Cybersécurité à l’hôpital : une prise de conscience urgente des dirigeants s’impose

Sur les 3 000 établissements de santé de France, le niveau de maturité face à la cybersécurité varie d’un établissement à l’autre. Suite à la stratégie française présentée par Emmanuel Macron pour faire face à la cybermenace, Cédric O a récemment annoncé un appel à la manifestation d’intérêt (AMI) pour la sécurisation des territoires qui intègre la problématique de la cybersécurité au sein des établissements de santé. Cette prise de conscience au plus haut sommet de l’État intervient suite à des cyberattaques majeures qui ont récemment secoué le secteur de la Santé. La plus marquante concerne le CHU de Rouen, victime d’un rançongiciel en novembre 2020. Ce dernier a provoqué un arrêt général d’équipements informatiques, mais aussi des ascenseurs, des appareils d’imagerie et des systèmes d’analyses…

Mais aujourd’hui, les conséquences ne sont pas seulement techniques elles peuvent aussi être létales, comme cela a été le cas à l’hôpital universitaire de Düsseldorf en septembre dernier. Le système d’admission de l’hôpital est tombé en panne à cause d’une cyberattaque empêchant la prise en charge d’une patiente devant être opérée en urgence et qui est décédée pendant son transfert dans une autre clinique de la ville. La cybersécurité doit donc être au cœur de la gouvernance de l’hôpital, des vies en dépendent. 

Appréhender la cybersécurité de manière globale

Dans le milieu hospitalier, tout est désormais interconnecté et des pans entiers des hôpitaux sont « numérico-dépendants ». L’hôpital de demain se veut numérique et il est donc inenvisageable de penser encore la cybersécurité en silos. Le plus gros risque qui pèse actuellement sur l’hôpital c’est le suraccident. En effet, peut-on aujourd’hui imaginer que l’incendie de l’usine Lubrizol soit intervenu en même temps que la cyberattaque du CHU de Rouen, le tout en pleine pandémie de Covid-19 ? Les conséquences auraient été désastreuses !

Les équipes informatiques ont longtemps été considérées comme seules responsables des problématiques de cybersécurité. Or, ces dernières sont sur-sollicitées et font ce qu’elles peuvent, avec les moyens mis à leur disposition, pour maintenir les outils informatiques opérationnels et sécurisés. 

Dès à présent, la gouvernance de l’hôpital doit prendre en compte les questions de cybersécurité pour ne pas laisser de failles béantes dans le SI des établissements. En effet, malgré la bonne volonté des DSI ou des RSSI, l’enjeu est désormais bien plus grand. Il est impératif d’impliquer l’ensemble des parties prenantes au fonctionnement d’un centre hospitalier. A titre d’exemple, en mars 2019, plus de 600 ordinateurs du CHU de Montpellier ont été infectés suite à une attaque. En cause : une petite négligence d’un employé du CHU qui avait cliqué sur un lien malveillant dans un e-mail d’hameçonnage. 

Cet exemple prouve bien que la vigilance doit s’opérer à tous les niveaux, d’autant plus que la plupart des cyberattaques à destination des hôpitaux interviennent à cause du phishing. Or, pour que les bonnes pratiques soient appliquées, il faut veiller à adapter les messages de sensibilisation à la cible. En effet, chaque acteur de l'écosystème de santé (employés, professionnels de santé, directions hospitalières...) a une vision différente de la structure pour laquelle il travaille. Il faut donc bien prendre en compte les particularités des fonctions de chacun.

Une feuille de route commune à pousser avec pugnacité auprès des directeurs d’hôpitaux

Les directeurs d’hôpitaux doivent se positionner en chefs d’orchestre de ce projet ambitieux et nécessaire, d’autant plus qu’ils doivent assurer le maintien du système d’information en état de marche. Ils ont aujourd’hui à leur disposition des éléments pour mener à bien ces missions. En février 2020, L’ENISA, l’agence européenne pour la cybersécurité, a sorti un guide de cybersécurité à destination des hôpitaux européens. Ce guide fournit des recommandations et des bonnes pratiques afin d’inclure les problématiques de cybersécurité dans les processus d’acquisition d’équipements des hôpitaux. Même si ce guide n’est pas encore très appliqué parmi les hôpitaux français, il a le mérite d’exister. Il rejoint la feuille de route du numérique en santé de L'Agence du Numérique en Santé (ANS) et la Délégation du Numérique en Santé (DNS) avec comme objectif principal, la mise en place d’une gouvernance entre les 3 000 établissements de santé dans le but de standardiser les usages du numérique et les process de cybersécurité, un plan ambitieux pour un Ministère non régalien. Mais la situation actuelle démontre qu’il ne faut plus attendre.

En outre, l’objectif aujourd’hui est d’aller plus loin que l’ENISA et ses recommandations de standardisation, dont le périmètre du guide s’arrête à l’infrastructure informatique. Or, il est important de rappeler qu’en 2021, certains établissements sont toujours équipés de dispositifs qui ont parfois plus de 20 ans, faute de moyens.  Comme pour les voitures qui doivent passer le contrôle technique, les équipements numériques des hôpitaux devraient passer régulièrement des contrôles de sécurité. Mais pour que cette démarche soit optimale, il est primordial de standardiser les processus. 

L’humain doit être replacé au cœur de la cybersécurité

Aujourd’hui, le risque zéro n’existe pas et un outil numérique ne remplacera jamais l’Humain, particulièrement dans le monde de la santé, où chaque patient est particulier. C’est l’expérience et la connaissance d’un professionnel de santé qui va permettre de prendre une décision. Pour protéger le système d’information d’un hôpital, il est essentiel d’avoir des solutions de gestion des mots de passe, de protection des accès aux données et de gouvernance des identités. Mais pour maximiser le niveau de sécurité, il faut que l’utilisateur de ces solutions soit sensibilisé et formé. 

Par ailleurs, il est aussi important d’avoir une éducation « citoyenne » à la cybersécurité dès le plus jeune âge, pour pallier les erreurs humaines. Le Comité Stratégique de Filière l’a bien compris et a déjà fait des propositions en ce sens au Ministère de l’Éducation pour intégrer des formations de cybersécurité à l’école primaire, au collège et jusqu’aux études post-baccalauréat. En somme, tout ne changera pas du jour au lendemain, mais une prise de conscience qui passe par des mesures concrètes permettront à l’hôpital de se réinventer à long terme. 

Pour plus d’informations sur les solutions de WALLIX, sponsor du 9^ème Congrès National de la Sécurité des Systèmes d’Information de Santé, rendez-vous sur www.wallix.com