accueil

Outre-mer : comment les territoires isolés organisent la cyber résilience

Sur l’Île de La Réunion, en Polynésie française ou en Martinique, un constat s’impose : les établissements de santé ne sont pas plus protégés qu’ailleurs des menaces cyber. Les risques sanitaires font peser une pression supplémentaire sur les plans de continuité et de reprise d’activité. Dans les territoires ultramarins, soumis à de fortes contraintes d’isolement, la cybersécurité s’envisage collectivement.

Face à la recrudescence des cyberattaques visant des établissements de santé depuis 2021, un MARS (message d’alerte rapide sanitaire) a été adressé en avril 2021 sur le sujet aux ARS et établissements publics de santé ultramarins. Dans ce document, auquel mind Health a eu accès, le ministère de la Santé demandait à “l’ensemble des établissements publics de santé ultramarins, sous le contrôle des agences régionales de santé, de mettre en œuvre dans les meilleurs délais des mesures spécifiques” pour se prémunir des cyberattaques. Ce plan d’action recommandait la sauvegarde des données, l’organisation d’audits de sécurité et de prestations de sécurité numérique et la construction d’un plan de réponse en cas d’incident de cybersécurité entre autres. 

Des territoires à haut risque

Ce message levait le voile sur une situation critique sur le plan sécuritaire et sanitaire. Les territoires ultramarins ne sont pas préservés des risques de cyberattaques qui pèsent sur le milieu hospitalier. La situation géographique insulaire peut pourtant laisser l’impression inverse, comme l’a constaté Mathias Laurent, RSSI et DPO du GCS TESIS (La Réunion), contacté par mind Health : “Il y a un sentiment qui n’est pas dit explicitement, mais partagé, de se sentir plus en sécurité. Que l’on soit sur une petite île ne change rien. Pire encore, nous sommes encore plus connectés que les autres donc il y a un risque de diffusion exacerbée.” Le rançongiciel qui a frappé le CHU de la Réunion le 6 février 2023 a d’ailleurs créé un précédent, l’hôpital ayant dû couper l’accès à Internet et l’accès à distance des télétravailleurs. La continuité des soins a cependant pu être assurée grâce à une détection précoce de l’attaque. 

Ce qui m’a marqué très vite, c’est le retard accumulé en matière de transformation numérique, qui est lié à la problématique budgétaire et à l’instabilité en termes de gouvernanceRodrigue Alexander (CHU de la Martinique)

Le risque cyber est d’autant plus grand que les dettes techniques s’accumulent dans certains territoires ultramarins. En Martinique, par exemple, la maturité numérique s’est faite tardivement au CHU. Rodrigue Alexander, directeur du pôle transformation numérique, arrivé dans le DROM antillais en avril 2022, en témoigne : “Ce qui m’a marqué très vite, c’est le retard accumulé en matière de transformation numérique, qui est lié à la problématique budgétaire et à l’instabilité en termes de gouvernance. Au CHU de la Martinique, sur les 3500 PC en état de marche, 3000 PC étaient à l’époque sous Windows 7”. Ce système d’exploitation n’étant plus maintenu par Microsoft, il ne met plus à jour les patchs informatiques pour corriger les vulnérabilités. 

Cet état de fait des Outre-mer met l’ANSSI en alerte. L’agence a confirmé à mind Health que “plusieurs établissements de santé ultramarins ont été identifiés par les autorités comme particulièrement sensibles et sont donc soumis à des réglementations cyber nationales et européennes. Ils bénéficient ainsi de l’accompagnement que l’Agence propose aux établissements régulés”. Des établissements ultramarins se sont aussi engagés dans des parcours de cybersécurité France Relance, précise l’ANSSI. Le CERT santé, porté par l’Agence du Numérique en santé (ANS), et le CERT FR, dépendant de l’ANSSI, sont souvent amenés à intervenir de concert sur des incidents concernant des établissements de santé. Parmi les bénéficiaires du CERT santé, on retrouve les établissements de santé d’Outre-mer dépendant du ministère de la Santé. Ils étaient d’ailleurs intervenus en soutien du GHT de la Réunion lors de l’incident de 2023.

