Benoît Fondeur (AFIB) : ” Nous voulons inciter les fournisseurs à améliorer la cybersécurité de leurs équipements”

Quel est l’objectif de votre groupe de travail dédié à la cybersécurité, au sein de l’AFIB ?

Grâce à l’aide financière du plan France relance, ce groupe (cf. notre encadré sur sa constitution, ndlr) va créer un outil pour aider les ingénieurs à intégrer la cybersécurité lors de la procédure d’achat d’équipements biomédicaux. Cela passe notamment par un renforcement de la partie contractuelle dans les procédures de marchés publics, pour que les dispositifs médicaux soient mis à jour et protégés durant toute leur durée de vie. Contractuellement, nous n’avons aujourd’hui rien qui oblige le fournisseur à maintenir les équipements dans les conditions optimales en matière de sécurité numérique. L’idée de cet outil, qui devrait voir le jour au printemps 2023, est d’inciter les fournisseurs à améliorer la cybersécurité de leurs équipements.

Dans quelle mesure ces équipements biomédicaux sont-ils des sources de vulnérabilité ?

Les équipements biomédicaux ont été souvent montrés du doigt par différents audits réalisés dans les établissements. Une fois installés et connectés au réseau hospitalier, ils s’avèrent souvent mal protégés. Ils pourraient devenir des vecteurs de diffusion d’un virus informatique pour un hacker, mais, surtout, il s’agit de les protéger en cas de problème. Une attaque informatique peut provoquer une défaillance du dispositif médical entraînant un risque important lorsque celui-ci est utilisé pour monitorer le patient, voire suppléer certaines fonctions vitales.

Qu’est-ce qui, techniquement, rend ces équipements biomédicaux perméables à une cyberattaque ?

Une part importante des systèmes fonctionnent sous Windows. Ces systèmes d’exploitation ont une durée de vie d’environ 10 ans. Or, entre le moment où le fabricant commence à développer son système et son logiciel, passe les étapes du marquage CE et le commercialise, il peut s’écouler presque 5 ans, soit la mi-vie du système Windows sur lequel il a été créé. Ainsi, les équipements que nous achetons peuvent se périmer rapidement. Nous les utilisons en moyenne pendant 10 ans. Au fil des découvertes de failles, de leur exploitation et diffusion par les hackeurs, leur niveau de perméabilité à toutes attaques devient très grand.

N’existe-t-il pas un moyen, autre que contractuel, pour améliorer la cybersécurité de ces équipements ?

Nous sommes précisément en train de réfléchir à la création d’un “bug bounty”, que nous aimerions voir fonctionner en 2023. Une prime est accordée à des hackers vertueux qui vont chercher des failles sur des systèmes déjà en place. Le premier qui trouve gagne. Le montant est défini à l’avance en fonction d’un niveau de sévérité. Une faille légère va, par exemple, pouvoir rapporter 500 €, une faille majeure, qui peut mettre en péril l’équipement, va rapporter 10 000 €. Lorsque le hackeur trouve une faille, il doit expliquer sa démarche, ce qui permet au constructeur de la combler. Nous sommes en train de monter ce projet avec les HCL et, s’il aboutit, l’AFIB sera vecteur de diffusion de l’information auprès des différents établissements et fournisseurs.

Pourquoi l’initiative de ces mesures concernant la cybersécurité ne vient-elle pas des constructeurs eux-mêmes ?

Beaucoup de fournisseurs en équipements biomédicaux se protègent derrière le marquage CE, qui est processus long et contraignant. Ils peuvent difficilement envisager de le refaire tous les trois mois et prétextent que les mises à jour qu’ils opèrent ne doivent pas remettre en cause ce marquage. Or, lorsque vous avez une évolution majeure sur un produit, il faut repasser par tout le circuit de validation. Concrètement, une console d’imagerie qui sort en 2022 va sortir dans une version 1, qui tourne sous Windows 10. Cinq ans plus tard, la même machine sera encore commercialisée alors même que Microsoft éditera un nouvel OS (ex : Windows 11). Le fournisseur aura entre temps naturellement créé une version 2 de son logiciel sous ce nouvel OS, qu’il vous incitera à acheter car elle vous garantit un meilleur niveau de sécurité et apporte aussi de nouvelles fonctionnalités. Ce type de stratégie commerciale va à l’encontre la sécurité des équipements et donc des patients. Nous aimerions simplement, au sein de notre groupe de travail, pousser certains fournisseurs à dissocier la partie cybersécurité (qui ne devrait pas être payante) de ce qui relève de l’évolution logicielle classique, ce que l’on retrouve dans n’importe quelle vie de produit.

