Cybersécurité : mieux vaut prévenir que guérir

Si la question a pu sembler longtemps secondaire, la cybersécurité est désormais devenue une priorité pour les établissements de santé dont la prise de conscience a été accentuée par la multiplication des cyberattaques ces derniers temps. Et si le risque cyber demeure exceptionnel, quand cela arrive, les dégâts sont immenses. Mieux vaut donc prévenir que guérir et anticiper sa stratégie de cybersécurité. Mais pour cela, les établissements de santé ont besoin de moyens, financiers comme humains.
Précieuses données de santé
Des données extrêmement convoitées
Si le caractère sacré des données de santé, et notamment le secret qui les garantit, fait partie de l’inconscient collectif et semble pour ainsi dire acquis, ces données ne sont pourtant pas intouchables. Au contraire, l’usage du numérique les a rendues extrêmement convoitées et donc, sensibles comme l’explique Nesrine Benyahia, Fondatrice de Dr Data : « bien que les données de santé relèvent des libertés fondamentales, il y a longtemps eu une certaine distance des usagers envers elles, contrairement aux données bancaires qui ont un impact immédiat, brutal. Mais depuis la crise sanitaire, cette distance est beaucoup moins forte car on s’est rendu compte de l’importance des données de santé : elles sont courtisées, ont une valeur et sont liées aux décisions de vie (vaccination, covid…) »
Sans parler de leur extraordinaire richesse sur le plan épidémiologique, de la recherche, de la prédiction… Mais qui dit richesse dit convoitise et intérêt : « désormais, les réseaux de hackers sont très structurés et il ne s’agit plus de personnes isolées, relate Cécile Chevance, responsable du pôle O.F.F.R.E.S de la FHF. Ils conçoivent des programmes de cyberattaque et les revendent sur le dark web. Il y a un vrai marché de programmes d’attaque prêts à l’emploi. » Et, si la première raison de l’attaque des hôpitaux est vénale, des états sont parfois à la manœuvre, véritables tentatives de déstabilisation du tissu social. « Or les hôpitaux sont structurants de ce tissu social sur les territoires, poursuit Cécile Chevance. Quand un hôpital est attaqué et que ses services d’urgence ou de soins critiques ne fonctionnent plus (ou alors en mode dégradé), cela fragilise tout le territoire. »
Des hôpitaux désormais comptables de la sécurité des données
Une question fondamentale de confiance avec les citoyens
Pour les établissements, garantir la sécurité des données de santé est également un enjeu de taille dans leurs relations avec les usagers : « il y a une vraie question de confiance avec les patients dont la nouvelle génération est très portée sur ces questions de protection des données, rappelle Nesrine Benyahia. Un véritable challenge citoyen est né et les hôpitaux ont, désormais, des comptes à rendre. Nous sommes entrés dans une ère de démocratie numérique avec une demande de plus de transparence, d’éthique, de lien ». Preuve de cette préoccupation grandissante : une association de patients a porté plainte symboliquement après l’attaque CHU de Créteil considérant que l’hôpital n’avait pas correctement protégé leurs données. Informer les patients sur le traitement de leurs données est donc essentiel tout comme les inclure dans les dispositifs de protection des données : « Je suis convaincue qu’il faut inclure les patients dans la construction des entrepôts de données, par exemple, illustre Nesrine Benyahia. Mais il faut des personnes formées qui maîtrisent le sujet pour que cela ait une vraie utilité. Il faut que cela relève d’une co-construction avec une vraie discussion pour que cela ait une vraie plus-value ».
La cybersécurité est l’affaire de tous
L’enjeu de la mobilisation de tous les membres de l’hôpital
Face aux attaques qui se multiplient, les établissements doivent relever un défi de taille : celui de sécuriser des systèmes informatiques dans lesquels se trouvent plusieurs centaines d’applications métier et de logiciels différents qui communiquent entre eux. Pour Cécile Chevance, « le principal souci est celui de la propagation et de la contamination. Il faut donc pouvoir couper les systèmes pour limiter les dégâts et arrêter l’attaque avant qu’elle ne prenne de l’ampleur comme à Versailles ou à Corbeil-Essonnes ».
Autre priorité : la prévention et la mobilisation de tous les effectifs autour de la question de la cybersécurité. « Dans les établissements, il y a beaucoup de turn-over entre les équipes, les internes, etc. Il est donc essentiel de refaire sans cesse de la pédagogie et de la sensibilisation car la sécurité informatique est l’affaire de tous, pas seulement celle des informaticiens, insiste Cécile Chevance. D’autant que les équipements et les appareils médicaux embarquent de plus en plus du numérique : ils sont donc également impliqués et cela multiplie les failles. La cybersécurité concerne donc tous les services et tout le personnel. Il faut également se méfier des réseaux sociaux et de ce que l’on y poste (codes d’accès affichés en arrière-plan, par exemple). Tout le monde est concerné ! »
Agir vaut toujours mieux que réagir
Repérer les failles pour mieux les colmater en amont des attaques
Au-delà de cette mobilisation générale, il importe, en amont « de prendre le temps de se poser pour connaître, évaluer ses vulnérabilités et les lister, détaille Nesrine Benyahia. Des experts indépendants peuvent dresser une cartographie qui permettra de prioriser les risques puis de mettre des moyens sur les risques les plus élevés ». Par ailleurs, 140 établissements (dont tous les établissements supports de GHT) ont été désignés opérateurs de services essentiels (OSE) pour assurer notamment une mission d’audit avec un objectif de 100 % d’audits de sécurité réalisés avec repérage des failles. « Il est crucial de le refaire très régulièrement pour effectuer les mises à jour, poursuit Cécile Chevance. En effet, les attaques réussissent la plupart du temps en raison d’une défaillance humaine ou de mises à jour non effectuées ».
