Jean-François Parguet (ministères sociaux) : “En cyber, le retour d’expérience est essentiel”

Les chiffres remontés par l’Anssi et le CERT-Santé montrent une forte augmentation des attaques en 2021. Quel bilan faites-vous ?

Nous avons clairement une augmentation des incidents de sécurité, c’est-à-dire des incidents avérés et déclarés au CERT-Santé, qui ont doublé entre 2020 et 2021. Cela n’est pas spécifique au secteur santé mais en partie dû à l’impact d’incidents chez des fournisseurs, qu’il s’agisse de fournisseurs d’infrastructures type IaaS, donc génériques (non dédiés au secteur de la santé), ou de fournisseurs de type SaaS qui proposent des solutions spécifiques au secteur de la santé, comme des DPI par exemple. Ces impacts ont parfois touché plus d’une centaine d’établissements et soulèvent la question du risque systémique, c’est-à-dire risque pouvant affecter la chaine sanitaire en impactant des établissements de santé de première ligne, un nombre d’établissements de santé important, des services métiers nationaux ou des établissements de santé avec des possibilités de repli plus complexes (comme dans les territoires d’Outre-mer).

Quelle est la typologie de ces attaques ? Est-ce encore de l’opportunisme ou avez-vous noté des attaques ciblées ?

Le secteur de la santé n’est pas spécifiquement ciblé à ce jour, il est chassé au fil de l’eau, par opportunisme, et subit l’augmentation continue des attaques et l’évolution de leur nature. Il faut toutefois noter une prise de conscience du risque cyber et ceci à tous les niveaux depuis deux ou trois ans. Les établissements de santé s’adaptent à cette menace nouvelle et ont commencé à se renforcer. Nous sommes encore loin d’une situation optimale, mais les choses avancent. C’est d’ailleurs tout l’enjeu du plan de renforcement cyber des établissements de santé dont une part des mesures sont déjà opérationnelles et qui va se poursuivre en 2022.

Une autre évolution porte sur la communication, avec de plus en plus de témoignages d’hôpitaux touchés par une cyberattaque…

Le retour d’expérience est essentiel. L’un des premiers “RETEX” marquant, à mon sens, est celui du CHU de Rouen, qui a été un des premiers CHU à subir un incident cyber majeur. Son retour d’expérience très complet a largement contribué à la sensibilisation des autres établissements. En tant que FSSI, on peut toujours sensibiliser, et on le fait, mais la réalité du terrain est capitale. Lorsque l’on entend des établissements qui sont revenus au papier et au crayon, quand on mesure les difficultés (ainsi que les délais et les coûts) du retour à la normale on peut apprécier les impacts réels d’une cyberattaque. Nous tenons à multiplier ces retours d’expérience car nous sommes potentiellement tous victimes (établissements, opérateurs, agences…). Nous n’avons pas de raison de cacher les incidents de sécurité, bien au contraire. Au-delà de ces partages d’expérience, on voit toute une mécanique de mutualisation, de partage et d’entraide se mettre en place. En cas d’attaque, le GHT (Groupement Hospitalier de Territoire), les établissements supports de GHT, le GRADeS et l’ARS aident naturellement des établissements plus petits, dont les ressources informatiques sont limitées et qui ont des difficultés à faire face à la reconstruction, parfois quasi-totale, de leur système d’information. Il existe aussi des mutualisations de contrats de réponse à incident (Prestataires PRIS) au niveau du GHT voire de l’ARS. C’est très efficace.

Pouvez-vous rappeler la procédure à suivre en cas d’incident de sécurité ?

Il y a une obligation de déclaration d’incident auprès du CERT-Santé pour tous les établissements de santé et une obligation de déclaration auprès du CERT-FR (Anssi) pour les établissements OIV (opérateur d’importance vitale) ou OSE (opérateur de services essentiels). Cette obligation de déclaration auprès du CERT-Santé est en cours d’extension au ESMS (établissements et services médicaux-sociaux). Il y a plusieurs niveaux de qualification de l’incident : par l’établissement lui-même, les CERT impliqués, l’ARS et le CORRUSS (le Centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales) qui gère l’impact sanitaire lorsqu’il y en a un.

À partir de quel niveau estime-t-on qu’il y a un risque d’impact sanitaire ?

Le CORRUSS évalue le niveau de risque en étroite collaboration avec l’établissement, l’ l’ARS et les équipes du FSSI pour déterminer l’impact sanitaire (local, régional…) et décider des mesures adaptées. Ils nous tiennent au courant et réciproquement, nous les alimentons sur l’évolution de l’incident (sur sa propagation au sein de l’établissement et les services touchés ; quand il est clos…) afin que le CORRUSS puisse réagir et requalifier en permanence le niveau de risque. C’est pour cela qu’il faut communiquer au plus tôt l’incident, afin de prendre des mesures adaptées. Notons que le taux de déclaration augmente tous les ans. Dans le rapport de l’Observatoire national des incidents de sécurité qui sera publié prochainement par le CERT-Santé, dont je tiens ici à saluer le travail essentiel, vous pourrez voir le taux de déclaration d’incident par région, qui est variable, et selon le moment où l’établissement a déclaré son incident. Ces déclarations peuvent être immédiates, prendre une demi-journée ou une journée voire plus ! Certains établissements nous alertent quand l’incident est presque clos ! C’est pourquoi j’insiste beaucoup sur la nécessité de déclarer un incident au plus tôt, dès le démarrage de l’attaque. Cette déclaration précoce est essentielle car elle nous permet de détecter des signaux faibles comme des attaques multiples ou coordonnées.

La prise en compte de la menace cyber est réelle. Dans le même temps, les établissements de santé font face à un millefeuille administratif de référentiels de sécurité auxquels se conformer. Comment simplifier cela ?

