Les cinq premières étapes pour assurer a minima la sécurité de son SIH

La semaine du 25 mars 2019, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a dû intervenir auprès de deux établissements de santé touchés par une attaque informatique. Philippe Loudenot, fonctionnaire de sécurité des systèmes d’information des ministères sociaux, a partagé ces deux cas à l’occasion du 7e congrès national de la sécurité des systèmes d’information de santé, organisé au Mans du 2 au 4 avril 2019. Un cryptovirus a touché le système d’information (SI) d’un centre hospitalier de 200 lits, rendant les données complètement indisponibles pendant plusieurs jours. “Le virus a même gêné l’ensemble des sauvegardes. Je vous laisse imaginer l’état de désespoir”, a commenté Philippe Loudenot. Ce CH n’avait pas de direction des SI “et encore moins de responsable de la sécurité des systèmes d’information (RSSI)”. La directrice a contacté le Centre opérationnel de réception et de régulation des urgences sanitaires et sociales (Corruss) du ministère de la Santé, déclenchant une intervention de l’Anssi qui lui a fourni un programme déchiffrant les données. Dans le deuxième cas, un centre hospitalo-universitaire (CHU) a subi un virus polymorphique qui s’est propagé à plusieurs services, dont les urgences et la réanimation, rendant indisponible pendant quatre jours le dossier patient informatisé (DPI) et plusieurs services support comme les messageries. Là encore le Corruss a été alerté et l’Anssi est intervenue à distance et sur site. Des opérations et des consultations ont dû être reportées. Les services touchés ont fonctionné en mode dégradé. Par exemple, le service d’urgences a tourné avec deux ordinateurs : l’un pour accéder aux sauvegardes des DPI des patients déjà venus, l’autre pour gérer les entrées et admissions, avant une réintégration manuelle une fois le SI rétabli.

Les pertes se sont avérées essentiellement financières pour ces deux établissements, loin des démonstrations de piratage de pacemakers – allant jusqu’à déclencher une décharge mortelle – et de scanner 3D – jusqu’à l’ajout d’images de tumeurs malignes que l’algorithme d’intelligence artificielle ne différencie pas. Loin encore du ver informatique Conficker qui en 2009 a largement infesté les hôpitaux français. Pour autant, les incidents que relève la cellule ministérielle ACSS, pour Accompagnement cybersécurité des structures de santé, vont croissant et montrent la vulnérabilité des SI hospitaliers (SIH). “Ça rentre par un lave-vaisselle interconnecté au réseau d’un hôpital, par une chaufferie, par du matériel biomédical”, constate Philippe Loudenot. La moitié de ces signalements – obligatoires – relèvent d’une malveillance mais la cybersécurité recouvre également les erreurs humaines, les bugs logiciels ou l’indisponibilité du réseau ou d’une application. Moins impressionnants, ils peuvent pourtant eux aussi s’avérer dangereux, et entraîner par exemple des erreurs de prescription, quand ce ne sont pas des décès comme à Épinal, en 2006, où 5 500 patients ont été surirradiés à la suite d’un mauvais paramétrage d’un logiciel. Bref, “la sécurité n’est plus une option”, assène l’Anssi dans son Guide d’hygiène informatique mis à jour en 2017. Oui, mais par où commencer ? Comment s’y retrouver dans la jungle des mémentos, guides et référentiels publiés ces dernières années sur la cybersécurité des hôpitaux ? Cinq notions-clés qu’une direction d’un établissement se doit a minima de mettre en oeuvre.

