Dans l’opinion publique et au sein des équipes opérationnelles, les cyber-attaques qu’ont récemment subies les hôpitaux en pleins pics épidémiques ont fait l’effet d’une bombe. Les hackers s’en sont donné à cœur joie, bloquant le fonctionnement de services entiers, saturant les systèmes informatiques ou volant les données médicales. Pas nouvelle pour autant, cette problématique cyber-sécuritaire est traitée par les directions des systèmes d’information hospitaliers depuis de nombreuses années. Deux ans après le début de la crise, quel est l’état de la cyberdéfense française de ce secteur particulier ? La prise de conscience généralisée est-elle réellement suivie de faits ? À quels défis les hôpitaux, cliniques et autres établissements de santé, vont-ils désormais être confrontés ?
L’hôpital est dépendant de l’informatique
L’hôpital a deux grandes missions : soigner les patients, bien sûr, mais aussi les accueillir dans de bonnes conditions. La gestion des entrées et sorties des patients est tout aussi critique que la qualité des soins qui sont dispensés dans les structures hospitalières. Si elle n’est pas encore totalement terminée, la digitalisation du secteur est lancée depuis plusieurs années maintenant. L’hôpital est donc dépendant de l’informatique, surtout pour ce qui concerne la gestion logistique du patient. Mais pas uniquement, puisque les outils médicaux (IRM, scanner, radiographie…) sont également connectés au réseau. Lorsque le système d’information d’un hôpital se retrouve à l’arrêt à cause d’une attaque informatique, c’est donc un véritable retour à l’âge de pierre pour les équipes soignantes.
Les attaques informatiques des établissements de santé existaient déjà bien avant la crise du Covid-19, mais cette dernière les a considérablement médiatisées, générant une vraie prise de conscience de la dépendance informatique des hôpitaux. La sécurisation et la défense des systèmes d’information hospitaliers sont non seulement primordiaux pour la continuité de l’activité, mais aussi vitaux pour la prise en charge des patients.
Les hôpitaux ont donc les mêmes besoins que la plupart des infrastructures dans les autres secteurs d’activité. À la différence près qu’ils ont des contraintes supplémentaires à prendre en compte.
Sécuriser malgré les contraintes
Un hôpital fonctionne 24 heures sur 24 et 7 jours sur 7. Toute opération d’urgence ou de maintenance du système d’information doit donc être faite sans impact sur l’activité hospitalière. Parallèlement à cela, les établissements de santé font face à plusieurs niveaux de contraintes réglementaires et administratives.
Il s’agit d’abord d’assurer la confidentialité des données des patients. Cela implique de choisir un environnement : « on-premise », Cloud/SaaS, ou hybride. Il faut également protéger les accès aux données, vis-à-vis des acteurs internes (le personnel hospitalier) et des visiteurs.
Une autre contrainte s’applique spécifiquement aux structures du service public : le respect des marchés. Cela a tendance à ralentir les prises de décision, voire à les bloquer car les dépenses doivent systématiquement rentrer dans des budgets prédéfinis. Le problème se pose notamment dans la répartition Opex (budget de fonctionnement) – Capex (budget d’investissement). Les budgets attribués sont en effet souvent des budgets Capex, or certaines solutions informatiques comme le Cloud sont considérées comme des budgets de fonctionnement. Les aspects administratifs et financiers ne sont donc pas toujours en ligne avec la réalité technique.
Réagir et prévenir : les priorités cyber-sécuritaires du secteur
La crise que nous traversons depuis bientôt deux ans a révélé au grand jour la dépendance des établissements de santé vis-à-vis de leur système informatique. Les audits de sécurité sont en cours pour identifier les manquements des infrastructures des hôpitaux et des cliniques.
Quelle que soit l’organisation existante du système d’information, il faut, avant toute chose, s’assurer que les équipements sont à jour. Il existe en effet toujours des failles dans les produits informatiques qui sont comblées dans les dernières mises à jour. La deuxième étape consiste à identifier les zones où la sécurité fait défaut.
Actuellement la partie la plus faillible d’un SI est souvent la partie la plus accessible de l’extérieur : la messagerie et les serveurs Web. Si la majorité des établissements hospitaliers ont déjà une solution de protection de la messagerie, les services Web ne sont souvent pas ou peu protégés.
Une solution WAF (Web Application Firewall) peut notamment prévenir les attaques par déni de service (DDoS), et protéger des attaques ciblées. Segmenter le réseau entre la partie médicale pure (les outils de diagnostic connectés) et la partie administrative est indispensable car cela permet d’éviter la propagation des attaques et de protéger les outils de diagnostics de santé qui sont souvent plus difficiles à mettre à jour.
Enfin, il est nécessaire d’accompagner les équipes opérationnelles et de les former aux bons gestes cyber-sécuritaires. N’oublions pas que la plupart des piratages informatiques viennent d’une action de phishing et impliquent nécessairement une action humaine.
Sur la question de la cyberdéfense, il faut que nous sortions grandis de cette crise sanitaire. La prise de conscience est bien réelle, et les phases d’audit et d’analyse du risque se sont accélérées dans la plupart des établissements. Il va désormais falloir mener des arbitrages de manière pertinente afin d’aligner les besoins aux budgets. Cette prochaine étape relève du cas par cas. Ne la négligeons pas, c’est une question de santé publique !
Exergue : Il faut que nous sortions grandis de cette crise sanitaire sur la question de la cyberdéfense.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes