Cybersécurité, alerte rouge

Par

Publié le 27/05/2021

Depuis la pandémie, les hôpitaux sont devenus des cibles privilégiées des hackers, avec des risques accrus de pertes ou de fuites de données. Les soignants sont-ils devenus plus sensibles à cette menace ? En tout cas, les pouvoirs publics ont enfin pris conscience de la menace avec le plan cybersécurité. Qu’en pensent les acteurs du terrain ? Enquête.

Crédit photo : VICTOR DE SCHWANBERG/SPL/PHANIE

Faudrait-il ajouter le ransomware comme nouvelle cause de décès ? Un décès d’une patiente pour ce motif a eu lieu en septembre 2020 à l’hôpital universitaire de Dusseldorf (Allemagne). Elle avait dû être transférée d’urgence sur un autre site suite à l’arrêt de l’ensemble des services de soins. En 2020, 34 mises en danger de patients ont été recensées dont 2 % avérées sur 9 % des incidents déclarés*. Outre ce risque pour les patients souvent négligé par les acteurs de la santé, ces attaques qui ont été multipliées par quatre depuis 2019, peuvent paralyser un établissement de santé pendant plusieurs jours ou semaines. En 2020, 45 % des établissements ayant déclaré un incident ont dû fonctionner en mode dégradé. 14 % de ces structures ont subi une interruption de prise en charge de leurs patients.*

« La gestion d’un virus informatique, il faut la concevoir comme un risque infectieux dans un service de soins. L’infection vient toujours de l’extérieur vers l’intérieur et après elle se propage rapidement, et il est impératif de la contenir puis l’éliminer, selon la même modalité que vis-à-vis d’un virus sanitaire en dépistant-traçant-isolant-traitant-protégeant-confinant si besoin », explique Pascal Forcioli, directeur général de l’EPSM de Vendée Georges-Mazurelle de la Roche-sur-Yon. Son établissement a subi une attaque informatique en octobre 2020 par le virus Emotet (russe) dont une équipe de hackers a été démantelée en janvier 2021.

Le mode d’intrusion est souvent le même. Ici l’analyse de l’évènement indésirable a permis d’identifier qu’un personnel technique a ouvert sans y prendre garde une pièce jointe qui était un cheval de Troie (rétro-tracing). Ce dernier avait aussitôt alerté le service informatique qui s’est vite rendu compte que le virus avait déjà infecté une dizaine de postes. Aussitôt, un plan d’alerte réactif a été déclenché avec demande aux utilisateurs concernés de ne plus utiliser leurs postes infectés (tracing). Les ordinateurs infectés ont été mis en quarantaine avant d’être complètement investigués (isolement, dépistage). L’activité de certains serveurs a été suspendue pendant quelques jours (confinement préventif). Heureusement, l’intrusion n’a pas été plus loin et n’a pas attaqué les bases notamment RH et médicales (levée de l’alerte, plan de reprise de l’activité). Plus tard, un pare-feu supplémentaire a été installé et un audit externe a été réalisé avec la société Advens afin de renforcer la politique de sécurité du système d’information de l’établissement et définir un véritable plan d’actions en cours de déploiement (stratégie de prévention et de maîtrise du risque).

Plus de 200 violations en 2020 dans le secteur
Pourquoi la crise sanitaire a-t-elle démultiplié les attaques ? « Avec la Covid, les soignants se sont trouvés sur des postes déportés avec des accès démultipliés de leur propre ordinateur et avec des serveurs pas sécurisés. Et au cœur de l’urgence de la crise, leur principal souci n’a pas été d’utiliser quatre mots de passe hypersécurisés », analyse Christine Dugoin Clément, chercheuse à l’IAE de Paris. L’ANSSI cite un rapport de l’entreprise Tenable dont l’équipe Security Response Team a recensé plus de 200 violations rien que dans le secteur de la santé au cours de l’année 2020. Au 28 février 2021, plus de 50 fuites de données étaient répertoriées. Parmi ces compromissions, 50 % sont dues à des rançongiciels et de 20 % à du phishing. La part des incidents d’origine malveillante est en hausse (41 % en 2018, 43 % en 2019, 60 % en 2020)*.

Nouvelle ère de la cyber ?
La date du 18 février 2021 ouvre-t-elle une nouvelle ère dans la cybersécurité ? Ce jour-là, le président Macron lance un plan dédié lors d’une visio avec les représentants de deux hôpitaux qui viennent d’être hackés, Dax et Villefranche sur Saône. Les équipes de réponses à incidents d’Orange Cyberdefense y sont intervenues, une fois le piratage détecté. Selon Nicolas Arpagian, vice-président en charge de la stratégie de la filiale du groupe Orange dédiée à la cybersécurité, « les pirates ne savent pas forcément quelles sont leurs cibles. Ils cherchent juste à faire du volume, en expédiant des messages infectés à partir de grandes bases d’emails dont celles de centres de soins ou d’hôpitaux ». Pis, complète Frédéric Descamps (société Advens), « les établissements de santé ne sont pas les institutions les mieux protégées dans le monde : l’hôpital reste un lieu ouvert et bienveillant où vous pouvez aller partout ».

