Groupements hospitaliers de territoire : de nouveaux enjeux de cybersécurité

Dans la torpeur du mois d’août, le centre hospitalier d’Arles a rejoint cet été la longue liste des hôpitaux français victimes de cyberattaque ces derniers mois. “L’attaque a notamment touché des postes de travail, certains serveurs avec les données qu’ils contiennent et les dossiers patients informatisés qui ne sont plus accessibles”, révélait dans la foulée Laurent Donadille, directeur de l’hôpital d’Arles. Les logiciels administratifs de ressources humaines ont également été bloqués. Un cas loin d’être isolé.

Plusieurs hôpitaux touchés

Un peu plus tôt dans l’année, les hôpitaux d’Oloron-Sainte-Marie (Pyrénées-Atlantiques), de Saint-Gaudens (Haute-Garonne) et la Fondation santé des étudiants de France (FSEF), qui gère treize cliniques de soins non urgents, ont eux aussi subi des attaques malveillantes, les obligeant parfois à travailler en mode dégradé.

À Saint-Gaudens, la prise en charge des patients a pu globalement continuer, même si tout était “beaucoup plus long”, selon la directrice des services économiques et de la logistique, Stéphanie Baux.

1 tentative d’attaque par semaine

De son côté, l’hôpital d’Arles s’est réorganisé, prenant les transmissions infirmières sur papier et remplissant les dossiers patients à la main. Néanmoins, “la prise en charge des patients a pu être maintenue sans nécessité de réorientation vers d’autres centres hospitaliers”, a fait valoir son directeur, interrogé par Le Figaro.

Les établissements de santé n’ont plus le choix: ils doivent aujourd’hui faire avec une menace qui ne cesse de se développer. “Dans le secteur de la santé, il y a en moyenne une tentative d’attaque par semaine”, souligne Charlotte Drapeau, Cheffe de bureau Santé et Société de l’ANSSI, l’Autorité nationale en matière de cybersécurité et cyberdéfense.

Un agent de l'ANSSI — L’ANSSI et ses agents peuvent accompagner les hôpitaux victimes de cyberattaques

60% des incidents de sécurité déclarés sont d’origine malveillante

Les chiffres compilés par le CERT Santé dans son rapport 2020 l’attestent : la part des incidents d’origine malveillante est en constante augmentation depuis trois ans. Ils sont passés de 41% en 2018, 43% en 2019, à 60% en 2020. En clair, 60% des déclarations d’incident reçues par le CERT Santé sont d’origine malveillante.

Et l’état de la menace est sensiblement le même en 2021. “Les menaces arrivent par vagues. Certains mois, le CERT Santé peut envoyer 2 voire 3 alertes critiques. Mais d’autres mois, il n’y en a pas”, précise Emmanuel Sohier, Responsable du CERT Santé à l’Agence du Numérique en Santé, dont le rôle de vigie consiste notamment à alerter les acteurs de la santé des vulnérabilités en cours.

295 signalements au premier semestre 2021

Au premier semestre 2021, le CERT Santé a traité 295 signalements, selon les chiffres transmis à mind Health fin août, avec un pic entre les mois de janvier et d’avril. Un chiffre en augmentation de 81.6 % par rapport au premier semestre 2020. La moitié des signalements concernent des incidents d’origine malveillante, de nature diverse :

Rançongiciel (ransomware) : 31%
Phishing : 24%
Compromission de compte d’accès à distance (webmail, VPN, …) : 38%

Certains signalements entrent dans plusieurs catégories. Une attaque peut commencer par la récupération de mot de passe via un email de phishing et déployer ensuite un ransomware une fois le SI atteint. “Ces chiffres sont plutôt stables par rapport à ceux de l’année dernière. On note cependant une augmentation de plus de 15% des attaques par rançongiciel”, souligne Emmanuel Sohier.

Des attaques opportunistes à des fins lucratives

Un rançongiciel est un logiciel malveillant qui chiffre et vole les données d’un système informatique. L’attaquant va ensuite extorquer une rançon à sa victime pour les récupérer. C’est ce type de malware qui a touché le centre hospitalier d’Arles au mois d’août. C’est encore un rançongiciel qui avait perturbé les hôpitaux de Dax et de Villefranche-sur-Saône en février 2021, et le CHU de Rouen en 2019.

Laurent Treluyer, DSI de l’AP-HP et membre du CA du CIGREF

Des attaques opportunistes, à l’image de l’attaque en déni de service qui a touché l’AP-HP en mars 2020, au tout début du confinement. “Ce genre d’attaque ne coûte pas cher, analyse Laurent Treluyer, DSI de l’AP-HP et membre du conseil d’administration du CIGREF. Pour quelques milliers d’euros, on peut envoyer des gigabytes de données vers un établissement hospitalier pour lui bloquer internet. Cette attaque a eu un impact limité à l’époque car l’AP-HP a un réseau privé et dépend donc peu d’internet.”