1. Recruter un RSSI

“C’est la base, déclare Vincent Trély, président du conseil d’administration de l’Association pour la sécurité des SI de santé (Apssis) qu’il a fondée. Il faut un coordonnateur interne.” Ce “maître d’œuvre de la sécurité du SI” comme le décrit la direction générale de l’offre de soins (DGOS) dans son Mémento de cybersécurité était un pré-requis pour être éligible au programme Hôpital numérique. Mais l’indicateur repose sur du déclaratif et, “si un RSSI est quasiment toujours désigné, il est, en revanche, affecté à temps complet sur la sécurité des SI dans 9 % des cas seulement. Un peu plus de la moitié des référents sont (en outre) affectés à temps partiel”, estime la DGOS. Selon Vincent Trély, “en 2011 il y avait 20-25 RSSI en tout et pour tout, à peu près connus et identifiés”, sachant que la France compte plus de 3 000 établissements de santé, publics et privés. “Ils sont aujourd’hui à peu près une centaine, ce qui veut dire que pratiquement tout groupement hospitalier du territoire (GHT) (il en existe 136, ndlr) commence à avoir son RSSI, mais ce dernier n’est pas toujours bien positionné : c’est encore parfois un technicien rattaché à l’informatique alors que le RSSI devrait être positionné au niveau de la gouvernance, rattaché à une direction générale.”

C’est là que le bât blesse, reconnaît en effet tout l’écosystème hospitalier. Le RSSI est chargé de définir et mettre en œuvre la politique de sécurité des SI, mener les analyses des risques ainsi que des audits et contrôles. Mais Cédric Cartau, RSSI et DPO du CHU de Nantes mais aussi du GHT44, enseignant et auteur de “La sécurité du SI des établissements de santé” préfacé par Philippe Loudenot, constate aussi que “majoritairement, le RSSI dépend de la DSI”. Toutefois, il note un changement dans le programme Hop’En : “le RSSI devient indépendant”. Un nouvel indicateur, certes toujours déclaratif, repose sur le positionnement du RSSI en dehors de la DSI,”par exemple rattaché à la cellule qualité”. En pratique, “les DSI elles-mêmes veulent souvent garder la main, reprend Cédric Cartau. Elles refusent que le RSSI prenne son indépendance parce qu’il pourrait les juger”. Résultat : “des CHU n’ont pas de RSSI. C’est assez fou ! Nous sommes en 2019 et parfois des établissements sont désignés opérateurs de services essentiels (OSE) alors qu’ils n’en ont pas. Ou déclarent en avoir un qui se retrouve RSSI en même temps qu’il dirige une trentaine de personnes. D’autres DSI n’arrivent pas à faire comprendre l’intérêt de l’exercice à leurs interlocuteurs internes. Il existe toutes les mauvaises raisons du monde”.

Une fois un RSSI indépendant nommé, Philippe Loudenot, qui “partage le constat sur le nombre de RSSI réellement existants dans les structures de santé”, détaille son “job : c’est d’aller voir tous les métiers qui vont mettre en œuvre le numérique (le biomédical, les moyens généraux, etc.), parce que lui ne porte pas le risque, il l’indique et indique les moyens de s’en prévenir. Imaginez un hôpital sans électricité, ça ne tournera pas très longtemps”. Pour Cédric Cartau aussi, le RSSI doit “en pratique sortir de son bureau et aller sur le terrain”. “Croiser les guides” existants (voir encadré) pour définir sa politique. Et déployer les outils adéquats, selon les moyens de l’établissement. “Il n’existe pas un outil de sécurité qui ferait tout”, rappelle Vincent Trély mais de nombres fournisseurs (voir tableau) : “des antivirus s’occupent des virus, des filtreurs URL empêchent de naviguer sur des sites Internet dangereux, des systèmes de supervision réseau vont analyser toute anormalité, soit un ensemble très large d’outils qu’il faut agréger et faire fonctionner ensemble. Puis qu’il faut surtout observer, auxquels il faut réagir en cas d’alertes et tout cela demande une organisation non négligeable”.