Retex de Stéphane Duchesne, RSSI du GHT de La Réunion (Congrès de l’Apssis 2024)

Isolement et résilience

Si une cyberattaque venait à se produire, l’impact sanitaire serait fort en raison de l’insularité limitant le recours humain et technique des territoires voisins. Si les centres de soin sont paralysés, les options de repli et les ressources deviennent vite limitées. L’envoi de patients par avion peut être envisagé, mais pour un petit nombre de cas. 

“Nous avons des attentes très spécifiques du fait de l’insularité et de la distance en termes de plan de continuité d’activité (PCA), car l’enjeu est vraiment là sur les petits territoires” constate Rodrigue Alexander. Bien que la Martinique et la Guadeloupe soient des îles proches, il faut tout de même 40 minutes par avion pour les relier. Pour la Guyane, il faut compter 3 heures d’avion, et pour la métropole (Paris), 8 heures. En cas de crise, comme lors d’une crise épidémique majeure, envoyer des patients en réanimation par avion n’est pas jouable. En cas de cyberattaque, ce serait une véritable catastrophe sanitaire”.

Les contraintes géographiques et le manque de ressources poussent les DROM-COM à s’organiser de façon indépendante pour être en mesure de gérer localement les urgences. Avec des spécificités qui leur sont propres, l’offre de soin en Martinique, en Polynésie français et à La Réunion est essentiellement publique, fédérée autour d’un centre de référence et d’une constellation d’établissements en contact étroit. La Guadeloupe et la Guyane suivent également des schémas similaires, mais ces deux DROM n’ont pas répondu aux sollicitations de mind Health.

“La continuité de l’offre de soin est d’autant plus importante dans ces territoires, surtout pour de grands établissements, porteurs principaux de l’offre de soin” a témoigné l’ANSSI à mind Health. 

La Réunion

Stéphane Duchesne, RSSI et DPO du GHT de la Réunion (Congrès de l’Apssis 2024)

Le contexte

La Réunion est à la fois un département et une région. Avec près de 850 000 habitants, soit l’équivalent de la population de Marseille, sa surface occupée couvre un diamètre Nord-Sud de 70 kilomètres et Est-Ouest de 50 kilomètres, où seulement 30% est habitable.

Le GHT comprend quatre établissements (CHU La Réunion, Centre Hospitalier Ouest Réunion, Etablissement Public de Santé Mentale Réunion et Groupe Hospitalier Est Réunion), dont le CHU représente 73% de l’activité”, rappelait en juin dernier Stéphane Duchesne, RSSI et DPO du GHT de La Réunion, à l’occasion du Congrès de l’Apssis. 

Le CHU dispose de près de 1900 lits et places. Il est donc d’importance stratégique pour l’île, soumise aux menaces naturelles, comme la tempête Candice qui a frappé le territoire en janvier 2024, ainsi que pour sa voisine Mayotte, touchée par le cyclone Chido en décembre dernier. 

Les enjeux

Malgré sa relative proximité avec Madagascar et Mayotte, l’île de La Réunion reste un territoire isolé. “Nous sommes à 11 heures de Paris et ne disposons pas de solution de repli en cas de cyberattaque. Si le CHU tombe, il faut compter sur les ressources locales pour répartir nos patients sur les autres hôpitaux publics et les cliniques” soutient Stéphane Duchesne. Les éboulements et les inondations peuvent aussi rendre le transfert de patients et l’approvisionnement en équipements complexes voire impraticables. Par conséquent, ajoute-t-il, “nous avons de fortes difficultés à maintenir en condition opérationnelle nos infrastructures. Les décisions doivent être prises en tenant compte de ce contexte îlien contraignant”.

La Martinique

Le Groupement Hospitalier de Territoire de Martinique – GHT 972

Le contexte

La Martinique est un petit territoire de 70 kilomètres de long sur 30 kilomètres de largeur, situé dans les Antilles, qui rassemble près de 350 000 habitants.

L’offre de santé est essentiellement publique, incarnée par le GHT de Martinique créé en janvier 2023. Le CHU de la Martinique est l’établissement support de ce jeune GHT, qui comprend 1300 lits pour 7000 professionnels en effectif physique, répartis sur cinq sites principaux. Onze structures gravitent autour du GHT, dont deux Ehpad et un établissement dédié à la santé mentale. Enfin, un unique groupe privé, la clinique Saint Paul, complète l’offre de soin de l’île. Sur cet ensemble, le CHU représente 70% de part de marché en médecine chirurgie obstétrique (MCO), la clinique Saint Paul, 24%, et, particularité du territoire, l’AP-HP représente 1,3% des soins administrés aux Martiniquais.