Cette attaque a été la première pour l’AP-HP. Depuis, d’autres ont suivi. “En pratique, elles n’ont eu aucune incidence sur nos systèmes car nous avions travaillé notre résilience en amont, affirme Didier Perret, RSSI de l’AP-HP. Mais cela suppose des moyens et du suivi, avec des personnels compétents.”

27 cyberattaques majeures en 2020

Rien qu’en 2020, 27 cyberattaques majeures, ont visé des hôpitaux, selon le secrétaire d’État à la transition numérique Cédric O. L’Anssi a été informé de 24 cas de compromission de système, en particulier par rançongiciels. Pour les experts, plusieurs éléments expliquent cette accélération. La complexité des systèmes d’information hospitaliers tout d’abord (lire encadré sur les fragilités du SIH). Un effet d’aubaine dû à la pandémie de Covid-19 également.

“L’actualité génère des opportunités pour les hackers. Geler les assets d’un hôpital en pleine pandémie, c’est le soumettre à une forte tension. Or, un hôpital ne peut pas se permettre d’arrêter de fonctionner”, relève Jean-Pierre Boushira, Vice-Président Europe du Sud, Benelux et Pays nordiques chez Veritas Technologies. “La situation sanitaire est un facteur aggravant, confirme Charlotte Drapeau. Mais la menace cyber était présente avant la crise sanitaire. C’est une tendance de fond. Et quand la crise sanitaire s’arrêtera, la crise cyber perdurera.”

4 obligations pour les Opérateurs de services essentiels

Portrait de Charlotte Drapeau, Cheffe de bureau Santé et Société de l’ANSSI — Charlotte Drapeau, Cheffe de bureau Santé et Société de l’ANSSI

Pour répondre à ces enjeux, le gouvernement a consacré tous les établissements support des GHT “Opérateurs de services essentiels” (OSE), début juin. Un OSE est un acteur dont le service est essentiel au maintien de l’activité économique ou sociétale. Dans le cas des GHT et de leurs établissements support, ce service est d’assurer la continuité des soins.

Ce statut leur impose de nouvelles obligations en matière de sécurité informatique, rappelle Charlotte Drapeau :

déclarer auprès de l’Anssi un point de contact dédié sur la conformité à la directive NIS (lire encadré “Réglementation”),
déclarer leurs systèmes d’information essentiels,
appliquer les 25 mesures de sécurité, accessibles sur le site de l’Anssi, pour sécuriser ces systèmes critiques (SIE),
déclarer les incidents qui interviennent sur ces SIE.

Ces obligations sont entrées en vigueur le 1er septembre 2021 et soulèvent déjà la question des moyens.

Quel budget pour la cybersécurité ?

“Être OSE suppose de dégager des moyens supplémentaires pour protéger le système d’information. Or, les hôpitaux manquent de moyens. L’augmentation de sécurisation du SI doit s’accompagner de financements”, plaide Didier Perret. En interne, le budget très serré des hôpitaux les oblige à jongler entre les différents postes de dépenses. Les efforts se concentrent alors en priorité sur les soins aux patients. “En France, le budget de la DSI oscille entre 1,7 et 1,8% du budget hospitalier en moyenne. À l’AP-HP, ce taux est d’environ 2,5%. Ce qui est plutôt haut, compte tenu de la moyenne française, note Laurent Treluyer. Mais si on regarde aux Etats-Unis, il est de 4,7%. Il monte même à 7,5% dans un hôpital comme la Mayo Clinic”. De son côté, l’Anssi recommande de consacrer 10% de son budget informatique à la cybersécurité. Un vœu pieu pour l’instant.

Néanmoins, les choses avancent. “Sur l’ensemble de l’écosystème, les hôpitaux sont presque ceux qui sont le plus au point, affirme Sébastien Viou, consultant cyber-évangéliste chez Stormshield, un éditeur français de solutions de cybersécurité. Ils ont des RSSI et sont soumis à la Loi de programmation militaire. Depuis quelque temps, ils ont réussi à bien élever leur niveau de sécurité. En revanche, on observe encore des vulnérabilités dans les logiciels et les matériels médicaux…”

Des failles de sécurité sur des objets connectés

Il existe une loi immuable en cybersécurité : ajouter des composants ou des logiciels, c’est ajouter des vulnérabilités. Or, les hôpitaux fonctionnent avec de plus en plus d’outils numériques et d’applicatifs. L’AP-HP compte un peu moins de 1000 applications à gérer (lire encadré). À cela s’ajoute un marché des objets et dispositifs médicaux connectés en plein essor. Selon une étude de Markets and Markets, il pourrait atteindre, d’ici 2023, 64,43 milliards de dollars dans le monde.

