Les hôpitaux face à la tempête cyber : mieux vaut prévenir que guérir

CHU de Corbeil-Essonnes en août, EHPAD de Beuzeville en septembre, CH de Versailles en décembre… depuis le covid, les établissements de santé sont de plus en plus souvent victimes de cyberattaques.

La plupart du temps, les établissements de santé sont confrontés à des pirates qui pénètrent dans les systèmes informatiques, volent des données puis en interdisent l'accès avant d'exiger une rançon en échange d'un retour à la normale et de la promesse que les données subtilisées ne seront pas diffusées.

Classées dans la catégorie des "ransomwares", ces attaques sont dévastatrices. Il a par exemple fallu plus de deux mois au CHU de Corbeil-Essonnes pour retrouver une activité normale, la perte de données et l'indisponibilité des logiciels internes ayant entravé l'automatisation du système, obligeant les employés à ne plus se fier qu’au au stylo et au papier. Ces évènements récents mettent en exergue la vulnérabilité des systèmes informatiques des établissements de santé, même si depuis le Covid la cybersécurité intègre peu à peu les mœurs des hôpitaux. Dès lors comment expliquer cette recrudescence et quelles bonnes pratiques peuvent-ils adopter pour réussir à se prémunir au mieux contre les cyberattaques ?

Les hôpitaux, cibles de choix des cybercriminels

En introduction du Forum International de la cybersécurité qui se déroulait le 24 janvier dernier, Guillaume Guiguené, ingénieur chez OneTrust, société de gestion des risques et de protection des données de santé résumait, au sujet des attaques dont les établissements de santé sont de plus en plus victimes : "La question n'est pas de savoir si cela va arriver, mais quand". Un état des lieux corroboré par le dernier rapport de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en janvier dernier qui relevait que les hôpitaux figuraient à la troisième place des cibles privilégiées des pirates derrière les TPE, PME, ETI et collectivités territoriales.

Pourquoi sont-ils une cible de choix pour les pirates ? Premièrement parce qu’ils manquent à la fois de moyens financiers et humains. En effet, si la santé devient incontestablement un secteur d’investissement, les hôpitaux ne bénéficient pas des mêmes moyens que d’autres métiers du tertiaire tels que la finance ou la banque. Certains n’ont donc pas la taille critique pour investir dans l’IT ni les ressources nécessaires pour accompagner cette transformation digitale. Deuxièmement, la surface d’exposition des systèmes hospitaliers attire les hackers car elle compte beaucoup de points d’entrée, et est amplifiée par l’obsolescence de certains outils utilisés pour opérer ou pour suivre les patients. Enfin, la pression mise sur les hôpitaux en cas de vol des données des patients conduit certains d’entre eux à payer plusieurs millions d’euros de rançon, faisant d’eux des cibles encore plus de choix pour une prochaine attaque.

Le gouvernement à la rescousse

Pris en tenaille entre leur manque de moyens, de compétences et leurs environnements IT parfois obsolètes, les établissements de santé ont un réel besoin de renforcer la sécurité de leurs systèmes d’information. Une urgence prise au sérieux par l’Etat Français qui a mis en place depuis la pandémie des mesures pour renforcer la stratégie de défense des systèmes hospitaliers. En avril 2021, Emmanuel Macron présentait la nouvelle stratégie cyber de la France, avec à la clef une enveloppe de 350 millions d’euros. D'autre part, dans le cadre du plan France Relance, l'ANSSI a bénéficié d'une enveloppe de 136 millions d'euros pour renforcer la cybersécurité de l'État et des territoires pour la période 2021-2022.

Des aides indispensables qui ont permis au secteur hospitalier d’évoluer dans le domaine depuis la pandémie. Alors qu’en 2020 l’entièreté du système IT pouvait être paralysée du fait de la taille des attaques durant plusieurs semaines, on constate aujourd’hui que les établissements qui ont pu investir dans la cybersécurité ont diminué leur surface d’attaque et peuvent reprendre ainsi leur activité au plus vite.

Renforcer la résilience cyber

Au-delà des investissements financiers, un changement culturel doit s’opérer. Car si la cybersécurité intègre peu à peu les mœurs des hôpitaux, les bonnes pratiques font toujours défaut. Pour y remédier, les établissements de santé doivent adopter quatre grands mécanismes : mettre en place une bonne hygiène de sécurité, se tenir à jour et avoir une bonne visibilité sur l’ensemble du système mais également développer les bons réflexes et les bons mécanismes de contrôle pour réagir ou s’adapter face à une attaque.

Parallèlement, le recrutement de talents, notamment d’ingénieurs informatiques permettrait de lutter contre les cyberattaques. Mais alors que les chocs cyber s’intensifient, la problématique du manque de compétences disponibles se fait plus que jamais ressentir. Pour y pallier, de nombreuses initiatives sont mises en place, comme par exemple l’ouverture d’un nouveau cursus spécialisé en cybersécurité au sein du Campus Cyber de l’Epita ou encore la formation annoncée de 10 000 ingénieurs cyber supplémentaires d’ici 2030 par l’équipe dirigeante de Télécom SudParis.

Pour aller plus loin, il est également crucial pour les établissements de santé de sensibiliser et former l’ensemble des équipes – des dirigeants des centres hospitaliers en passant par l’ensemble du personnel soignant et administratif sans oublier les fournisseurs – au risque cyber. En embarquant et en  formant en continu l’ensemble des membres des structures hospitalières, les établissements de santé infuseront des pratiques de cyber hygiène à respecter. Cette acculturation peut passer à la fois par des simulations d’attaques d’hameçonnage et de ransomware pour évaluer les réactions des équipes ou encore par des contenus de formation personnalisés et adaptés à tout type de profil.

Car la cybersécurité est avant tout un sport d’équipe, qui invite à se responsabiliser individuellement mais également à s’entraîner en continu pour ne pas perdre son souffle. Au-delà d’une meilleure technique, c’est à un changement de culture au sein des établissements hospitaliers que les spécialistes appellent pour réduire l’écart entre les stratégies décidées et leurs mises en pratique dans certains hôpitaux. Une volonté partagée par le gouvernement qui souhaite, d’ici mai 2023, mettre en place « un plan blanc numérique » pour doter les établissements des réflexes et pratiques à adopter en cas d’incident cyber.