2. Se concentrer sur les quatre SI les plus sensibles

À force de directives et de référentiels listant des mesures aussi diverses que “quasi irréalisables”, Cédric Cartau est arrivé à “la seule conclusion logique valable : l’approche par le haut ne fonctionne manifestement pas, il faut donc adopter une démarche plus pragmatique, à savoir quels sont les éléments de traitement qui sont absolument vitaux au fonctionnement de l’entreprise ?” Il a ainsi défini quatre domaines “ultra-ultra-ultrasensibles : la biologie, l’imagerie, le téléphone et les prescriptions médicales. À peu près tout le reste peut être réalisé à la gomme et au crayon, certes dans des conditions organisationnelles éprouvantes mais l’impact patient sera maîtrisé. Je n’ai pas sorti ces quatre domaines de mon chapeau : quand vous rencontrez les praticiens hospitaliers et que vous imaginez que plus rien ne fonctionne, ce sont les services dont ils ont besoin en priorité. Tout le reste, un hôpital pourra tenir sans. Plus de paye ? Des retards de factures ? Ce sera fait le mois prochain. Ce sera une énorme pagaille mais l’hôpital y survivra. En revanche, un hôpital dispose de moins de 72 h pour remettre en service les quatre domaines précités ou la situation deviendra catastrophique”. Philippe Loudenot a également constaté, dans les deux cas d’établissement touchés par des virus fin mars, que “les professionnels de santé disent ne pas avoir été gênés plus que cela” : les services ont bien fonctionné en mode dégradé. “La protection des données ne sert à rien si elle est prise comme une fin en soi. Tout moyen mis en place doit se faire en étroite collaboration avec les métiers, sinon on se trompe d’objectif.”

Reste alors à appliquer à ces quatre domaines les “fondamentaux” de la sécurité numérique pour reprendre le terme de Cédric Cartau : l’intégrité, la disponibilité et la confidentialité. Un “triptyque assez connu”, appuie Vincent Trély. Cette règle est en effet définie dans la norme ISO 27 001 qui permet à une organisation de mettre en œuvre et d’améliorer le système de management de la sécurité des informations, une des normes les plus célèbres en la matière.

3. Préserver l’intégrité de ses données

Concrètement, assurer l’intégrité de ses données c’est en assurer la sauvegarde : “il s’agit de contrôler que tout fonctionne et que tout peut être restauré. En général, la DSI fait la première moitié du travail mais pas souvent la seconde. Or, les restaurations doivent être testées sinon les mauvaises données peuvent être sauvegardées, c’est du vécu. La seule façon de s’en apercevoir est de tester les sauvegardes et cela prend du temps”.

Tous les référentiels actuels évoquent aussi une cartographie précise et tenue à jour de l’ensemble des ressources informatiques disponibles (postes de travail, serveurs, équipements réseaux, équipements biomédicaux…). “Une mesure irréalisable en l’état, estime Cédric Cartau, mais je demande à avoir tort. Même les entreprises qui en ont les moyens, opérateurs de services essentiels, acteurs du CAC 40, ne le font pas.” Parce qu’un SI cartographié, “par exemple tout le système de biologie, implique que plus rien ne peut se faire sans passer par les fourches caudines du cartographe, du RSSI et tout un tas de personnes qui devront tamponner le projet. Dans l’absolu c’est possible, dans les faits les hôpitaux n’y arrivent pas : un système de biologie est tellement vaste qu’il ne peut exister de guichet unique, ou que les moyens n’existent pas pour le traiter”. Dans son CHU, Cédric Cartau a identifié 450 applications métier. “Par contre, établir une cartographie très précise sur les sous-ensembles qui sont critiques est faisable. Globalement, avec 4 à 5 traitements cartographiés, on couvre tout le cœur de métier de l’établissement.”

Enfin, l’intégrité peut être assurée en mettant en place des check-lists de tests fonctionnels pour les logiciels métiers, à dérouler avant tout changement de logiciel. “Ces check-lists doivent être officielles et ajournées au fur et à mesure que de nouveaux problèmes sont rencontrés.” Cédric Cartau a constaté qu’“une bonne partie des DSI ne les déroulent pas parce qu’elles freinent des projets, parce que les informaticiens le vivent comme une tâche ingrate et parce que tant qu’aucun problème ne survient, peu de personnes en voient l’intérêt”. Trois premiers volets qui représentent déjà un travail conséquent.