Par ailleurs, réaliser des entraînements type « plan blanc » orienté sur la cybersécurité permet de connaître et parfaire les procédures pour être opérationnel en cas d’attaque et de savoir les investissements à réaliser pour contrôler les éventuelles failles. Sur ce point, « il est important de viser des standards internationaux en termes de management de la sécurité des SI, recommande Nesrine Benyahia. Il ne suffit pas de s’en occuper de temps en temps : une vraie normalisation est nécessaire. D’autant que les hôpitaux connaissent bien les process de certification : il faut le faire d’un point de vue SI. C’est structurant, cela permet d’avoir des points de contrôle et d’être en amélioration continue ».
À tout cela s’ajoute la nécessité de mettre des pares-feux et une politique de mots de passe forts, de réaliser une veille technologique pour suivre les évolutions mais aussi de gérer tous les tiers (équipes, fournisseurs…), une importante source de risque : « En informatique, on dit souvent que l’erreur se trouve entre la chaise et l’ordinateur, souligne Nesrine Benyahia. Il faut donc sensibiliser le personnel en permanence, rappeler les règles, et sanctionner en cas de non-respect car il y a une vraie responsabilité de l’hôpital. Il faut vraiment considérer la gestion des données comme étant du même ordre que la prise en charge : tout cela est un continuum ».
Donner les moyens nécessaires aux établissements
Un plan cybersécurité est en cours d’élaboration pour donner l’impulsion de départ
Mais encore faut-il avoir les moyens de mener cette stratégie. « Si les GHT permettent une certaine mutualisation et la possibilité de mettre en place un schéma directeur, cela reste des établissements physiquement distincts : il y a donc un important travail d’harmonisation des procédures et des manières de travailler », pointe Nesrine Benyahia. « Et tout cela demande des moyens financiers, matériels mais surtout des équipes étoffées, complète Cécile Chevance. Ces dernières années on a beaucoup recruté dans les grades et ces compétences pourraient être utilement orientées vers le cyber pour accompagner les hôpitaux pour consolider ce qui se fait déjà ».
Bien sûr, il va aussi falloir recruter dans les établissements notamment dans les établissements OSE pour constituer des départs de cybersécurité sur un territoire. Problème : « C’est malheureusement un secteur fort peu attractif, regrette Nesrine Benyahia. Il faut donner envie à des spécialistes expérimentés de travailler dans ce domaine à l’hôpital public ». « Pour cela, il faut des moyens et un accompagnement financiers pour les établissements, renchérit Cécile Chevance. Un plan Cybersécurité est en cours d’élaboration afin d’assurer un financement de départ mais il faut aussi des financements plus pérennes, seule solution pour pouvoir recruter ». Il faudra aussi accompagner les établissements plus petits qui n’ont pas les équipes ou des équipes réduites : eux aussi sont des cibles et leur taille ne doit pas les empêcher d’avoir un niveau de sécurité dans les règles de l’art.
« Mais ce qui nous est remonté par les DSI, c’est que le terrain n’a pas besoin qu’on leur dise quoi faire, conclut Cécil Chevance. Mais il leur faut les moyens de le faire et les aider à prioriser les actions car, en matière de cybersécurité, il y a beaucoup à faire. »
Les cyberattaques sont malheureusement devenues le quotidien dans le monde de la santé. Ce qui était annoncé il y a quelques années comme une menace est maintenant une réalité avérée. Le risque informatique est dorénavant un risque supplémentaire à gérer par les établissements. Ce qui explique la place prise aujourd’hui par les acteurs de la cybersécurité dans un rendez-vous comme SantExpo.
Les 10 règles d’or de l’Anssi pour se prémunir des cyberattaques
- Séparez strictement vos usages à caractère personnel de ceux à caractère professionnel.
- Mettez régulièrement à jour vos outils numériques.
- Protégez vos accès par une authentification double-facteur lorsque c’est possible, ou a minima par des mots de passe complexes.
- Ne laissez pas vos équipements sans surveillance lors de vos déplacements.
- Protégez votre espace de travail et vos données. Verrouillez votre poste de travail lorsque vous n’êtes pas à votre bureau et placez en lieu sûr tout matériel sensible.
- Prenez soin de vos informations personnelles en ligne. Préservez votre identité numérique en vous montrant vigilant sur Internet et les réseaux sociaux.
- Protégez votre messagerie professionnelle. Soyez vigilant avant d’ouvrir les pièces jointes et ne cliquez pas sur les liens présents dans les messages qui vous semblent douteux.
- Ne faites pas confiance aux réseaux non maitrisés pour connecter vos équipements.
- Faites preuve de vigilance lors de vos échanges téléphoniques ou en visioconférence.
- Veillez à la sécurité de votre smartphone. Évitez de prendre votre smartphone pendant les réunions sensibles.
L’Agence nationale de la sécurité des systèmes d’information (Anssi) est un interlocuteur incontournable de la cybersécurité. Voir son site. : www.ssi.gouv.fr