Face aux cyberattaques, les hôpitaux soignent leurs carences
Le secteur de la santé est une cible régulière pour les cybercriminels. En 2022, au moins onze cyberattaques ciblant des structures de santé ont été identifiées en France. Souvent ces attaques sont des succès car les hôpitaux n'ont pas toujours la capacité de se protéger. Et du fait de la nature de leurs missions, imposer trop de normes de sécurité ralentirait leurs équipes.
La vie d'un RSSI en hôpital
Pascal Sabatier, RSSI et DPO du CHU d'Aix en Provence, explique : "Le lundi, s'il n'y a pas d'incident pendant le week-end, on fait un retour sur les derniers évènements. On a aussi le retour du comité de direction qui nous donne les nouvelles directives à suivre. Puis se déroule la session avec les équipes d'exploitation, et on voit avec elles si des failles sont sorties depuis les 48 dernières heures. On les analyse et on regarde si elles peuvent être utilisées contre l'infrastructure de l'hôpital. Si oui, on met en œuvre les actions pour combler ces failles".
Il faut en outre prendre en compte que le personnel des hôpitaux a des besoins différents de ceux du personnel en entreprise. "La mission d'un médecin qui prend en charge un patient est de le soigner le mieux possible, poursuit Pascal Sabatier. Il a envie d'avoir accès à l'information immédiatement. Si on écoutait les médecins, il ne faudrait pas de mots de passe et il faudrait stocker les informations des patients sur tous les drives de la terre. Néanmoins, c'est un point de vue en voie de disparition. Durant les dix dernières années, il y a eu un basculement. Les médecins refusent toujours les mots de passe de 45 caractères mais ils acceptent d'avoir un socle de sécurité. Le curseur dépend de la sensibilité de chacun."
Une autre spécificité est qu'un hôpital n'est pas organisé comme une entreprise. Par exemple, quand un RSSI découvre que des employés ont une habitude qui met en danger la sécurité des données de la compagnie, il alerte le directeur général (DG) qui prend alors une décision qui s'applique à l'ensemble des collaborateurs. Dans un hôpital, on va certes suivre le même chemin au début mais le DG n'a pas la main sur les équipes médicales. Donc le RSSI va devoir faire un travail de sensibilisation auprès des médecins et de leurs équipes pour les convaincre du bienfait de la mesure proposée par le DG. Il faut ajouter à cela que les hôpitaux ont du mal à recruter des équipes IT, par manque de moyens. Mais grâce aux investissements de l'Etat, la donne est en train de changer.
Comment peut-on sécuriser un hôpital ?
Pour savoir comment les acteurs du marché de la cybersécurité s'adaptent aux besoins des structures de santé, nous sommes allés à la rencontre des équipes d'Olfeo, un des leaders du marché, qui protège le trafic web de 170 établissements de santé en France. "Chez Olfeo, on a deux objectifs : la simplicité et l'expertise technique, nous confie Didier Oudin, key sales executive public sector. Le premier car on sait qu'il y a un manque de personnel en termes d'équipes IT au sein des hôpitaux. Il existe donc un déséquilibre entre la capacité d'attaque des hackers et le niveau de défense des établissements de santé. Les équipes IT ayant peu de temps, il faut mettre à leur disposition des solutions simples d'utilisation et faciles d'installation." Les établissements de santé sont aussi plus souvent attaqués que les entreprises car le fait de bloquer un hôpital assure théoriquement un paiement rapide aux hackers.
"Les budgets se sont grandement améliorés au sein des hôpitaux grâce au plan France relance. Les équipes IT ont pu se doter de nouvelles solutions pour protéger leurs systèmes", précise Alexandre Souillé, CEO d'Olfeo. Les solutions les plus simples pour les hôpitaux sont celles de type Saas, car nul besoin d'installer un logiciel dans le système informatique, tout se fait via la plateforme en ligne. Les contrats entre fournisseurs de solutions et hôpitaux sont en général pluriannuels, en moyenne de trois ans. Il est difficile d'en connaitre le prix car celui-ci peut grandement évoluer en fonction des négociations, des centrales d'achat et du nombre d'utilisateurs. Evidemment, ce montant est souvent confidentiel. Cependant nous avons pu fixer une fourchette et en moyenne, un contrat coûte entre 15 000 et 40 000 euros par an. Se pose également la question du temps de formation qui varie selon que la solution est en SaaS ou non. Pour la solution Olfeo on-premise, il faut compter de deux à trois jours de formation. Pour la version SaaS, le temps de formation tombe à une journée, de plus l'infogérance et la maintenance sont assurés par Olfeo.
Un secteur mieux protégé qu'avant la crise du covid
Le secteur de la santé a bénéficié de nouveaux fonds que l'Etat lui a alloués. Le premier effet bénéfique fut l'arrêt de l'hémorragie de départs au sein des équipes IT. Mais il reste encore des bémols. Les petites structures de santé n'ont pas encore pu complétement profiter des nouveaux budgets. En effet, elles ne sont pas jugées prioritaires lors de leur répartition. Par ailleurs, la sensibilisation du personnel au risque cyber n'est pas encore complètement achevée car il faut trouver un bon équilibre entre sécurité et praticité. Les acteurs de la cybersécurité doivent s'adapter aux besoins bien spécifiques des équipes médicales, ce qui n'est pas toujours facile. Enfin, persiste toujours le problème de manque de bras au sein des métiers de la cybersécurité mais il s'agit d'un problème global qui ne concerne pas uniquement le secteur de la santé.