Je travaille avec la DGOS sur le domaine sécurité du référentiel MaturiN’H (qui est un outil de suivi de maturité et de mise en conformité des SI hospitaliers, ndlr). De nombreux référentiels de sécurité ont en effet été imposés, recommandés ou servent de référence aux établissements de santé : l’instruction 309, l’ISO 27 001, NIS v1, le guide hygiène et sécurité de l’Anssi… Dans le cadre des travaux sur MaturiN’H, nous avons mis en place le référentiel unifié des mesures de sécurité, portant aussi bien sur les mesures organisationnelles, fonctionnelles que techniques et pensé pour faciliter l’approche des établissements de santé. A chaque fois qu’un établissement satisfait une mesure, les référentiels correspondants sont automatiquement alimenté. Au-delà de donner simplement le niveau de conformité à différents référentiels, ce système alimente aussi les prérequis (Hop’en, Ségur…). Donc à chaque fois qu’un établissement se met en conformité avec une mesure, cela met à jour le prérequis existant.

Quid du nouveau référentiel des mesures prioritaires, qui s’ajoute aux référentiels existants ?

Ce référentiel a été élaboré avec des représentants d’établissements afin d’être au plus proche de la réalité du terrain. Il comprend des mesures aussi bien techniques qu’organisationnelles, comme la réalisation d’un exercice de crise ou des audits réalisés par l’Anssi et le CERT-Santé… Il sera évolutif au fil des ans, avec l’idée d’avoir chaque année une cible atteignable à court terme. Pour l’année 2022, nous avons listé des mesures prioritaires qui seront diffusées prochainement. Et elles sont accessibles ! Dans les tests que nous avons réalisés, certains CHU sont à plus de 80% de conformité à ces mesures. Ce référentiel permettra aux directeurs d’établissements de mesurer l’effort de leurs équipes et l’amélioration, même partielle, de l’établissement d’une année sur l’autre. Les mesures prioritaires se feront un peu plus exigeantes chaque année, de manière à accompagner, par ces jalons intermédiaires, les établissements de santé vers des exigences plus complètes comme l’ISO 27 001, NIS v1 ou l’instruction 309.

Les audits de sécurité sont obligatoires pour les OSE. À terme, seront-ils obligatoires pour l’ensemble des établissements de santé ?

Oui, c’est un point important car ces audits font partie des 4 indicateurs de la maturité des établissements de santé consolidés dans MaturiN’H : le score des audits ADS (par l’Anssi) ; le score des audits cyberveille (par le CERT-Santé) ; la part du budget du numérique dans le budget de l’établissement et la conformité aux mesures prioritaires. Pour le budget, nous avons choisi de ne pas nous baser sur la part du budget sécurité car suivant les établissements, il est difficile à distinguer du budget numérique. Par exemple, un établissement qui change de version de PC ou qui installe un EDR peut décider de mettre ce budget dans l’infrastructure SSI plutôt que dans le budget sécurité. Le budget du numérique nous a donc semblé plus représentatif et facilement disponible.

Ces mises en conformité représentent de nouveaux coûts pour les établissements de santé. Quels financements peuvent-ils espérer ?

Il existe plusieurs financements, dont ceux directement liés à la remédiation des vulnérabilités détectées par les audits ADS et cyberveille, mis en place par la DGOS et qui donnent lieu à un financement direct.

Les établissements de santé doivent-ils souscrire une assurance cyber ? Avez-vous des consignes sur le sujet ?

Non, nous n’avons pas de consignes mais nous observons le sujet avec une grande attention. La question centrale, c’est : qu’est-ce qu’on assure dans le risque cyber ? Est-ce que l’on assure la reconstruction du système d’information, c’est-à-dire le matériel, le logiciel, le coût humain pour reconstruire un SI qui a été complètement détruit ? Est-ce que l’on assure les éventuels impacts médicaux ? Quel est le périmètre de l’assurance ? C’est une vraie question et il faut que les offres soient claires sur le sujet. Or, elles sont encore très variables. Et pour aller au bout de la réflexion, quels sont les prérequis à l’assurance ? Certains assureurs demandent des audits par exemple. Tout ceci est très complexe et très intéressant, mais on est clairement dans une démarche qui n’est pas encore stabilisée.

Un Message d’alerte rapide sanitaire envoyé le 24 février 2022 aux établissements de santé évoquait une menace liée au contexte international. Qu’en est-il aujourd’hui ?

La situation en Ukraine et les élections en France sont autant de risques potentiels face à des acteurs étatiques ou terroristes. Nous devons anticiper et prendre en compte ces risques. Il peut y avoir des volontés de déstabilisation et la chaîne sanitaire est un élément particulièrement sensible. Nous avons donc donné des instructions aux hôpitaux et relayé les alertes de l’Anssi, en mettant l’accent sur la nécessité de réaliser des exercices de crise et de sensibiliser tout le personnel. Un incident de sécurité peut être détecté à 2h du matin par un agent d’un établissement qui n’est pas un professionnel de santé. Il est donc essentiel que l’ensemble du personnel d’un établissement soit sensibilisé à la sécurité et connaisse les règles de base : ne pas cliquer sur une pièce jointe, vérifier l’émetteur… Aussi, il est important que les chaînes d’alerte soient connues de tous. Chaque agent qui constate un fonctionnement bizarre de son PC doit être capable d’alerter l’astreinte informatique (chaîne d’alerte interne) qui elle-même doit alerter le CERT-Santé en cas d’incident avéré (chaîne d’alerte nationale). La situation internationale n’a pas d’impact massif pour l’instant, nous n’avons pas observé d’attaque ciblée. Mais le risque existe et nous le prenons très au sérieux.