Le Centre Hospitalier Universitaire de Rouen en 2019, le Centre Hospitalier de Dax en 2021, le Centre Hospitalier Sud Francilien en 2022, le Centre Hospitalier Universitaire de Rennes en 2023… Depuis plusieurs années, les cyberattaques contre les hôpitaux font régulièrement la Une des journaux. Pourtant, ces attaques impressionnantes ne sont que la partie émergée de l’iceberg. En 2022, le rapport de l’Observatoire des incidents du CERT Santé [voir encadré] indique que 39 % des structures de santé « ont été contraintes de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients ». Si, cette même année, seulement la moitié des incidents recensés par le CERT Santé étaient d’origine malveillante, le secteur de la santé reste particulièrement sensible.
« Le risque cyber ne doit pas continuer d’être perçu comme lointain ou vague. Tous les professionnels du monde de la santé doivent avoir conscience qu’il s’agit d’un risque concret et bien réel », a ainsi rappelé le 23 novembre dernier Silvère Ruellan, chef du bureau Santé et Affaires sociales de l’Agence nationale de sécurité des systèmes d’information (ANSSI), lors de la Conférence Cyber & Santé organisée dans le cadre de l’European Cyber Week de Rennes. « Ce constat est partagé », a abondé Clara Morlière, directrice de projet au sein de la Délégation du numérique en santé (DNS), en insistant sur la nécessité de travailler encore sur les volets de la « gouvernance », la « sensibilisation » et la « gestion de crise », tout en « consolidant un socle minimal ».
« Le risque cyber ne doit pas continuer d’être perçu comme lointain ou vague. Tous les professionnels du monde de la santé doivent avoir conscience qu’il s’agit d’un risque concret et bien réel », a ainsi rappelé le 23 novembre dernier Silvère Ruellan, chef du bureau Santé et Affaires sociales de l’Agence nationale de sécurité des systèmes d’information (ANSSI), lors de la Conférence Cyber & Santé organisée dans le cadre de l’European Cyber Week de Rennes. « Ce constat est partagé », a abondé Clara Morlière, directrice de projet au sein de la Délégation du numérique en santé (DNS), en insistant sur la nécessité de travailler encore sur les volets de la « gouvernance », la « sensibilisation » et la « gestion de crise », tout en « consolidant un socle minimal ».
Un été 2024 à risques
Si les risques de vol de données, de revente et de chantage commencent à s’inscrire dans les esprits, « il y a aussi des menaces moins visibles, liées à des stratégies étatiques, avec des volontés d’espionnage ou de déstabilisation », a également alerté Silvère Ruellan. Et, en la matière, les Jeux olympiques de Paris 2024 s’annoncent déjà comme une période de tensions. Avec plusieurs millions de visiteurs attendus, l’événement « aura un impact sanitaire », a prévenu le représentant de l’ANSSI. Une « préparation au risque cyber » est ainsi prévue au premier semestre 2024, notamment dans les zones concernées par la tenue des épreuves sportives, a annoncé, au cours de la même conférence, Nolwenn François, experte métiers des établissements de santé au sein de l’Agence du numérique en santé.
La réalisation d’exercices de crise est d’ailleurs inscrite au cœur du programme CaRE (Cybersécurité, accélération et résilience des établissements), qui propose des kits prêts à l’emploi disponibles sur le site de l’ANS. Objectif prioritaire de la feuille de route du numérique en santé, « le programme CaRE prévoit également le financement d’audits et de plans de remédiation, le déploiement massif d’antivirus et de meilleurs moyens d’identification électroniques, la généralisation des plans de sauvegarde, etc. », détaille Hela Ghariani, co-responsable de la DNS. Pour cette année 2024, la DNS prévoit d’ailleurs « des financements substantiels », avec « un doublement des budgets dédiés à cet enjeu au sein des établissements de santé ».
