Le secteur hospitalier subit une recrudescence de cyberattaques. Celles-ci révèlent le manque de moyens consacrés au numérique dans les hôpitaux, et en premier lieu à sa sécurité. Problèmes d’effectifs, de compétences, de solutions… le gouvernement vient de décider de prendre le problème à bras le corps en ré-allouant notamment des fonds qui serviront à renforcer la résilience des systèmes d’informations des hôpitaux. Article paru dans L'Informaticien n°194.
L’attaque contre le CHU de Rouen, le 15 novembre 2019, aurait dû déclencher l’alarme, mais ce n’est que un an et demi plus tard que la cybersécurité des hôpitaux est enfin prise au sérieux. Entre temps, une pandémie et une multiplication des actes cybermalveillants à l’encontre des établissements de santé, avec la DDoS contre l’APHP et les ransomwares aux hôpitaux de Marmande, Dax ou encore Villefranche-sur-Saône. C’est ce dernier que le ministre Olivier Véran et Cédric O ont visité le 22 février, afin de détailler la stratégie gouvernementale en matière de défense du secteur hospitalier face à la menace cyber. La semaine précédente, Emmanuel Macron en personne avait pris la parole sur le sujet et dévoilé un plan d’accélération des efforts de la France dans le domaine de la cybersécurité. Sur la santé, le président de la République a insisté sur « les conséquences dramatiques » que peuvent avoir ces attaques contre des établissements médicaux dont « on voit bien la grande sensibilité, qui plus est en contexte pandémique ». Le Président a ainsi annoncé la mise en place d’un observatoire permanent du niveau de sécurité de la santé, dont la mission consiste à mutualiser les expériences, coordonner le travail des hôpitaux et des différents acteurs autour de la cybersécurité et de centraliser la réponse au risque cyber.
Une gestion disparate
Ce qui est bien nécessaire : chaque hôpital organise et gère sa sécurité informatique dans son coin, avec une grande disparité en termes de moyens et de politiques entre les nombreuses structures. D’où l’accélération annoncée par le ministre de la Santé et le secrétaire d’État au Numérique du déploiement du « service national de cyber surveillance en santé » par l’Anssi en partenariat avec l’ANS (Agence du numérique en santé). Ce service, actuellement dans une phase de « montée en charge progressive » aux dires de l’ANS, vise à cartographier la surface d’attaque d’un système d’information, d’en détecter les vulnérabilités et les éventuelles fuites. Le dispositif « Cyber veille en santé » sera lui aussi renforcé de manière à augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyberattaques.
Enfin, d’ici à cet été, les 135 groupements hospitaliers rejoindront la liste des opérateurs de services essentiels, avec l’ensemble des obligations en termes de contrôle des systèmes d’informations et de bonnes pratiques d’hygiène informatique que cela implique, sous le regard de l’Anssi et avec l’accompagnement des Agences régionales de santé. Car l’exécutif compte bien que les personnels hospitaliers soient sensibilisés et formés, ne serait-ce qu’aux « gestes du quotidien », selon Emmanuel Macron. Olivier Véran et Cédric O expliquent ainsi que la sensibilisation à la cyber sécurité sera « intégrée à tous les cursus de formation des acteurs en santé afin conforter les pratiques d’hygiène numérique, dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information ». Ce travail de formation sera surveillé par l’Anssi dans le cadre de la mise en conformité aux exigences du statut d’opérateur de services essentiels.
Le nerf de la guerre
Mais renforcer la défense des hôpitaux aura un coût. Le président de la République a, lors de son allocution du 18 février, indiqué que 5 à 10 % du budget numérique de la santé devraient passer dans le cyber et que, pour ce faire, 350 millions d’euros sur les 2 milliards alloués par le Ségur de la Santé pour accélérer la transformation numérique de l’hôpital seront dédiés à la cybersécurité. Un plan qui sera réévalué annuellement, précise le Président, les attaquants n’étant pas du genre à attendre le législateur pour se renouveler. Cédric O et Olivier Véran renchérissent : aux 350 millions du Ségur, il faut ajouter les 25 millions d’euros alloués par l’État à l’Anssi qui seront consacrés à la sécurité des établissements hospitaliers, notamment à la réalisation d’audits; lesquels sont prévus entre autres dans le « service national de cyber surveillance en santé, car il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé.» C’est pourquoi cette part de 5 à 10% des budgets des projets numériques allouée à la cybersécurité sera, selon les deux ministres, une condition au soutien de l’État.
Voici donc les pouvoirs publics pleinement mobilisés pour soutenir l’hôpital en ces temps de crise. Mais ce plan d’accélération de la stratégie cyber de l’État attaque-t-il le problème à la racine? Christophe Corne, président du directoire de Systancia, éditeur de logiciels de cybersécurité, nous rappelle ce chiffre avancé par Emmanuel Macron : 11%. C’est le pourcentage d’attaques visant les hôpitaux dans le paysage complet en France. « C’est trop élevé bien sûr », souligne Christophe Corne, « mais il faut mettre ce chiffre en perspective des collectivités, qui représentent 20% des attaques, et des PME et ETI.» Il souligne néanmoins la « sensibilité particulière des établissements hospitaliers », eu égard aux données traitées et à la criticité des opérations qui y sont pratiqués. Et c’est justement l’une des raisons de la recrudescence des attaques, la « valeur ressentie par les attaquants ».