Les enjeux

Rodrigue Alexander souligne que “les établissements sont exsangues sur le plan comptable, avec des déficits importants pour tous les établissements du GHT. Les choix sont toujours difficiles, entre ce qui relève de la continuité essentielle de l’activité de l’établissement comme le réapprovisionnement en médicaments, ce qui relève de la transformation numérique, qui est importante pour la qualité de la prise en charge, et ce qui relève en dernier ressort de la sécurité des systèmes d’information, un aspect plus invisible dans une logique de prévention de risque”, dit-il.

La Polynésie française

Source : CHPF

Le contexte

La Polynésie française est une collectivité d’outre-mer qui rassemble plus de 300 000 habitants. Ce territoire comprend plus de 100 îles dans le Pacifique sud et s’étend sur plus de 2 000 kilomètres. Le statut de la Polynésie française lui confère une large autonomie, en particulier en matière de santé.

La Polynésie française dispose de neuf établissements de santé, dont six publics. Le Centre hospitalier de la Polynésie française (CHPF) est à la fois établissement de proximité et de recours. “Au cœur de sa mission, le CHPF a vocation à accueillir et à prendre en charge toutes les urgences et en particulier les plus lourdes engageant le pronostic vital. Il doit également être en mesure d’accueillir et de traiter les affections les plus lourdes nécessitant les compétences médicales, ainsi que les équipements diagnostiques et thérapeutiques qu’il est le seul autorisé à détenir” détaillait un rapport de l’IGAS de 2019.

Les enjeux

« L’isolement de Tahiti et des 117 autres îles qui l’entourent, au milieu du Pacifique et à plusieurs milliers de kilomètres de tout autre terre, a longtemps été un rempart nous masquant au reste du monde. Cela a pu créer un faux sentiment de sécurité. En dépit des 23 heures de voyage aérien qui nous séparent de l’Hexagone, les virus et épidémies nous atteignent comme partout ailleurs et nous l’avons pleinement intégré. Il en va de même en matière de télécommunications. Tant qu’elles étaient assurées par des satellites proposant des débits et des temps de réponse rédhibitoires pour un éventuel cyber attaquant, nous étions presque inaccessibles. Désormais, les “autoroutes” sous-marines et les satellites en orbite basse changent la donne. Si elles nous permettent d’avoir accès à une connectivité haut débit, elles nous rendent aussi « visibles » et accessibles que tout autre site auprès de cyberattaquants », témoigne à mind Health Pierre Vogel, RSSI du Centre Hospitalier de la Polynésie française.

La Polynésie française, contrainte à l’isolement extrême, est résiliente par nature. « La menace est la même qu’ailleurs. La différence réside dans la gravité des impacts, notre capacité à remédier à la situation et à retrouver une activité normale. Notre établissement assure les soins de “dernier recours” et les autres établissements de santé publics ou privés n’ont ni les filières, ni le capacitaire qui nous permettraient, en cas d’incident de grande ampleur, de délester notre activité la plus critique vers d’autres établissements de santé locaux. L’isolement, quant à lui, nous interdit d’envisager les transferts à longue distance. »

Les fournisseurs sont aussi moins présents sur l’Archipel, ce qui contraint les directions hospitalières à anticiper davantage. « Côté matériel, médical comme informatique, il n’y a pas d’entrepôt de grossiste ni de fabricants d’appareils médicaux localement. Les stocks sont donc limités et les délais d’approvisionnement, longs (plusieurs jours voire semaines par avion et, sans compter d’éventuels aléas, au moins six semaines par voie maritime). Côté services, la situation est similaire, avec très peu de prestataires ou de fournisseurs de logiciels de spécialité “au coin de la rue” ou en périphérie. Les compétences humaines ne sont pas toujours disponibles localement et le décalage horaire avec l’Hexagone reste pénalisant. Il n’y a pas non plus localement d’hébergeur de données de santé certifié. Ainsi, nous réduisons l’impact potentiel de cette menace en hébergeant au sein de l’établissement les solutions de production de soins et de gestion tout en limitant strictement le recours aux solutions cloud à des activités plus annexes” explique Pierre Vogel.