4. Tester son data center de secours pour garantir la disponibilité du SI

“La deuxième chose à garantir, c’est la disponibilité de ses SI, poursuit Vincent Trély. Il faut que les systèmes fonctionnent tout le temps.” Pour ce faire, Cédric Cartau ne connaît “qu’une seule méthode : celle des tests d’alerte incendie. Pour s’assurer qu’un SI à haute disponibilité fonctionne, il faut de temps en temps couper une des branches pour vérifier que les autres tournent”. Un exercice réalisé chaque année par le CHU de Nantes : “tous les applicatifs sont arrêtés sur le data center principal pour basculer sur celui de secours”. L’exercice a une limite : “nous ne prétendons pas que c’est représentatif d’une panne parce les applicatifs sont arrêtés proprement, contrairement à une panne type arrachage de câbles. Nous ne validons pas non plus que, sur une panne majeure, l’hôpital est en capacité de redémarrer son SI en quatre heures. Nous vérifions seulement qu’il n’y a pas d’impossibilité de basculer sur le data de secours et que celui-ci est bien en mesure de reprendre l’informatique de l’hôpital”. Idéalement, l’exercice est organisé à l’avance, validé par le corps médical et la direction générale, le personnel est prévenu et la date est affichée.  

Cédric Cartau a ainsi constaté “à chaque fois des dysfonctionnements, des éléments qui ne basculent pas pour des raisons techniques”. Il prend pour exemple le cas d’un applicatif dit en cluster, “une architecture technique très sensible : tout ce qui est fait d’un côté doit être strictement reproduit identique de l’autre sinon il y a désynchronisation. La plupart du temps, un informaticien a fait une manipulation et oublié de faire l’autre, ou nous constatons un problème technique sur autre chose que l’applicatif lui-même, comme un file system corrompu ou une prise réseau mal branchée qui ne se voit pas. Nous devons basculer 1 000 serveurs chaque année en une demi-journée et cinq applicatifs en moyenne ne basculent pas. C’est peu mais la biologie a été concernée trois années de suite. Heureusement que nous nous en sommes rendu compte au moment d’un test programmé !”, se félicite-t-il. À l’issue de ce type d’exercice, des actions correctives sont bien évidemment mises en place, “dans un délai contraint”. Certaines aboutiront rapidement, d’autres resteront en l’état quand la solution d’un éditeur est trop ancienne ou même que ce dernier ne répond pas… Quoi qu’il en soit, “aucun autre mécanisme ne permet de s’assurer de la disponibilité de ses SI”, assure Cédric Cartau.

5. Définir une politique d’accès aux données médicales pour en assurer la confidentialité

Assurer la confidentialité des données, “ça veut dire autoriser les bonnes personnes, faire très attention aux manipulations de la donnée”, résume Vincent Trély. Pour Cédric Cartau, la priorité est de se concentrer sur les données médicales : “les données des ressources humaines sont accessibles à très peu de monde ou à des personnes nommément identifiées, ce n’est donc pas la partie la plus compliquée à gérer. Alors que les données médicales sont accessibles à des milliers de personnes”. Une politique d’accès aux données peut être décidée par les métiers eux-mêmes, selon leurs besoins, avec la validation de la direction générale et l’aide et les conseils du RSSI, puis elle sera implémentée dans les logiciels. Ce n’est pas tout : les accès devront ensuite être tracés et, surtout, analysés. Par exemple, “toute personne qui se connecte au DPI et toutes ses actions font l’objet d’une trace technique, les DPI étant dotés d’un système de tracking. Mais encore faut-il l’exploiter”, souligne Cédric Cartau. Le DPI étant la première pierre. “Mais il restera la biologie, l’imagerie, la pharmacie…”, ajoute-t-il.

Les établissements de santé ont-ils pris en main cette question de la traçabilité des accès ? “Nous sommes au XIXe siècle, regrette Cédric Cartau. Des traces existent mais qui ne sont quasi jamais exploitées. Il faut aussi des moyens pour le faire.” Car sans équipe consacrée à l’analyse de ces traces, impossible de débusquer les accès non autorisés, donc de faire respecter la confidentialité des données. “Un agent X qui a regardé le dossier du patient Y alors qu’il ne le prend pas en charge mais parce que ce patient est son voisin de palier, sa belle-soeur ou son collègue de travail relève du pénal.” Or, des sanctions sont très rarement appliquées et, lorsqu’un avertissement est donné, seul l’individu concerné le sait. Sans information ni formation même des soignants – nombre d’entre eux ne respectent pas les procédures en la matière par ignorance – difficile de changer la donne.