Fortement relayée dans les médias, la récente cyberattaque ayant touché le Centre Hospitalier Sud Francilien (CHSF), dans l’Essonne, a remis sur le devant de la scène une problématique désormais bien connue de l’écosystème de la santé numérique : le risque cyber. « On assiste aujourd’hui à une multiplication des attaques. Elles ont des conséquences sur l’ensemble des activités, tous secteurs et domaines confondus, et sont facilitées par la généralisation des technologies numériques, des liaisons internet et des outils nomades », avait d’ailleurs déjà noté, en juin dernier, Alain Juillet, ancien Haut responsable à l’intelligence économique auprès du Premier ministre, à l’occasion d’une webconférence organisée par la centrale UniHA autour du management des risques SI.
Gestion de données critiques, hétérogénéité des logiciels, multiplicité des équipements et des dispositifs connectés, utilisateurs en nombre important… Les établissements de santé compilent aujourd’hui plusieurs facteurs de risques et sont, de ce fait, particulièrement exposés aux cyberattaques. « En 2021, l’on a compté un peu plus de 730 incidents de cybersécurité dans les établissements de santé », a ainsi indiqué Alain Juillet, précisant que « 52 % d’entre eux étaient réellement malveillants ». Deux types d’attaques sont principalement privilégiées par les pirates : le ransomware, ou rançongiciel, qui consiste à bloquer le système informatique et à ne le restituer qu’en échange d’une rançon, et l’exfiltration des données de santé, un « or noir » particulièrement recherché. « La santé est devenue un enjeu commercial, et les données jouent ici un rôle essentiel », a-t-il ajouté. Aujourd’hui plus que jamais, les établissements de santé doivent donc se prémunir contre ces cyber-risques et « apprendre à se défendre ».
Gestion de données critiques, hétérogénéité des logiciels, multiplicité des équipements et des dispositifs connectés, utilisateurs en nombre important… Les établissements de santé compilent aujourd’hui plusieurs facteurs de risques et sont, de ce fait, particulièrement exposés aux cyberattaques. « En 2021, l’on a compté un peu plus de 730 incidents de cybersécurité dans les établissements de santé », a ainsi indiqué Alain Juillet, précisant que « 52 % d’entre eux étaient réellement malveillants ». Deux types d’attaques sont principalement privilégiées par les pirates : le ransomware, ou rançongiciel, qui consiste à bloquer le système informatique et à ne le restituer qu’en échange d’une rançon, et l’exfiltration des données de santé, un « or noir » particulièrement recherché. « La santé est devenue un enjeu commercial, et les données jouent ici un rôle essentiel », a-t-il ajouté. Aujourd’hui plus que jamais, les établissements de santé doivent donc se prémunir contre ces cyber-risques et « apprendre à se défendre ».
Une organisation managériale de la sécurité…
Pour mieux faire face à une compromission du système ou à un dysfonctionnement opéré à distance sur le réseau de l’établissement, des procédures d’urgences peuvent ainsi être imaginées et formalisées en amont. Certaines structures organisent d’ailleurs déjà des sessions de simulation de crise, ou privilégient les larges campagnes de sensibilisation à destination de leurs équipes. « La cybersécurité a longtemps été cantonnée à un contexte technique. Elle doit aujourd’hui être considérée dans une dimension stratégique et organisationnelle », a ici conseillé Fabien Malbranque, responsable de la sécurité des systèmes d’information (RSSI) pour le Health Data Hub. Promoteur d’une vision managériale de la cybersécurité, il a notamment incité les directeurs d’établissements à « s’emparer du sujet » et à « mettre en œuvre des plans stratégiques ».
« L’efficacité d'une cyberattaque réside dans sa rapidité, mais aussi dans son installation sur un temps long. Il faut donc mobiliser les établissements et les directions des SI pour travailler sur ces deux niveaux ». Face à ce constat posé par Philippe Tourron, RSSI de l’Assistance publique - Hôpitaux de Marseille (AP-HM), Sylvain François, directeur des systèmes d’information du CHU de Rouen, a pour sa part, insisté : « La gestion d'une cyberattaque n'est pas un sprint, mais un marathon. Il faut s'y préparer ». Il faut dire que le CHU avait lui-même été victime d’une attaque informatique en novembre 2019. Il avait néanmoins pu effectuer une remédiation en quelques jours, aidé en cela par la mise en place rapide d’une gouvernance de crise. Le DSI a ici livré quelques conseils de bonnes pratiques.
Pour éviter la « cacophonie » qu’une telle situation pourrait susciter, « chacun doit être à sa place de manière à mener à bien sa mission sans empiéter sur celles des autres », a-t-il indiqué en évoquant une organisation « très stricte, voire militaire ». Cet impératif essentiel durant les premiers jours de la crise doit ensuite se muer en « mode marathon », car il faut « ménager les équipes pour pouvoir tenir sur le long terme ». Comme signalé plus haut, il est en effet habituel qu’une cyberattaque dure plusieurs jours voire plusieurs semaines, à l’instar de ce qu’il s’était passé lors de l’attaque contre le Centre Hospitalier Sud Francilien. Des sauvegardes à jour, une cartographie précise du système d'information et des modalités de communication de crise anticipées peuvent donc se révéler vitales en de telles circonstances.