Le coût économique des cyberattaques qui touchent les hôpitaux (le CHSF dernièrement, mais également celui de Mâcon un peu plus tôt) peut étonner. Les hôpitaux français sont-ils insuffisamment préparés ?

Un système d’information (SI) embarque des centaines, voire des milliers d’applications informatiques. Toutes ne sont pas cruciales, heureusement, donc lors d’une cyberattaque de grande ampleur, vous concentrez vos moyens sur les plus importantes qui bénéficient presque partout d’un PRA (plan de reprise d’activité) et donc de sauvegardes et d’archives pour pouvoir être redémarrées rapidement. Mais la problématique est que lorsque tout un SI est contaminé, vous ne savez pas immédiatement quelle est l’origine de l’attaque, par où elle est passée. À la différence de la panne, vous ne pouvez donc pas redémarrer votre système, au risque de le recontaminer juste derrière. Il faut donc débrancher certaines parties du réseau, reconstruire ce qui peut l’être, analyser toutes les failles de manière de plus en plus fine, puis enfin rebrancher progressivement les équipements. Pendant ce temps-là, toute la partie “soins” de l’établissement prend un retard fou. C’est ce retard qui est le plus coûteux.

Prenons l’exemple d’un simple appareil de radiologie, qui n’aurait pas été touché par la cyberattaque, puisqu’isolé du réseau en temps et en heures. Le manipulateur va pouvoir faire ses 80 radios dans la journée, mais comment les médecins vont-ils pouvoir y accéder ? Et quand bien même ils pourraient faire leur diagnostic directement sur l’écran de l’appareil, comment va-t-on faire, une fois le SI rétabli, pour réenclencher tout le flux d’archivage, de gestion informatique des dossiers qui associe le bon cliché au bon patient ? Le surcroît de travail est énorme par rapport à celui qui est fait au fil de l’eau. C’est pour cela qu’une cyberattaque coûte très cher.

La plupart de ces cyberattaques sont faites à partir de rançongiciels ? Ces derniers constituent-ils la principale menace pour les établissements hospitaliers ?

Il en existe plein d’autres, mais c’est en effet celle que l’on voit le plus souvent. Ces cyberattaques interrogent lorsqu’elles touchent un hôpital. Toutes les données détenues par un hôpital valent de l’argent. Or, là il s’agit simplement de les crypter, sans les sortir de l’établissement et sans les monnayer. Dans le contexte international actuel, il faudra s’interroger plus tard sur l’intérêt stratégique que pourrait avoir un pays en désaccord politique avec la France à planter des systèmes informatiques français. Pendant que les forces vives de la France se concentrent sur les dégâts, elles ne font pas autre chose.

Début septembre, Jean-Noël Barrot, le ministre délégué au Numérique, a annoncé ses objectifs pour 2025 : triplement du chiffre d’affaires de la cybersécurité, faire émerger trois licornes françaises et générer 37 000 emplois. La France a-t-elle, selon vous, les moyens de ses ambitions ?

La France peut-être…mais c’est moins évident pour les hôpitaux ! la cybersécurité c’est un processus long, qui nécessite beaucoup de moyens, notamment. Développer une réelle politique de sécurité est compliqué. La France est capable de former des experts en cybersécurité, mais avant que ces compétences puissent être effectives dans toutes les grosses administrations, dont les hôpitaux puisque nous sommes considérés comme des ressources essentielles, cela va mettre un peu plus de trois ans, je pense…