Solutions non maintenues, dispositifs biomédicaux connectés à l’air libre, personnel médical non formé à la cybersécurité, etc. l’informatique hospitalière doit surtout composer avec un manque de ressources colossal pour gérer des parcs hétérogènes et criblés de vulnérabilités. Même si les attaques restent opportunistes et ne les visent pas directement, 38 % des ransomware sont, en 2022, à destination des hôpitaux. Il est plus que temps d’agir.
Dans la nuit du 11 au 12 septembre 2020, une patiente décède faute de pouvoir être prise en charge par le service des urgences de la clinique universitaire de Düsseldorf. L’établissement, en proie à une cyberattaque, est entièrement paralysé. Une première qui va marquer les esprits et tirer la sonnette d’alarme au niveau européen. « Ce ne sont pas des établissements comme les autres, ajoute Philippe Loudenot, ancien fonctionnaire de Sécurité des Systèmes d’Information au Ministère de la santé. Les conséquences d’une cyberattaque ne sont pas les mêmes que sur une entreprise classique. Elles peuvent être plus graves. » Voire létales donc… « Nous sommes sur des enjeux forts », confirme Vincent Trely, président-fondateur de l’APSSIS (Association pour la sécurité des systèmes d’information de santé).
Quand un établissement comme Corbeil-Essonnes dit : « Je ne peux plus prendre personne aux urgences, je stoppe mes blocs opératoires, je transfère mes patients de réanimations et mes bébés prématurés à 50 kilomètres parce que je n’ai plus d’équipement, plus d’examens biologiques, etc. nous sommes sur un niveau de risque considérable pour les patients. Au-delà de l’hôpital, c’est le processus de soin territorial qui est mis à mal. Le deuxième effet, c’est l’exfiltration, le chantage, la diffusion de données de santé à caractère personnel pouvant porter préjudice.»
Une informatique hospitalière complexe
Un hôpital est une structure qui tourne H24 7/7 avec différents sujets à traiter et trois types d’informatique en interne : l’informatique classique avec les réseaux, les serveurs, la bureautique, le dossier patient informatisé, etc. Viennent ensuite tous les dispositifs connectés comme le matériel biomédical associé au traitement et au diagnostic d’un patient. Arrive enfin, tout ce qui concourt au fonctionnement de la structure à savoir les ascenseurs, la lingerie ou encore les chaînes de stérilisation qui sont de plus en plus numérisées. « Tout cela avec, comme grande difficulté, d’être, d’une part dans un processus de renouvellement à court-moyen terme pour l’informatique classique et, d’autre part, sur des durées plus longues pour les dispositifs liés au bâtimentaire, à la gestion centralisée ou au biomédical et avec des fournisseurs qui n’ont pas forcément pris la cybersécurité à son juste niveau. C’est en train d’évoluer, mais cela va être très long du fait de l’ancienneté du parc existant ce qui crée une extrême fragilité. Je précise que ce n’est pas une spécificité française, c’est comme dans le monde entier », précise Philippe Loudenot.
Faut-il internaliser ou externaliser la cybersécurité ?
Mais ce qui fait surtout défaut au monde hospitalier, c’est un cruel manque de ressources.
« Nous sommes actifs sur ce sujet depuis 12 ans maintenant. Beaucoup de RSSI me disent que l’achat d’une solution de sécurité, cela génère derrière un temps de travail récurrent. Il faut en effet du personnel pour s’en occuper. Se pose alors la question de savoir s’il faut trouver des ressources internes ou bien contractualiser des gros acteurs du marché comme Thales ou Orange, en partant du principe que la cybersécurité n’est pas la tâche d’un établissement de santé. Cela n’est aujourd’hui pas tranché et devrait se jouer dans les prochaines années », explique Vincent Trely.
Le secteur hospitalier français en 2019
- 3 008 établissements de santé
- 1 354 hôpitaux publics
- 983 cliniques privées
- 671 établissements privés à but non lucratif
Source : Drees (Direction de la recherche, des études, de l’Évaluation et des Statistiques)
Le CERT Santé en chiffres
• Une équipe composée d’une dizaine de personnes
• 592 déclarations d’incidents dont 300 d’origine malveillante
• 100 ayant mobilisé un appui technique du CERT Santé
• 27 liées à une attaque par rançongiciel en 2022 contre 59 en 2021