Une faille de sécurité découverte par des chercheurs dans des produits respiratoires et d’anesthésie de General Electric a récemment alerté sur le risque de “medjack” ou de piratage d’appareils médicaux. Cela concerne aussi l’usage d’outils d’aide au diagnostic, notamment en téléradiologie. En 2019, un malware a réussi à fausser des scans en y intégrant de faux ganglions cancéreux. La vigilance est donc de mise. Même si, rappelle Emmanuel Sohier, aucun incident de sécurité notable d’origine malveillante impliquant un dispositif médical connecté n’a été remonté au CERT Santé jusqu’à présent.

Quel risque réel concernant les objets connectés ?

Sébastien Viou, consultant cyber-évangéliste chez Stormshield

“Je ne suis pas certain que les objets connectés soient le vrai problème à court terme, tempère Sébastien Viou. Ils peuvent rendre un service ou un hôpital plus dépendant à l’informatique, ce qui peut augmenter l’impact en cas d’attaque, au niveau de la disponibilité, de la confidentialité ou de l’intégrité. Mais je ne crois pas que ces outils seront utilisés comme point d’attaque. Lorsque l’on analyse le schéma des attaques, on voit que le plus efficace reste de passer par la messagerie!”

Un sentiment que partage Laurent Treluyer. “Notre priorité est de maintenir en bonne santé le système d’information, dans toute sa complexité et sa surface d’attaque. L’IoT n’est pas un sujet prioritaire. La sécurité du réseau électrique est bien plus importante pour la mission de l’hôpital par exemple”. Consciente des enjeux, l’Agence du Numérique en Santé a publié en 2019 un référentiel sur les dispositifs médicaux connectés.

La sous-déclaration des incidents de sécurité

Reste un angle mort : la sous-déclaration des incidents de sécurité de la part de certains acteurs (établissements privés, centres de radiothérapie, laboratoires…), souligne le rapport 2020 du CERT Santé. Difficile donc de mesurer avec exactitude l’étendue de la menace et de sa prise en compte dans toute la chaîne de valeur.

Portrait de Jean-Noël de Galzain, fondateur et CEO de Wallix — Jean-Noël de Galzain, fondateur et CEO de Wallix

Les acteurs s’accordent toutefois sur un point : il y a urgence. “La santé est un secteur qui, au regard des enjeux, fait partie des moins bien équipés face aux cyberattaques ! pointe Jean-Noël de Galzain, fondateur et CEO de Wallix, éditeur français de logiciels de sécurité informatique. Il y a un investissement très important en équipements, dans lequel le digital est de plus en plus présent. Paradoxalement, le budget n’est pas suffisant pour faire face à l’ensemble des risques nouveaux qui viennent de l’utilisation du numérique.”

Une aide financière pour améliorer sa cybersécurité

La mise à niveau informatique et cybersécurité des établissements hospitaliers est devenue un enjeu prioritaire qui s’inscrit dans la stratégie nationale de cybersécurité annoncée par le président Emmanuel Macron, le 18 février 2021. Des annonces précisées par Olivier Véran et Cédric O le 22 février 2021. Ainsi, un volet du plan France Relance est consacré à la cybersécurité. Outre les 350 M€ du Ségur de la santé consacrés à la cybersécurité, le secteur bénéficiera de 25 M€ de l’enveloppe de 136 M€ attribuée à l’Anssi. Ces 25 M€ seront mobilisés en 2021 et 2022 pour accompagner et financer les acteurs de la santé souhaitant améliorer la sécurité de leur SI. “Les établissements support des GHT peuvent postuler sur le portail des démarches simplifiées et bénéficier de parcours de sécurisation, rappelle Charlotte Drapeau. Ce soutien financier est une belle opportunité pour les établissements hospitaliers.”

Les fragilités du SIH

Un système interconnecté, à la croisée des réseaux IT et OT

Première particularité du SIH : son interconnexion. “Les hôpitaux sont informatisés depuis plusieurs dizaines d’années et sont interconnectés avec différents acteurs : les Agences régionales de santé, l’Assurance maladie, leur écosystème local… Ils sont aussi interconnectés entre eux, en groupement hospitalier. Pour tous les hôpitaux, il faut donc prendre en compte l’existant”, explique Jean-Noël de Galzain, fondateur et CEO de Wallix. Un existant parfois vieillissant où une partie du parc informatique tourne encore sous Windows 7 ou XP…

Surtout, le système d’information hospitalier est un millefeuille technologique. “L’hôpital combine différents réseaux, analyse Sébastien Viou, consultant cyber-évangéliste chez Stormshield. Le réseau IT (bureautique), le réseau OT (outils de monitoring patient, équipements médicaux…) et le réseau électrique du bâtiment (ventilation des salles d’opération, ascenseurs et monte-charges, climatisation…).” À cela s’ajoute un fort enjeu de traitement et de protection des données patients, personnelles et confidentielles. “On retrouve dans l’hôpital la complexité d’une usine et la complexité d’une banque, résume Sébastien Viou. C’est un grand écart qui n’est pas toujours évident à gérer.”