« L’efficacité d'une cyberattaque réside dans sa rapidité, mais aussi dans son installation sur un temps long. Il faut donc mobiliser les établissements et les directions des SI pour travailler sur ces deux niveaux ». Face à ce constat posé par Philippe Tourron, RSSI de l’Assistance publique - Hôpitaux de Marseille (AP-HM), Sylvain François, directeur des systèmes d’information du CHU de Rouen, a pour sa part, insisté : « La gestion d'une cyberattaque n'est pas un sprint, mais un marathon. Il faut s'y préparer ». Il faut dire que le CHU avait lui-même été victime d’une attaque informatique en novembre 2019. Il avait néanmoins pu effectuer une remédiation en quelques jours, aidé en cela par la mise en place rapide d’une gouvernance de crise. Le DSI a ici livré quelques conseils de bonnes pratiques.
Pour éviter la « cacophonie » qu’une telle situation pourrait susciter, « chacun doit être à sa place de manière à mener à bien sa mission sans empiéter sur celles des autres », a-t-il indiqué en évoquant une organisation « très stricte, voire militaire ». Cet impératif essentiel durant les premiers jours de la crise doit ensuite se muer en « mode marathon », car il faut « ménager les équipes pour pouvoir tenir sur le long terme ». Comme signalé plus haut, il est en effet habituel qu’une cyberattaque dure plusieurs jours voire plusieurs semaines, à l’instar de ce qu’il s’était passé lors de l’attaque contre le Centre Hospitalier Sud Francilien. Des sauvegardes à jour, une cartographie précise du système d'information et des modalités de communication de crise anticipées peuvent donc se révéler vitales en de telles circonstances.
… pour anticiper l’attaque
En prévention d’une attaque, « on peut également cartographier la sensibilité des applications et savoir par où commencer la remédiation », a poursuivi Sylvain François, en invitant à se focaliser notamment sur les activités critiques, y compris en ce qui concerne les fonctions support comme la stérilisation ou la restauration. Se préparer à une crise et être en mesure de réagir correctement implique en outre de « faire des exercices », a pour sa part insisté Philippe Tourron. « Les cyberattaques s’intègrent aujourd’hui dans un mécanisme industriel qui trouvera des moyens d’opérer quoi qu'il arrive. Pour pouvoir réagir correctement lorsque la situation l’exigera, nous devons nous y entraîner », a-t-il précisé en énonçant quelques pistes clés : « Quelles sont nos activités indispensables ? Comment les réaliser sans informatique, partiellement ou totalement, pendant 4h, un jour, une semaine ou un mois ? Avons-nous identifié les données sensibles indispensables à nos activités ? Où sont-elles ? ».
Toutes ces réflexions s’engagent au niveau de l’établissement mais aussi, plus largement, à celui du groupement hospitalier de territoire (GHT), véritable chef d’orchestre de ces problématiques, notamment par sa capacité à passer des contrats en volume ou à mettre en relation les différents partenaires à l’échelle du territoire. Plusieurs groupements ont d’ailleurs déjà sauté le pas, en créant une fonction de RSSI territorial. C’est notamment le cas à La Réunion, où « la démarche SSI est adressée de la même manière par tous les établissements du groupement », a expliqué Stéphane Duchesne, le RSSI du GHT. Convaincu que la cybersécurité touche « l’ensemble des équipes », le responsable s’est depuis attaché à mobiliser tous les services de l’hôpital. « Une atteinte aux automates biomédicaux peut, par exemple, avoir un impact sur tous les soins apportés dans l’établissement », a-t-il souligné en préconisant de prendre en compte les enjeux de cybersécurité dans leur globalité, « au sein des DSI, mais aussi en amont de tous les projets biomédicaux ». « La cybersécurité est issue d’un cheminement global et dépasse le seul cadre de l’informatique, a-t-il conclu. Pour assurer la prévention la plus efficace possible, il faut donc considérer toutes les composantes de l’hôpital, numériques, biomédicales et techniques ».
Article publié dans l'édition de septembre 2022 d'Hospitalia à lire ici.
Toutes ces réflexions s’engagent au niveau de l’établissement mais aussi, plus largement, à celui du groupement hospitalier de territoire (GHT), véritable chef d’orchestre de ces problématiques, notamment par sa capacité à passer des contrats en volume ou à mettre en relation les différents partenaires à l’échelle du territoire. Plusieurs groupements ont d’ailleurs déjà sauté le pas, en créant une fonction de RSSI territorial. C’est notamment le cas à La Réunion, où « la démarche SSI est adressée de la même manière par tous les établissements du groupement », a expliqué Stéphane Duchesne, le RSSI du GHT. Convaincu que la cybersécurité touche « l’ensemble des équipes », le responsable s’est depuis attaché à mobiliser tous les services de l’hôpital. « Une atteinte aux automates biomédicaux peut, par exemple, avoir un impact sur tous les soins apportés dans l’établissement », a-t-il souligné en préconisant de prendre en compte les enjeux de cybersécurité dans leur globalité, « au sein des DSI, mais aussi en amont de tous les projets biomédicaux ». « La cybersécurité est issue d’un cheminement global et dépasse le seul cadre de l’informatique, a-t-il conclu. Pour assurer la prévention la plus efficace possible, il faut donc considérer toutes les composantes de l’hôpital, numériques, biomédicales et techniques ».
Article publié dans l'édition de septembre 2022 d'Hospitalia à lire ici.
Envoyer à un ami
Version imprimable
Partager