La réalisation d’exercices de crise est d’ailleurs inscrite au cœur du programme CaRE (Cybersécurité, accélération et résilience des établissements), qui propose des kits prêts à l’emploi disponibles sur le site de l’ANS. Objectif prioritaire de la feuille de route du numérique en santé, « le programme CaRE prévoit également le financement d’audits et de plans de remédiation, le déploiement massif d’antivirus et de meilleurs moyens d’identification électroniques, la généralisation des plans de sauvegarde, etc. », détaille Hela Ghariani, co-responsable de la DNS. Pour cette année 2024, la DNS prévoit d’ailleurs « des financements substantiels », avec « un doublement des budgets dédiés à cet enjeu au sein des établissements de santé ».
Des critères cyber renforcés pour la certification HAS
Et ce sont loin d’être les seules évolutions à positionner l’année 2024 comme celle de la cybersécurité. Dans sa version réactualisée, le dispositif de certification de la Haute Autorité de Santé intègre lui aussi des critères cyber de manière beaucoup plus forte, ce qui devrait favoriser l’augmentation des budgets hospitaliers en la matière. « La cybersécurité a besoin de financement. L'objectif est de lui dédier au moins 2 % du budget consacré par un établissement à sa transformation numérique », a ainsi expliqué Clara Morlière dans son intervention Cyber & Santé. L’appui de la puissance publique, en termes de financements comme d’objectifs à atteindre, devrait, pour sa part, continuer à se matérialiser au travers d’autres programmes nationaux. Un volet HOP’EN 2 est d’ailleurs « à l’étude pour l’année prochaine », a déclaré la directrice de projet.
NIS 2, une nouvelle réglementation prévue pour 2024
Autre attendu majeur pour 2024, l’entrée en vigueur de la directive NIS 2 (Network and Information Security), publiée au Journal officiel de l'Union européenne en décembre 2022. En cours de transposition dans le droit français, le texte devrait être mis en application dès le mois d’octobre prochain. Les principaux changements par rapport à la version précédente résident dans l’élargissement des objectifs et du périmètre d’application de la réglementation cyber. « Alors qu’environ 150 structures du domaine de la santé étaient concernées par la NIS 1, elles seront plus de 1 000 avec la NIS 2 », a noté Silvère Ruellan.
La NIS 2 s’appliquera ainsi à l'administration publique dans son ensemble, désormais classée comme Entité Essentielle (EE). Parmi les autres nouvelles EE, l’on trouve également les prestataires de soins de santé, les fabricants de produits pharmaceutiques, et les structures de recherche et développement dans le domaine des médicaments, de plus de 250 employés. Lorsqu’elles totalisent de 50 à 250 employés, ces mêmes entreprises seront désormais considérées comme des Entités Importantes (EI). Ce sera également le cas pour les fabricants des dispositifs médicaux et les organismes de recherche de plus de 50 employés.
Si le périmètre d’application de la nouvelle directive se dessine déjà dans ses grandes lignes, « des consultations sont en cours entre les ministères et les organisations professionnelles pour le définir plus précisément, mais aussi clarifier les interactions entre l’ANSSI et les futures entités régulées, ainsi que les mesures de sécurité applicables », a expliqué Silvère Ruellan. Sont attendues, à terme, la publication de guides pratiques et la mise en œuvre d’une assistance par l’ANSSI, en fonction du niveau d’exigence en matière de sécurité numérique. L’objectif : « mobiliser le tissu économique national et le secteur public, face à la menace », a fait savoir l’agence.
La NIS 2 s’appliquera ainsi à l'administration publique dans son ensemble, désormais classée comme Entité Essentielle (EE). Parmi les autres nouvelles EE, l’on trouve également les prestataires de soins de santé, les fabricants de produits pharmaceutiques, et les structures de recherche et développement dans le domaine des médicaments, de plus de 250 employés. Lorsqu’elles totalisent de 50 à 250 employés, ces mêmes entreprises seront désormais considérées comme des Entités Importantes (EI). Ce sera également le cas pour les fabricants des dispositifs médicaux et les organismes de recherche de plus de 50 employés.
