La santé, un secteur sous hautes tensions… cyber

La crise sanitaire a accru la numérisation parfois à marche forcée du secteur de la santé. Mais malgré une politique publique active, ce dernier reste sous hautes tensions cyber. Les différentes attaques informatiques sur des hôpitaux au bord de la rupture du fait de la lutte contre le Covid, le déclenchement de la guerre en Ukraine, et la charge de travail extrême des établissements de santé n’ont fait que souligner une grande vulnérabilité des systèmes d’information.

Premier constat : les attaques cyber contre les hôpitaux déjà sous une pression extrême. Si elles ont marqué les esprits, par leur coté barbare et sans scrupules face à des équipes de soignants héroïques, elles ont aussi souligné, comme celles des hôpitaux de Dax ou de Villefranche sur Saône (cf. encadré 1), l’extrême vulnérabilité des systèmes d’information de santé à des attaques « classiques », déjà connues depuis des années, et par la même, le manque de résilience et l’obsolescence de ces systèmes, dénoncée à corps et à cris depuis des années par les RSSI d’infrastructures hospitalières et médicales. Selon le Rapport public 2021 de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la santé) rendu public au printemps 2022, et publié par le ministère des Solidarités et de la Santé, « en 2021, 582 établissements ont déclaré 733 incidents, soit pratiquement le double par rapport à 2020 […]. Une augmentation des attaques a bien eu lieu, mais elle doit aussi être imputé aux obligations de déclaration des incidents et à la politique spécifique Santé mise en place en 2021 ».

Les grandes attaques sur les établissements de santé en France

En 2020, pas moins de 27 attaques ont touché des hôpitaux français. Le secteur santé compte, depuis le début de l’année 2021, une cyberattaque par semaine.

Dans la nuit du 8 au 9 février 2021, le CH de Dax a été victime d’un rançongiciel. Un logiciel malveillant a chiffré les données de l’établissement, paralysé son système informatique et coupé tous les appareils électroniques, dont les téléphones et ordinateurs. Ce qui a impacté les services de soins.

Le 16 février 2021 à 4h30 du matin, le CH de Villeneuve-sur-Saône a été victime du rançongiciel RIUK qui a touché les sites de Villefranche, Tarare et Trévoux. Les auteurs de l’attaque ont réclamé une rançon pour débloquer les données du système. Pour éviter que le virus ne se propage, les accès au système d’information et à Internet ont été coupés et les interventions chirurgicales reportées…

Le 21 décembre 2020, le CH d’Albertville-Moutiers a été victime d’une attaque par rançongiciel, qui a contraint le personnel à travailler en mode dégradé pendant plusieurs semaines. À cause du chiffrement des données et par mesure de précaution, la quasi-totalité du SI a dû être arrêté, affectant de nombreux services essentiels.

Le 15 novembre 2019, le CHU de Rouen a été victime d’une attaque de grande ampleur qui a paralysé tous ses services pendant plusieurs jours, nécessité le transfert de certains patients dans d’autres établissements et provoqué le report de toutes les interventions programmées. L’attaquant avait déployé un logiciel malveillant qui a chiffré les données du système d’information.

Le 10 août 2019, le groupe de santé français Ramsay a été victime d’une cyberattaque à grande échelle, avec 120 sites touchés mais sans conséquence sur les soins ou la prise en charge des patients. Aucune donnée n’a été détournée ou détruite.

Les attaques ne sont pas nouvelles : « c’est le plus souvent des attaques par ransomware, des incidents de fonctionnement, une attaque sur les adresses IP de matériel bio médicaux. Rien de nouveau sous le soleil », soupire cet expert en santé publique. Toujours selon ce rapport 2021 précité, les 733 incidents déclarés par 533 établissements de santé ont donné lieu à des interventions au profit de 37 établissements, menées par le CERT santé (cf. encadré 2), l’Anssi et le FSSI. L’Anssi a opéré auprès de 29 établissements de santé publics dont 18 OSE (opérateurs de services essentiels). « Ces incidents étaient liés à des attaques par rançongiciels (ransomware), des compromissions par chevaux de Troie, des compromissions de comptes (AD, VPN ou messageries), la vente d’identifiants sur Internet, l’exploitation de vulnérabilité sur des équipements de sécurité, ou des dysfonctionnements graves de systèmes critiques ».

Guillaume Deraedt, ancien RSSI du CHU de Lille et depuis mars 2022 RSSI du GHT (Groupement Hospitalier de Territoires) de la Côte d’Opale, qui regroupe 3 établissements (CH de Boulogne-sur-Mer, CH de Calais, et IDAC de Camiers), note « une montée en puissance du phishing, des ransomwares et des logiciels de chiffrement dans les attaques cyber contre les établissements de santé, avec un développement, qui consiste, non pas à menacer d’un chiffrement des données, mais à montrer des données déjà exfiltrées et chiffrées pour preuve de l’attaque, et à demander une rançon pour pouvoir les récupérer ». Or, non seulement la doctrine officielle étatique transmise à n’importe quel organisme public ou privé est de ne jamais payer la rançon, sinon on encourage ces attaques, et de porter tout de suite plainte, mais dans le cas présent, comme le précise Guillaume Deraedt, « on n’a en plus aucune garantie que les données n’ont pas été dupliquées et n’ont pas été déjà revendues ailleurs à d’autres pirates qui feront pareil ».