L’ensemble du secteur de la santé est touché. Selon Bertrand Sommier (FHP), « les attaques dont nous avons été victimes n’ont pas conduit à une paralysie de nos établissements en cette période pandémique. Le plus souvent, elles ont eu lieu sur des répertoires partagés et cryptés, ce qui nous a obligés à faire des travaux de restauration de résilience pour reconstituer la perte de données ». Puisque tous les acteurs du secteur sont interconnectés, la Fédération doit rester très vigilante. Exemple avec les médecins libéraux, partenaires naturels du secteur privé : « Le degré de maturité numérique est variable de sorte que nous devons être attentifs aux envois d’information qui ne seraient pas sécurisés et porter une pédagogie en ce sens. »

Selon Cyrille Politi, le représentant numérique de la FHF, le contexte est tendu : « La barrière psychologique chez certains hackers est tombée. Pour eux, les hôpitaux sont devenus une belle proie ». Selon lui, le risque a changé de nature. C’est pourquoi il devient urgent d’adapter le dispositif de sécurité au nouveau niveau de risque.
Les failles constatées se retrouvent maintenant de plus en plus dans la partie OT (technologies opérationnelles), soit tous les devices médicaux qui sont connectés et produisent du soin. « C’est un trou béant. Depuis la pandémie, les cyberattaquants rentrent par les consoles et tous les dispositifs de soins intensifs. Ils n’attaquent pas forcément, ils installent leurs pions pour déclencher leur ransomware quand ils le veulent », alerte Pierre-Yves Antier, responsable de la stratégie, de l’innovation et de la transformation chez Relyens.

Sensibilisation des hospitaliers
Concernant la sensibilisation du personnel soignant comme administratif, s’est-elle renforcée avec la pandémie et l’utilisation accrue du numérique ? Selon Jean-Pierre Blum, « le danger est situé entre l’ordinateur et la chaise, soit l’être humain ou du moins ses droits d’usage et d’accès qui représentent le maillon faible ». Auriane Lemesle, référente régionale Sécurité des systèmes d’information e-santé Pays de la Loire, précise : « La vigilance à l’égard de l’emploi de ces outils n’a pas été forcément au rendez-vous, la priorité étant donnée à la gestion de la crise sanitaire. » Ce n’est pas l’avis de Baptiste Le Coz du groupement d’intérêt public SIB. Selon lui, tout comme les infirmières hygiénistes chargées de faire appliquer la procédure d’hygiène dans les établissements depuis le début de la pandémie, « les RSSI ont une écoute beaucoup plus attentive de la part de l’ensemble des hospitaliers ».

Quant à Hervé Troalic (Niji), il évoque l’histoire de l’informatisation des hôpitaux. Le décalage existe toujours entre les médecins qui ont développé il y a une vingtaine d’années en premier leurs propres bases de données et les CHU qui ont structuré par la suite des gros systèmes informatiques : « Les comportements sont restés les mêmes avec des utilisateurs qui pensent que les outils que l’hôpital met à leur disposition ne sont pas adaptés à leurs tâches quotidiennes. » En témoigne l’exemple d’un CHU qui a demandé aux hospitaliers seulement en août 2020 d’arrêter d’utiliser leurs boîtes gmail pour des usages professionnels. Pis, selon la FHP, des failles récurrentes proviennent des mauvaises pratiques d’hygiène numérique des informaticiens ou des prestataires informatiques. Elles sont la résultante d’une sous-estimation des situations de sécurité par les gestionnaires de projets. Enfin, aux États-Unis, selon Christine Dugoin Clément, des études ont démontré que les infirmières sont des cibles de choix des hackers, restent très mobiles, accaparées par leurs tâches et n’ayant pas toujours le temps de s’informer en matière de cybersécurité.

Plus de protection ?
En dépit des critiques, le niveau de pro-tection des établissements de santé a-t-il
monté suite à la vague des attaques ? « Réaliser des tests d’intrusion internes, c’est un vrai plus pour se protéger contre les ransomwares », témoigne Hervé Troalic qui prône la prévention et l’anticipation. Là encore, la prise de conscience d’investir dans la sécurité est indispensable. Alors qu’Hervé Troalic présentait un audit devant les informaticiens d’un établissement, ce dernier s’est fait cryptolocker. Ces derniers se sont rués sur leurs postes pour contenir l’attaque. Le lendemain, le directeur général de l’établissement a décidé de réallouer un budget initialement prévu pour un autre service à l’achat de baies de stockage de données. « C’est dommage que les gens fonctionnent sous la peur et la contrainte et ce n’est pas une bonne chose », commente l’expert qui recommande de se mettre en état de vigilance et se préparer à toute crise avec des exercices de simulation. Une organisation dédiée pour remonter les incidents et les traiter doit être mise en place. Par exemple, un contrat de maintenance en bonne et due forme et actualisé contractualisé avec la société informatique locale permettra de ne pas être démuni le jour où une attaque surviendra.

