutions de ce guide : « Ce clausier évolue chaque année et en 2025 nous allons introduire la notion de score. Le fournisseur va répondre au clausier quelle que soit la structure de santé et il obtiendra son score de maturité cyber. L’objectif est que ce clausier se diffuse le plus possible au niveau national pour que les fournisseurs n’aient à répondre aux questions qu’une seule fois et que ses réponses puissent valoir pour l’ensemble des structures plutôt que d’avoir à répondre à un questionnaire par structure. »

L’importance d’un tel clausier est amenée à s’accroître, car le nombre d’acteurs impliqués dans le monde de la santé ne cesse de grandir. De multiples prestataires de services dans les processus des établissements de santé dans le cadre de la digitalisation et de l’externalisation de certaines tâches. « Ces acteurs sont très hétérogènes de par leur nature public / privé, par la nature du service qu’ils délivrent et cela vient complexifier la chaîne de responsabilité » explique Benjamin Dutheil, CISO et Risk & Compliance Manager du Groupe Covea (MAAF / MMA / GMF). Pour l’assureur santé, ces acteurs jouent un rôle de plus en plus essentiel dans le fonctionnement des processus car ils sont de plus en plus sur le chemin critique des parcours de soin ou d’un processus. « Ces prestataires travaillant pour de nombreux établissements, ils vont concentrer de grands volumes de données sur l’ensemble de l’écosystème. C’est un risque systémique qu’il est difficile d’adresser sur l’ensemble de la Supply Chain. »

Benjamin Dutheil estime que la réglementation est une piste d’amélioration. « Dans le secteur de la santé, la directive NIS est déjà en place, mais ne concerne que 300 entités qui ont été désignées Services Essentiels et seulement la moitié sont des établissements de santé. On attend plus de la directive NIS 2. » Alors que le texte est encore en cours d’élaboration, plusieurs milliers d’entités seraient concernées, dont un tiers de Services Essentiels. « Tous les établissements de plus de 250 salariés. Un deuxième tiers porterait sur les établissements entre 50 et 250 salariés et l’impact ne se limiterait plus seulement aux établissements de santé, mais aussi aux acteurs de la Supply Chain, notamment les fournisseurs d’équipements médicaux, les laboratoires, etc. »

Origine des incidents déclarés auprès de l’Agence du Numérique en Santé en novembre 2024

La mutualisation, une solution d’évidence pour les petits établissements

À plus court terme, le secteur doit rapidement hausser son niveau de protection pour contrer le flot ininterrompu d’attaques. Le plan France Relance élaboré en 2020 avec l’ANSSI a permis à de nombreux acteurs d’investir dans un diagnostic et dans la mise en place de solutions techniques pour se sécuriser. Le programme CaRE vient aujourd’hui en relais pour poursuivre cet effort. « Ce sont des accompagnements significatifs, avec des briques logicielles, des prestations, mais les établissements de petite taille sont isolés » considère Guillaume Deraedt. Le service IT est souvent très réduit et doit gérer tous les aspects, dont la cybersécurité. Or, le personnel informatique n’est pas prioritaire sur la formation continue, par rapport aux personnels soignants. « Je suis RSSI et j’ai fait quasiment toute ma carrière au CHU de Lille, le GHT Hôpitaux Publics du Grand Lille. J’ai aussi le challenge de jouer le rôle de RSSI pour les petits établissements du GHT Côte d’Opale pendant 18 mois pour mettre les équipes en place et les aider à monter en compétences sur la Cyber. » Pour le RSSI, le constat est clair : ces petits acteurs doivent s’appuyer sur des services de sécurité mutualisés. « Association sous la loi de 1901, le CAIH propose depuis 9 ans un service de SOC opéré avec un prestataire de service qui surveille l’ensemble des flux issus des EDR, XDR en 24/7, ce que ne peuvent faire les équipes en place, embolisées par la modernisation applicative et répondre aux besoins des professionnels de santé. » 250 000 postes sont aujourd’hui abonnés à ce service commercialisé à partir de 1 € HT par mois et par poste.

Cette mutualisation de moyens va au-delà des seules briques technologiques. Guillaume Deraedt rappelle que lors de l’incident majeur dans un établissement d’Armentières, les équipes du GHT du Grand Lille sont intervenues la nuit même et ont remis en ordre de marche le système d’information très rapidement. « L’incident a eu un impact, mais celui-ci a été géré et l’impact sur les patients a été quasi nul. La massification et la mutualisation des moyens sont nécessaires, avec des gros établissements en soutien. » Le RSSI souligne que la réponse à incident n’est pas uniquement une question d’experts et de technologies : « L’aspect humain est extrêmement important et une erreur est de ne répondre qu’au volet technologique. Il faut notamment savoir s’organiser pour prendre en charge des patients sans outil informatique, sans DPI [NDLR : Dossier Patient Informatisé] et c’est possible de le faire. » Il est possible de former le personnel soignant à des procédures dégradées pour gérer les pathologies des patients, les posologies de médicaments et leurs risques d’allergies sans réseau informatique. Guillaume Deraedt conclut : « Il ne faut pas avoir peur d’un arrêt informatique, mais s’organiser en conséquence pour assurer la sécurité de prise en charge des patients et être capable de faire un diagnostic précoce de la situation cyber et savoir comment redémarrer. » 

Articles by the same author:
Stay tuned in real time
Subscribe to
the newsletter
By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.
Stay tuned in real time
Subscribe to
the newsletter
By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.