Une surface d’attaque importante

Cette multiplicité des systèmes (IT, OT et électrique) se traduit par une une surface d’attaque importante, liée également aux applicatifs. “Un hôpital a beaucoup d’applications métier, souvent faites maison ou par de petits éditeurs. L’AP-HP a moins d’un millier d’applications répertoriées en plus des sites internet, confie Laurent Treluyer, DSI de l’AP-HP et membre du conseil d’administration du CIGREF. Mettre tout cela à jour demande des moyens et un effort important.” L’infrastructure du SIH est donc fonctionnellement très large.

Un milieu ouvert et exposé au shadow IT

Par nature, l’hôpital est un endroit ouvert au public. “Ce n’est pas comme une entreprise classique où seuls les employés peuvent accéder, avec un badge. Nos prises réseau sont accessibles”, souligne Laurent Treluyer. Les centres hospitaliers accueillent également des étudiants et des médecins de ville qui viennent parfois avec leur propre matériel informatique, faisant planer le risque de shadow IT. Cette “informatique fantôme” consiste à utiliser des systèmes, des appareils, des logiciels ou des applications qui n’ont pas reçu l’approbation explicite du service informatique. En échappant au contrôle de la DSI, cette informatique parallèle n’est pas maintenue selon les critères de sécurité en vigueur et présente donc un risque pour les établissements de santé. “Tout ajout de service ou d’outils numérique devrait passer par la DSI”, conseille Sébastien Viou.

Le facteur humain

Comme souvent en cybersécurité, le maillon faible est l’humain. Le CHU de Montpellier a été victime de phishing en mars 2019. Un employé avait ouvert un email infecté… Aux Etats-Unis, en avril 2018, un employé de Independence Blue Cross (l’organisme américain d’assurance maladie) a mis en ligne par erreur un fichier contenant les données personnelles et médicales de près de 17 000 patients… Ces loupés soulèvent la question de la “culture cyber” à l’hôpital, auprès d’une population dont ce n’est pas le métier. “Il y a une nécessité médicale du partage de l’information. Or, la notion de partage peut être contradictoire avec la notion de sécurité”, note Laurent Treluyer.

Pour sensibiliser à ces enjeux, l’AP-HP a mené cette année une campagne de phishing auprès de son top management. Les pouvoirs publics préconisent aussi de s’entraîner régulièrement à un exercice cyber. “Se préparer à une crise cyber est essentiel car personne n’est à l’abri, insiste Alain Espinoux, RSSI de l’Agence du Numérique en Santé. Les structures qui ont le mieux résisté à ce type d’événements sont celles qui étaient le plus entraînées. Il est donc important de s’exercer et d’avoir des dispositifs de sauvegardes sécurisées qui permettront de réagir rapidement à ce type d’événement et de maintenir la continuité de son activité.”

Réglementation

Depuis 2012, la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) propose un cadre commun pour les SI du secteur de la santé. Elle rassemble des référentiels et des guides de bonnes pratiques.

Les principaux textes :

L’article L. 1111-8-2 du code de la santé publique impose aux établissements de santé, aux hôpitaux des armées, aux centres de radiothérapie et aux laboratoires de biologie médicale de déclarer leurs incidents de sécurité des systèmes d’information. Depuis le 18 novembre 2020, cette obligation concerne aussi les établissements médico-sociaux.

La loi de programmation militaire encadre la sécurité des Opérateurs d’importance vitale.

La directive NIS (Network and Information System Security) encadre les Opérateurs de services essentiels.

Pour les dispositifs médicaux, en plus du référentiel publié par l’Agence du Numérique en Santé en 2019, deux directives s’appliquent: la 90-385 et la 93-42.

Les établissements de santé sont également soumis au Règlement général sur la protection des données (RGPD).

Enfin, des référentiels normatifs complètent ces textes réglementaires. Par exemple, la norme ISO 27001 définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). De son côté, le référentiel de certification HDS concerne l’hébergement des données de santé.

Sandrine Cochard

Besoin d’informations complémentaires ?

Contactez

le service d’études à la demande de mind