D’autant que, comme le souligne-t-il, « la multiplication des dispositifs de lutte contre le Covid a généralisé le recours à l’informatique de la part des particuliers, des médecins, mais aussi accru la circulation des données entre médecins de ville, assurance maladie, plateforme gouvernementales et établissements de santé ». Si aucun incident notable ni fuites n’ont été à déplorer sur ces données aussi sensibles que la contraction ou non de différentes formes de Covid (graves ou non) – ce qui montre d’ailleurs finalement la robustesse de solutions déployées dans un temps record et l’adaptation de toute la population, y compris les seniors, à ces process -, cette pandémie a aussi accru de manière considérable, par l’augmentation du volume des échanges de données et l’interopérabilité des systèmes, la surface potentielle d’attaque.

Au-delà de la pandémie, le contexte géopolitique avec le déclenchement de la guerre en Ukraine a par ailleurs relevé – si c’était encore nécessaire – le niveau de sensibilité extrême sur cette question : l’Anssi a émis un certain nombre de recommandations, et il est clair que les établissements de santé, qui manipulent des données qualifiées très sensibles, ont accru leur vigilance dans le domaine : des parcs d’anti-virus russes ont ainsi été changés dans plusieurs établissements hospitaliers pour une solution occidentale, voire européenne, même si ce n’est jamais dit de manière officielle.

Or, rappelons-le, « la donnée de santé est par essence sensible et critique », précise Guillaume Deraedt. « Elle intéresse les gouvernements, les compagnies d’assurance, les organismes bancaires… ». Dans le Darkweb, si l’on peut trouver pour quelques poignées d’euros, de dollars ou quelques bitcoins des numéros de cartes bancaires à la volée afin d’usurper une identité bancaire pour du commerce en ligne, une donnée de santé se monnaye quelques centaines d’euros, voire plus si elle est vraiment critique. De quoi faire peur et alimenter de sérieux mouvements de panique si les données de santé des citoyens se baladent dans la nature et peuvent être exploitées par des personnes malveillantes, physiques ou morales.

Si les pratiques et les outils des hôpitaux ont évolué, si la pandémie a entrainé la prise de conscience de l’urgente et absolue nécessité de prendre en compte le risque des attaques cyber dans les établissements de santé, et motivé une politique publique qui s’affiche très volontariste dans ce domaine (cf. encadré 2), le constat partagé par les professionnels du secteur donne froid dans le dos : le rapport 2021 déjà cité de l’Observatoire mentionnait, sans sourciller : « des dysfonctionnements graves de systèmes critiques » dans les attaques recensées. Qui peuvent créer ce que l’on appelle dans le domaine médical, avec un art consommé de la périphrase, un risque de « perte de chance » pour un patient. Autrement dit, la vie d’un patient peut être mise en danger… par une faille ou un dysfonctionnement informatique. Ce constat n’étonne hélas pas les RSSI qui vivent avec tous les jours, pointent du doigt à longueur de notes de service l’obsolescence et la vétusté de leurs systèmes, leurs manques de moyens, l’inanité des politiques publiques qui se succèdent depuis des décennies sans aucune logique si ce n’est financière, et tremblent de voir que leurs systèmes sont chaque jour au bord du gouffre, faute d’une politique adaptée et qui, comme dans tout le secteur médical, se révèle de fait réactive plutôt que pro active. D’autant qu’avec la nécessité de « rattraper » les actes décalés à cause de la pandémie, et un virus toujours présent, la priorité est donnée à l’opérationnel et pas forcément aux contraintes inévitables que génère la sécurité du SI : « C’est tellement tendu dans ce contexte que la sécurité des systèmes est plutôt vécue par les équipes soignantes comme un caillou dans la chaussure et une contrainte de plus » soupire Jean-Sylvain Chavanne, RSSI du CHU de Brest. « La priorité est souvent donnée à l’opérationnel et la sécurité des systèmes est trop souvent la variable d’ajustement », complète Cédric Cartau, RSSI et DPO du GHT44.

La pandémie, une vraie politique d’accélération de lutte cyber en santé ?

Depuis le 1^er octobre 2017, les établissements de santé doivent déclarer leurs incidents de sécurité des systèmes d’information (art. L 1111-8-2 du code de la santé publique). Cette obligation a été étendue aux établissements médico sociaux depuis une ordonnance du 18 novembre 2020. Ces incidents doivent être déclarés sur un portail de signalement sur « les événements sanitaires indésirables » sur un espace dédié sur le site du ministère des Solidarités et de la Santé. Toute violation de données doit être signalée dans les 72h à la Cnil.

La pandémie a marqué un accélérateur des politiques publiques dans le domaine. Le « Ségur du Numérique en Santé », lancé en juillet 2020, dégage un investissement de 2 milliards d’euros pour soutenir le développement du numérique en santé en France, en incluant notamment le programme SUN-ES pour « Ségur Usage Numérique en Établissements de Santé » qui vise à amener l’ensemble des établissements sanitaires vers un plus grand niveau de maturité de leur système d’information grâce au partage sécurisé de leurs données. Le montant alloué au financement de ce programme s’élève à 210M€ financés par le Plan national de relance et de résilience (PNRR).

Un CERT Santé a été constitué au second trimestre 2021, annoncé par Olivier Véran, alors ministre des Solidarités et de la Santé, en mai 2021. De même, Emmanuel Macron, dans sa « stratégie nationale de cybersécurité, présentée le 18 février 2021, qui consacre un milliard d’euros et le doublement d’ici 2025 des emplois dans ce secteur stratégique, « [invite] les structures de santé à consacrer systématiquement 5 à 10 % du budget à la cybersécurité, notamment au maintien en condition de sécurité de SI dans la durée ». Réponse des intéressés : quel budget ?

Le rapport 2021 de l’Observatoire du ministère de la Santé et des Solidarités, dans son objectivité sèche, note que « la part des incidents non malveillante et liée à un dysfonctionnement de l’infrastructure est de 60 % ». Autrement dit, elle est majoritaire…

À bon entendeur…