Porter des actions collectives

Pour répondre à certaines difficultés, notamment budgétaires, la mise en commun des ressources humaines et des systèmes informatiques des établissements de santé ultramarins est forte. Cette mutualisation passe notamment par les GHT, qui se dotent de DSI et de RSSI. Toutefois, cette mutualisation peut aussi introduire des risques supplémentaires comme l’indisponibilité de l’ensemble des SI mis en commun en cas d’incident informatique.

À la Réunion, la stratégie cyber du GHT a été renforcée depuis 2020 sous l’impulsion de Stéphane Duchesne, fort de son expérience précédente au CHU de Bordeaux. L’une des premières actions menées à l’échelle du GHT a été de rédiger un schéma directeur comprenant “452 actions sur cinq ans”, détaille-t-il. Les solutions et les pratiques ont été uniformisées au sein des services et les budgets cyber sanctuarisés. En janvier 2022, l’ARS et le GHT de La Réunion ont signé une convention pour mettre en œuvre un plan d’action sécurisant les systèmes d’information, grâce à une aide financière de plus de 3,7 M€.

Avec le GHT comme moteur, l’objectif est de porter un plan d’action au niveau régional pour entraîner tous les acteurs sanitaires et médico-sociaux à augmenter leur niveau de sécurisation. Le GRADeS occupe une grande place dans ce dispositif régional. Pour diffuser une culture cyber, le GRADeS Océan Indien, TESIS, organise notamment des campagnes de sensibilisation de terrain. “Nous voulons créer un écosystème de confiance en diffusant des messages d’hygiène numérique et en aidant les soignants à se protéger des phishing qui représentent une grande menace” a détaillé Alice Robert, experte communication chez TESIS, à mind Health.

Aux côtés de l’ARS et de la préfecture, le GRADeS TESIS a mis en œuvre des exercices de gestion de crise à l’ensemble des établissements sanitaires et médico-sociaux de l’île. Incités dans le cadre des programmes nationaux, ces exercices ont vocation à être répétés au fil des années pour “éprouver la gestion en temps réel et l’améliorer” explique Mathias Laurent. Les caractéristiques de La Réunion sont, pour lui, propices à ces dispositifs : “Nous avons de la chance d’être une petite région, où les acteurs se connaissent plutôt bien et où beaucoup d’actions transitent par le GRADeS. Cette proximité nous permet de déployer des stratégies peut-être plus facilement que dans d’autres régions plus grandes” estime le RSSI.

Ce constat est partagé par l’ANSSI : “Nos territoires d’outre-mer étant soumis à de nombreux risques d’ordres environnementaux, leur capacité de résilience s’avère remarquable lors de ces exercices”.

Le CSIRT La Réunion a été récemment créé dans ce sens afin de disposer d’un prestataire de réponse à incident de sécurité pour les établissements de santé, un principe repris et généralisé dans le cadre des centres de ressources cyber du programme CaRE. Les CSIRT territoriaux (Computer Security Incident Response Team) traitent les demandes d’assistance des PME, ETI, collectivités territoriales et associations et les mettent en relation avec des prestataires de réponse à incident et partenaires étatiques. 

Garder un cap de prudence

Rodrigue Alexander, directeur du pôle transformation numérique au CHU de la Martinique

“Pour nous, acteurs de la cyber, l’enjeu est de réduire la surface d’exposition, d’améliorer nos capacités de détection pour que les dégâts ne soient pas trop étendus et de s’assurer que la remédiation soit la plus rapide possible si le risque se réalisait” déclare Rodrigue Alexander.

En Martinique, Rodrigue Alexander a établi quatre priorités stratégiques pour le CHU à la suite de son rapport d’étonnement alarmiste : 

  • Installer un EDR sur l’ensemble du parc, puisque les postes ne sont plus maintenus par Microsoft. “L’ANSSI a financé 60% du projet, et l’ARS 40% » a précisé ce dernier ;
  • Créer un SOC (centre d’opérations de sécurité de l’information) avec Advens, afin que les alertes de l’EDR soient monitorées 24h/24 ;
  • Si le risque se réalise, le CHU doit être en mesure de lancer une analyse forensique et une remédiation. “Quand nous sommes seuls avec nous-mêmes à 7000 kilomètres de distance de la métropole, c’est impossible” soutient Rodrigue Alexander. Orange Cyberdefense a été retenu en qualité de prestataire de réponse à incident de sécurité retenu sur l’ensemble du territoire. “En cas d’incident, ce prestataire dispose d’un “délai contractuel de 48 heures pour arriver sur site avec des experts cyber, après avoir effectué une assistance à distance dans les premières heures après l’incident” ;
  • Le quatrième élément, plus technique, concerne le patch management. “Il ne s’agit pas de faire du patch management sur l’ensemble du parc, mais sur les actifs sensibles” précise le directeur.