Public-privé
Romain Lecoeuvre, CTO et cofondateur de la plate-forme de bug bounty YesWeHack, abonde : « Les services numériques sont vitaux au fonctionnement des hôpitaux, comme des collectivités, qui sont aux yeux des attaquants les plus à même de payer la rançon exigée.» Ainsi, ces établissements ne sont pas attaqués au motif que les criminels voudraient viser le système de santé en soi, mais parce que ceux-ci « veulent faire du ROI ». Et que leur connaissance du système hospitalier français est relativement parcellaire, selon Jacques de La Rivière, le patron de la pépite française Gatewatcher. « Les attaquants n’ont pas compris qu’il n’y a pas autant de cash dans les hôpitaux français que dans les cliniques américaines, et qu’ils n’ont pas le droit de payer la rançon », nous explique-t-il. Toujours est-il que le secteur hospitalier reste très alléchant pour les cybercriminels, avant tout en raison de son manque de sécurisation faute de ressources.
Ce n’est pas une surprise, l’hôpital est mal doté, le personnel soignant dénonce le manque de ressources à tous les niveaux. La problématique est la même du côté du numérique et de la cybersécurité. À commencer par les moyens humains. « On a des clients dans le domaine hospitalier chez qui les infrastructures sont gérées par des équipes trop limitées, des centres névralgiques qui devraient être gérés par le double, voire le triple d’effectifs », souligne Christophe Corne. Un constat partagé par les différents acteurs interrogés, qui signalent que le problème touche même les plus hauts niveaux. « Il faut de vrais RSSI, de vrais DPO et ne pas se contenter d’ajouter des casquettes supplémentaires au DSI », poursuit le président de Systancia. À ses yeux, ce n’est pas forcément un problème technique, grâce à des équipes de forte compétence, mais humain. Il est rejoint sur ce point par Jacques de La Rivière, pour qui l’enjeu est d’abord financier : « Dans la cyber, et dans l’IT en général, les talents sont assez chers et, de facto, le milieu hospitalier ayant peu de moyens pour les fonctions support, il n’est pas en mesure d’embaucher des ressources plus expertes.» Car ce sont des métiers en tension, où la demande est supérieure à l’offre en compétence. « Or ces questions de rareté tirent les prix vers le haut, ce qui bénéficie au secteur privé aux dépens du public », indique de son côté Karl Rigal, directeur marketing du cabinet de conseil en ingénierie Stedy. Ce manque de moyens humains a des implications sur le plan technique, puisque ce sont ces profils qui doivent s’assurer que les postes des collaborateurs sont à jour, que les politiques de cybersécurité sont correctement implémentées… mais aussi sur le plan de la sensibilisation. « Je pense que c’est un problème qui doit être d’abord réglé en interne, en mettant en place des opérations de sensibilisation, en formant les collaborateurs », note encore Romain Lecoeuvre. « C’est la base de la cyber, avant même de parler de technique.» On l’a bien vu, l’État veut insister sur cette démarche de formation et de sensibilisation, à travers le traitement de ces sujets dans les cursus des personnels soignants. Mais encore faudra-t-il que l’hôpital soit en mesure d’attirer les bons profils capables en interne de sensibiliser les équipes.
Sécuriser les infras
Pour Karl Rigal, plus que sur le levier financier, c’est sur le critère RSE (Responsabilité sociale et environnementale) que le secteur hospitalier doit jouer. « C’est la grande question de la jeune génération d’ingénieurs : le degré de citoyenneté, l’impact de l’action de l’entreprise et l’engagement RSE sont passés du 11e critère de choix d’une entreprise en 2018 au 3e en 2020 », indique-t-il.
Le sujet de la sécurisation des infrastructures, s’il arrive au second plan, doit également être pris en compte. C’est pour Jacques de La Rivière essentiellement une question de budget, le plan annoncé par l’exécutif étant susceptible de venir soutenir l’achat de solutions. Des solutions de préférence françaises ou européennes, selon le patron de Gatewatcher, qui prêche pour sa paroisse. « Les annonces doivent avant tout pousser l’acquisition de ressources françaises et européennes, le milieu de la santé n’ont pas de contrainte en termes de processus d’achat et le plan gouvernemental devrait permettre de lever les contraintes de ressources », souligne-t-il. « Il faut développer la culture d’achat local, que les donneurs d’ordre dépensent dans les solutions françaises et européennes. En France, on sait faire de l’innovation avec de l’argent et aux outre-Atlantique on sait faire de l’argent avec de l’innovation. Il faut qu’on change de paradigme.»
Accumulation des manques
C’est l’empilement du manque de ressources qui a mené le milieu hospitalier à la situation actuelle. « On a maintenant le plan de relance cyber où on annonce des coopérations public-privé pour répondre à ces enjeux de sécurité », se réjouit Romain Lecoeuvre. Selon Karl Rigal, les ESN et les cabinets de conseils peuvent y contribuer, notamment en permettant à leurs consultants de choisir leur mission et en jouant de transparence, notamment pour activer ce levier RSE, et accélérer certains processus techniques. « Des revues de vulnérabilité à la mise en place de pentest, en passant à la configuration de politiques de sécurité, de forensic, de gouvernance, le secteur privé peut accompagner ces structures qui ne sont souvent ni équipées, ni sensibilisées en interne à ces problématiques.» Même son de cloche chez Christophe Corne, qui voit d’un bon œil la stratégie de sensibilisation, mais regrette néanmoins que l’aspect humain n’ait pas été plus évoqué. « À un moment donné, il faudra aller sur la taille des équipes. Il est déjà étonnant que les équipes informatiques des hôpitaux arrivent à faire ce qu’ils font avec si peu de moyens ». Pour le dirigeant de Systancia, l’objectif doit être, à l’horizon 2022, un doublement de la taille des effectifs cyber.