Philippe Loudenot (ministères) : “Dans les structures de soins, les cryptovirus sont le fléau numéro 1”

D’où vient l’idée d’un signalement obligatoire des incidents de cybersécurité ? 

Philippe Loudenot : En 2009, un ver informatique appelé Conficker a attaqué des entreprises, des hôpitaux, etc. Nous avons alors découvert la surface d’attaque offerte par le numérique – le ver était entré par des dispositifs biomédicaux ou des centres de gestion de bâtiment – et le désarroi de certaines structures : certaines ont des tailles physiques qui leur permettent d’avoir une direction informatique et souvent un responsable de sécurité mais d’autres n’ont pas forcément ces moyens. L’idée a germé à ce moment-là.
Avant la mise en place de la cellule Accompagnement cybersécurité des structures de santé (ACSS), il avait été créé un système de signalement reposant sur le volontariat. La déclaration a été rendue obligatoire suite à une proposition d’amendement du député PS Gérard Bapt à la loi de santé de 2016.

ACSS a maintenant un an d’exercice et a recueilli 319 déclarations d’incidents. Quel enseignement retenez-vous sur l’état de la menace ?

Emmanuel Sohier : Nous n’avons encore qu’une vue partielle. Il reste des structures qui n’ont pas connaissance de l’obligation de déclaration ou qui estiment que ce n’est pas nécessaire. Nous ne pouvons donc pas nous positionner de façon certaine sur l’état de la menace ou sur l’impact de ces incidents sur les structures.

Philippe Loudenot : Tout le monde essaie d’entrer dans un cercle vertueux de prise en compte de la protection de l’information et de la sécurité numérique. ACSS a permis d’industrialiser le traitement des incidents remontés, d’obtenir, sur l’aspect quantitatif, un thermomètre beaucoup plus fiable et surtout de prendre le numérique dans toute son amplitude. Quand on parle d’attaque, on pense attaque informatique et informatique de gestion. Or, il y a eu à traiter des problématiques sur le biomédical, sur du numérique d’infrastructure donc la gestion de bâtiment, etc. Il y a clairement une augmentation des attaques.

Quelle en est la typologie ?

Philippe Loudenot : La cybercriminalité est la menace prépondérante : nous avons affaire à énormément de cryptovirus aujourd’hui, assortis de demandes de rançons. C’est le fléau numéro 1. Ce sont souvent de petites sommes qui sont demandées, de 300 à 4 000 euros, rarement plus. Les structures hésitent donc à porter plainte en se disant qu’elles récupéreront de cette façon leurs données au plus vite. Cela a deux effets pervers : payer une rançon ne garantit pas d’obtenir la clé de déchiffrement et, après un premier paiement, il y a de fortes chances qu’un deuxième, puis un troisième soit demandé.  

Les établissements essaient de gérer seuls ces incidents finalement ?

Philippe Loudenot : Cela dépend de la taille et des moyens des établissements ; certains incidents sont traités localement, d’autres bénéficient de l’appuis de la cellule ACSS, mais ils nous les remontent. Ce partage d’information dans un cercle de confiance permet également de lancer des alertes. Ainsi, avant la mise en place de la cellule ACSS, à l’époque où le signalement était volontaire, nous avons pu lancer en France la première grande alerte nationale sur les cryptovirus. Quand un établissement fait un signalement à Nîmes au hasard, un autre à Paris, à Metz et le dernier à Lannion, nous nous disons que quelque chose arrive… Cela nous permet enfin d’escalader le sujet le cas échéant vers des agences compétentes (DGS via le Corruss, Anssi, ANSM…).

Des incidents ont-ils abouti à une plainte ?

Emmanuel Sohier : Nous encourageons effectivement à porter plainte et beaucoup de ces incidents qui ont une origine de cybermalveillance ont abouti à une plainte auprès des services de police ou judiciaires, oui. Actuellement, la moitié des incidents déclarés relèvent d’un acte de malveillance.

Les incidents d’origine non malveillante sont-ils le fait d’erreurs humaines ?

Emmanuel Sohier : Oui, entre autres. Cela peut sinon être un prestataire qui ne rend pas le service attendu, il s’agit alors d’indisponibilité du réseau ou de l’indisponibilité d’une application en ligne. C’est aussi souvent un problème sur des logiciels : leur qualité ou des dysfonctionnements. Certains bugs logiciels peuvent entraîner des erreurs dans une prescription ou dans la dispensation de médicaments, qui sont alors remontées à l’Agence nationale de sécurité du médicament (ANSM).

Des systèmes en particulier sont ils plus touchés que d’autres : logiciels métiers, applications, objets connectés, boîte mail… ?

