TENDANCES 2023 : Renforcer la sécurité des SIH

Signaux forts

• Des attaques en série dans les hôpitaux : le CH de Mâcon attaqué en mai, le Centre hospitalier Sud Francilien (CHSF) attaqué en août, l’hôpital André Mignot à Versailles attaqué en décembre…
• Mars 2022 : l’Assurance maladie porte plainte après la fuite des données de 510 000 assurés
• Avril 2022 : Lors du congrès de l’Apssis, l’Anssi a alerté sur des campagnes d’espionnage. L’Anssi a ainsi relevé 17 opérations cyberdéfense en 2021, dont 14 liées à de l’espionnage informatique et 8 incidents majeurs de crise cyber. L’Anssi a également constaté de plus en plus d’actions de déstabilisation, qui débutent par des compromissions informatiques. Ainsi, 39 divulgations de données à des fins de déstabilisation ont été signalées en 2021. “Cette menace concerne aussi bien des acteurs publics que privés”, a souligné Charlotte Drapeau. Enfin, de plus en plus d’attaques ciblent la chaîne d’approvisionnement avec 18 compromissions affectant les entreprises de services numériques, contre 4 en 2020.
• Cinq jours après la cyberattaque qui a touché le CHSF, le ministre délégué à la Transition numérique, Jean-Noël Barrot, et le ministre de la santé François Braun se sont rendus sur place, à Corbeil-Essonnes. Ils ont annoncé une nouvelle enveloppe de 20 millions d’euros destinée à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Elle s’ajoute aux 25 millions d’euros déjà alloués en 2021 à l’Anssi pour que l’agence renforce son accompagnement auprès des établissements de santé.
• Octobre 2022 : A Paris, la maternité des Bluets frappée par une attaque informatique (rattachée à l’hôpital Pierre Rouquès)
• Novembre 2022 : Le Parlement européen adopte la directive NIS2, avec de nouvelles obligations pour les OIV / OSE

Signaux faibles

• La permanence du CERT Santé se renforce : depuis le 17 octobre, ce service est disponible 24h/24 et 7j/7, avec la mise en place d’une astreinte pour “accompagner les bénéficiaires du CERT Santé confrontés à un incident majeur contraignant l’établissement à mettre en place un mode dégradé de fonctionnement”.
• Un arrêté, paru le 10 novembre au Journal officiel, confirme les grandes lignes de la formation socle au numérique à destination des étudiants en santé. Comme l’annonçait le référentiel paru en février, elle s’articule autour de cinq thématiques : les données de santé, la cybersécurité en santé, la communication, les outils numériques ainsi que la télésanté.
• Lors de l’université d’été de l’association professionnelle Hexatrust, le ministre délégué au Numérique Jean-Noël Barrot a présenté le 7 septembre sa feuille de route pour la cybersécurité. D’ici 2025, le chiffre d’affaires de ce secteur devrait être multiplié par trois et la France devrait disposer de trois licornes et avoir créé 37 000 emplois, a-t-il promis (source : La Tribune)

Pourquoi c’est important ?

Les établissements de santé sont des cibles. L’Observatoire du CERT-Santé a souligné une recrudescence des incidents de sécurité en 2021 et devrait dévoiler prochainement le bilan 2022. Les établissements de santé sont par ailleurs appelés à améliorer leur gestion des risques (cf notre dossier sur le sujet).

Des conséquences opérationnelles lourdes. Le 4 août 2022, le National Health Service (NHS) a subi une grave cyberattaque touchant les dossiers numériques des patients dans 12 hôpitaux psychiatriques en Grande-Bretagne qui utilisaient la plateforme d’enregistrement de données CareNotes. Plus de deux mois après cette cyberattaque, les établissements de santé ciblés n’ont toujours pas totalement récupéré l’accès aux dossiers électroniques des patients et l’ampleur des dégâts est telle que certains hôpitaux auront leur système de données inaccessible jusqu’en 2023.

Des fuites qui peuvent coûter cher. Suite à plusieurs plaintes, Scripps Health, qui gère 5 hôpitaux aux Etats-Unis, a accepté de verser plus de 3,57 M$ aux victimes d’une violation de données qui a eu lieu en 2021. Cet accord doit être approuvé par un juge. Les informations personnelles de 1,2 million de patients actuels et anciens avaient été compromises après l’attaque d’un ransomware.

Un enjeu géopolitique. En février 2022, l’invasion de l’Ukraine par la Russie a fait rejaillir la menace d’un conflit cyber. Le ministère de la Santé avait d’ailleurs adressé aux tous premiers jours du conflit un message d’alerte aux acteurs du secteur pour prévenir d’éventuelles cyberattaques russes. Fin décembre, le Centre américain de coordination de la cybersécurité du secteur de la santé (HC3) a publié une note d’analyste sur KillNet, un groupe hacktiviste pro-russe qu’il qualifie de menace pour le secteur de la santé américain. Le groupe est actif depuis au moins janvier 2022 et est connu pour avoir exécuté des attaques par déni de service distribué (DDoS) contre des pays soutenant l’Ukraine.

Perspective 2023

Pour l’année 2023, l’Apssis identifie 4 prédictions à suivre, notamment en matière de télésanté, dispositifs médicaux connectés et IoT. Plus concrètement, la cybersécurité fait partie des axes forts de la feuille de route 2023/2027 de la Délégation ministérielle du numérique en santé (DNS). L’année 2023 verra ainsi le lancement d’un vaste programme de préparation aux incidents cyber. Ce plan imposera de nouveaux exercices à “100 % des établissements de santé les plus prioritaires”. Ils devront être réalisés d’ici mai 2023. Le gouvernement mettra aussi en place au premier trimestre 2023 un “plan blanc numérique” qui recensera les mesures à mettre en œuvre lors d’une cyberattaque (cellule de crise, analyse d’impact, etc.). Les Agences régionales de santé seront en charge de mutualiser et coordonner les ressources nécessaires à la bonne marche de ce nouveau dispositif.

Enfin, on attend toujours le référentiel Maturin’H (initialement annoncé avant l’été), sur lequel planche la direction générale de l’offre de soins (DGOS) et dont l’ambition affichée est de faire office de référentiel unique. Ce référentiel se veut aussi bien un outil de mesure de la maturité numérique des établissements hospitaliers qu’un guide de conformité des SIH, notamment dans sa dimension sécurité.