Johan Angely, RSSI du GHT 972, ajoute que la stratégie cyber a été solidifiée en parallèle : “En termes de priorité autour de la cybersécurité, les grands axes se font au travers du déploiement de solutions, tels que des pare-feux, des systèmes de détection d’intrusion, d’EDR (Endpoint Detection and Response), des coffres-fort numérique pour les administrateurs, soutient-il. La sensibilisation des personnels constitue un autre grand axe au travers de campagnes de prévention sur le phishing et les comportements à risque. Par rapport à nos distances, nos infrastructures IT sont très dépendantes de la liaison internet. Étant donné que nous n’avons pas accès au cloud sécurisé, nous hébergeons beaucoup en local”.

En Polynésie française, la prudence est aussi de mise. Même indépendants, « nous sommes en communication avec le CERT Santé, suivons ses alertes et appliquons au mieux ses recommandations. L’ANSSI, pour sa part, n’est pas représentée localement de manière permanente et les dispositifs qu’elle déploie ou soutient dans d’autres Outre-mer ne sont pas encore opérationnels en Polynésie française » témoigne Pierre Vogel. Le RSSI du CHPF veille à maintenir une ligne stricte : “Ma mission est identique à celle de mes confrères de l’Hexagone, à savoir d’organiser et encadrer la sécurité des systèmes d’informations au sein de l’établissement, dans le respect de la réglementation (Code de la santé publique dans sa version applicable en Polynésie française, RGPD, Directives européennes, etc.), s’appuyant sur des référentiels, des analyses de risque et en sensibilisant nos agents aux bonnes pratiques”.

“Nous nous engageons de manière volontaire, par exemple, dans des démarches de certification” précise Pierre Vogel. Il n’y a pas actuellement de programme comparable à CaRE porté par les autorités publiques et les actions en matière de sécurité sont intégrées au budget de l’établissement, soit de manière spécifique, soit par l’intermédiaire de modules ou fonctionnalités intégrés à un projet plus vaste. Par exemple, l’achat d’un équipement biomédical doit désormais inclure des mesures de sécurité qui tiennent compte de l’état de la menace cyber. Des actions ponctuelles peuvent également avoir lieu, comme cela a été le cas dans le cadre de la préparation des Jeux olympiques : une épreuve se déroulant à Tahiti, nous avons reçu des soutiens spécifiques”.

L’épineuse question du financement

Depuis des mois, “le travail des RSSI s’est recentré sur le programme CaRE”, observe Rodrigue Alexander. L’ARS et le GRADeS contribuent beaucoup aux efforts de financement. “L’ARS nous a aidé à financer en avance de phase toute la partie audit d’exposition sur internet et la partie annuaire technique. Cela nous a permis d’atteindre un certain niveau de maturité au niveau des audits. Le tout est aussi de conserver ce niveau de maturité dans le temps”, note Johan Angely. Le GHT martiniquais, qui attend une subvention de 320 000 euros dans le cadre de CaRE, s’engage à tracer toutes les commandes en lien avec les cibles du “Domaine 1” et à faire remonter les preuves à l’été 2025.

CaRE : comment s’organise l’appel à financement du Domaine 1 ?

L’objectif, pour les acteurs de santé, est de pouvoir peser au niveau régional. “Du fait de notre taille, nous ne disposons pas suffisamment d’experts dans tous les établissements du GHT. Les financements attribués au GRADeS profitent donc à tous”, estime Rodrigue Alexander. Il espère voir se créer un réseau avec la Guyane et la Guadeloupe, “des zones de coopération naturelle”, alors que “ni échange, ni comité de pilotage pour partager des éléments sur la sécurité n’a été créé pour l’instant” regrette-t-il. “Au-delà des appels à projet, poursuit-il, nous communiquons énormément auprès des élus locaux et régionaux pour mobiliser le levier du financement européen et nous militons pour avoir des lignes budgétaires spécifiques qui nous permettraient d’aller plus vite pour rattraper la moyenne nationale.”

,