Single Sign On**
Quant à Frédéric Descamps, il met en avant l’idée d’un module SSO qui permet d’activer différentes applications à partir d’un login et d’un mot de passe uniques, ce dernier devant être complexe (chiffres, lettres, majuscules, caractères spéciaux). Cela évite au médecin de retaper ces informations pour chaque application. Enfin, Nicolas Arpagian évoque des micro-SOC (Security Operation Centers), soit des équipements placés à différents endroits du SI qui permettent une capacité de détection forte et fine des intrusions. Ces capteurs sont reliés à une grande base de données d’Orange Cyberdefense qui recense toutes les menaces existantes qualifiées à partir des signatures des logiciels malveillants collectées à l’échelle planétaire. La sauvegarde sur des structures annexes est aussi un moyen de conserver les données de façon sécurisée selon l’expert.

En ce qui concerne le niveau de sécurité, la situation est très hétérogène en fonction de la taille de l’établissement, pour des raisons historiques. Tandis que la FHP demande un financement pérenne ad hoc dès lors que la cybersécurité est devenue un sujet structurel, la FHF demande une réponse urgente suite à l’annonce du président Macron le 18 février dernier d’un plan de lutte contre la cybercriminalité d’un milliard d’euros appliqué d’ici 2025 (confère encadré). Alors que les enveloppes budgétaires ne sont pas encore définies précisément, une somme globale de 136 millions d’euros sera allouée aux 1 500 établissements de santé. Selon un expert, ce flou dans les fléchages est voulu par les pouvoirs publics : ces fonds auraient déjà été annoncés dans le cadre du Ségur pour le renforcement des SI (2 milliards). Toutefois, l’ensemble des acteurs du secteur soulignent la prise de conscience des pouvoirs publics en la matière. Pascal Forcioli énumère les besoins : pare-feu, compétences expertes en cybersécurité, conseil, audit du SI, recommandations et formation à l’accompagnement au changement des organisations et des pratiques, exercices de simulation avec mise en situation…

Objectif, 5 à 10 % du budget informatique dédiés à la sécurité
Alors qu’en général 1 % du budget informatique est consacré à la sécurité, l’obligation d’y dédier 5 à 10 % « va obliger l’ensemble de la communauté hospitalière à s’interroger sur la répartition budgétaire », commente Auriane Lemesle qui s’inquiète pour les petits établissements du médico-social. Ceux-ci devraient cependant y voir plus clair d’ici un an ou deux. Le plan ESMS numérique dédié au médico-social devrait permettre de voir émerger plus de ressources et de compétences mutualisées entre les structures. La clef est la mutualisation aussi bien au niveau d’un groupe pour le privé (démarche déjà bien entamée) qu’au sein des 135 groupements hospitaliers de territoires (GHT). Selon Frédéric Descamps, « alors que le paysage numérique hospitalier est encore très hétérogène, les centrales d’achat détiendront un rôle central dans l’homogénéisation progressive du marché ». Elles permettent de définir les besoins via des experts de sécurité. Elles mettent aussi à disposition des établissements de santé des catalogues de services et de solutions portés par des fournisseurs.
Avec la centralisation du SI vers le GHT, selon Baptiste Le Coz, les risques sont encore plus augmentés, d’où la nécessité de prendre des mesures de prévention et de protection en mettant les moyens techniques comme humains dans le renforcement de la sécurité.

Déficit de formation
Concernant la formation des jeunes experts, Baptiste Le Coz s’alarme du déficit chronique d’ingénieurs informatiques dans le secteur. Il appelle même à former d’autres profils plus créatifs : « Certes, nous avons besoin d’experts techniques, mais aussi de gens inventifs pour détecter les failles organisationnelles, car les hackers sortent toujours du cadre… » Est-il possible de se mettre à la place de l’attaquant ? Selon Jean-Pierre Blum, « nos rêves les plus fous imaginent une solution agile, dynamique, analysant les droits d’accès aux ressources critiques et les chemins d’attaque qui peuvent en découler de façon permanente et en temps réel. » Le projet de recherche Safecare devrait y contribuer (voir notre brève du 12 mai dernier).

* Panorama 2020 des incidents de sécurité numérique dans le secteur santé et médico-social, paru le 28 avril 2021.
** SSO : service d’authentification de session et d’utilisateur qui permet à un utilisateur d’utiliser un ensemble d’informations d’identification (par exemple, nom et mot de passe) pour accéder à plusieurs applications.

Arnaud Janin, en collaboration avec Jean-Pierre Blum