Emmanuel Sohier : Les pirates passent beaucoup par les boites mails, ce qui s’appelle le hameçonnage. Au total, dans quasiment un cas sur deux, l’incident entraîne un fonctionnement dégradé du système de soins, c’est-à-dire l’indisponibilité de tout ou partie du système d’information de l’établissement donc, souvent, du dossier médical informatisé. Le patient peut subir un retard ou une difficulté dans sa prise en charge parce qu’il aura fallu repasser au papier.

Philippe Loudenot : Cela peut malheureusement avoir un impact sur l’organisation du système de soins. Récemment, un service d’urgences a dû fermer parce que le matériel était indisponible à la suite d’une attaque informatique.

Emmanuel Sohier : Cela a duré quasiment 48 h et, pour un hôpital ou un service d’urgences, c’est énorme. C’est le temps d’identifier l’origine de l’attaque, ses impacts, et de remettre en place des systèmes intègres pour que l’activité puisse redémarrer sur quelque chose de sain.

11 % des cas ont entraîné une mise en danger “potentielle” du patient, dont trois incidents une mise en danger “avérée”. Pourriez-vous les détailler ?

Emmanuel Sohier : Une mise en danger potentielle, c’est une indisponibilité comme cité plus tôt : un virus crypte des fichiers, donc des dossiers patients, et il faut récupérer une version qui n’est peut-être pas à jour du dossier patient et dans laquelle il manquera des informations pour apporter ce qui est attendu en termes de soins. Cela reste une mise en danger potentielle dans le sens où la structure nous a ensuite confirmé qu’il n’y avait pas eu d’impact sur la prise en charge et la santé du patient. Dans les trois cas de mise en danger avérée, trois patients ont subi une atteinte à leur intégrité à cause d’un problème sur les données disponibles pour leur prodiguer des soins. Les soins n’ont donc pas été les bons.

Combien de personnes emploie la cellule ? Quel est son budget de fonctionnement ?

Philippe Loudenot : Il est compliqué de donner ces informations. La cellule est constituée de spécialistes dans deux domaines, le numérique et la santé. Son premier rôle consiste à venir en appui des structures. Elle offre aussi un service de cyberveille et un ensemble de bonnes pratiques (comment porter plainte, comment sensibiliser ses personnels, etc.). Son budget est porté par l’Agence des systèmes d’information partagés de santé (Asip santé). À l’occasion du premier anniversaire du dispositif et comme cela était prévu, l’ensemble de cette organisation doit faire l’objet d’un point de situation en comité de pilotage.

Comment fonctionne en pratique le traitement d’un signalement ?

Emmanuel Sohier : Le signalement nous arrive par le portail de signalement des événements sanitaires indésirables. La cellule accuse réception auprès de la structure de la prise en compte de son signalement et, selon les informations fournies, reprend contact avec elle pour pouvoir qualifier l’incident au plus juste. Si l’incident a été résolu, ACSS s’assure que les bonnes pratiques et les mesures de remédiation ont été mises en oeuvre. S’il n’a pas été résolu, l’équipe communique des mesures d’urgence permettant de limiter les impacts de l’incident pour ensuite en rechercher l’origine et mettre en place des mesures de remédiation. Nous n’intervenons pas sur site. En cas de besoin, nous envoyons un prestataire compétent, parmi ceux référencés par le groupement d’intérêt public (GIP) Cybermalveillance.gouv.fr (annuaire de 30 prestataires, ndlr), ou nous escaladons vers le fonctionnaire de sécurité des systèmes d’information des ministères sociaux (FSSI) ou l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Voyez-vous un point d’amélioration à apporter pour l’année prochaine ?

Philippe Loudenot : Pour moi, s’il y a un point d’amélioration collégial, c’est d’augmenter la visibilité du dispositif : c’est le travail à la fois du ministère, de la cellule et des ARS. Nous prenons également attache avec d’autres structures comme les fédérations hospitalières qui sont de grands relais. La communication fait partie des opérations que nous allons accentuées. L’autre point, c’est de garder et renforcer la confiance : nous ne sommes pas là pour juger. Se faire pirater peut arriver à n’importe qui, y compris aux plus grands. Il est donc hors de question d’ajouter du mal au mal et de stigmatiser un établissement. Ce dispositif constitue un appui. Toutes les déclarations sont faites dans un cercle de confiance et, sauf autorisation expresse d’un établissement, les informations restent et resteront tombales.

Cette crainte peut-elle constituer un frein pour les déclarants ?

Philippe Loudenot : Oui, dans un premier temps il est toujours difficile d’indiquer que l’on est victime et le réflexe naturel est de se montrer méfiant. C’est pour cette raison que nous accordons une grande place à la confiance. Nous ne sommes là que pour trouver les meilleures solutions qui permettront de remédier à un piratage ou à un incident majeur.