Si le périmètre d’application de la nouvelle directive se dessine déjà dans ses grandes lignes, « des consultations sont en cours entre les ministères et les organisations professionnelles pour le définir plus précisément, mais aussi clarifier les interactions entre l’ANSSI et les futures entités régulées, ainsi que les mesures de sécurité applicables », a expliqué Silvère Ruellan. Sont attendues, à terme, la publication de guides pratiques et la mise en œuvre d’une assistance par l’ANSSI, en fonction du niveau d’exigence en matière de sécurité numérique. L’objectif : « mobiliser le tissu économique national et le secteur public, face à la menace », a fait savoir l’agence.
Les CSIRT, de nouveaux acteurs régionaux
À l’échelle régionale, de nouveaux acteurs de la cybersécurité entrent progressivement en action. Issus d’un projet France Relance datant de 2021, les CSIRT régionaux (Computer Security Incident Response Team) ont été créés pour « offrir une réponse de proximité aux victimes » et renforcer la maturité des territoires sur le sujet. Intervenant en complément des acteurs existants, en particulier l’Agence nationale de sécurité des systèmes d’information (ANSSI), ces nouvelles structures sont principalement pensées pour venir en appui aux collectivités territoriales, Petites et moyennes entreprises (PME), Entreprises de taille intermédiaires (ETI), et associations.
Douze CSIRT viennent ainsi d’être créées : le CSIRT Bourgogne-Franche-Comté, le CSIRT Hauts-de-France, Normandie Cyber, Breizh Cyber, Grand Est Cybersécurité, Pays de la Loire Cyber Assistance, ainsi que CybeRéponse dans le Centre-Val de Loire, le Campus régional de Cybersécurité et de Confiance numérique en Nouvelle-Aquitaine, Cyber’Oc en Occitanie et Urgence Cyber région Sud en Provence-Alpes-Côte d’Azur.
Le CERT Santé, un outil dédié au monde de la santé
Créé en 2017, le CERT Santé intervient 24h/24 et 7j/7 pour apporter de premières réponses à un incident cyber survenu au sein des organismes publics, des Opérateurs d’importance vitale (OIV) et des Opérateurs de services essentiels (OSE). Cette structure spécialisée dans le secteur de la santé réalise aussi une veille des vulnérabilités, publie des alertes et effectue des audits ciblés sur l’exposition sur internet des Établissements sanitaires et médico-sociaux (ESMS).
Intégré à l’Agence du numérique en santé (ANS), le CERT Santé traite également les déclarations d’incidents de sécurité dans les ESMS, ce qui lui permet d’établir des statistiques sur la réalité des problématiques cyber dans les établissements de santé français. Pour 2023, il a ainsi enregistré une « forte activité malveillante relative au vol d’identifiants (login - mot de passe), de comptes de messagerie et de comptes d’accès à distance ». « L’attaque par phishing reste forte, a indiqué, lors de la conférence du 23 novembre dernier, Emmanuel Sohier, expert CERT Santé. Mais les attaquants récupèrent les identifiants selon trois modes opératoires : l’hameçonnage [ou phishing, NDLR], l’exploitation de vulnérabilités sur des équipements non mis à jour, et l’attaque par force brute, c’est-à-dire le test d’un grand nombre de mots de passe ».
Une fois les identifiants récupérés, les attaquants peuvent donner libre cours à leur imagination : connexion aux serveurs internes, récupération des identifiants administrateurs, désactivation des antivirus, exfiltration des données, pour revente voire chiffrage dans le cas de l’utilisation d’un rançongiciel. En 2023, le CERT Santé a ainsi enregistré 24 attaques par rançongiciel, contre 19 en 2022. Si celles-ci sont particulièrement spectaculaires, elles ne doivent toutefois pas éclipser les autres types de compromissions. Quelques-unes semblent toutefois sur une pente descendante. Par exemple, en 2023, le CERT Santé a enregistré moins de compromissions par messages électroniques malveillants ou virus informatique, par rapport à l’année précédente. Un phénomène qu’Emmanuel Sohier explique par « le travail effectué ces dernières années en matière de sensibilisation, d’accompagnement et de déploiement de correctifs ».
À l’échelle régionale, de nouveaux acteurs de la cybersécurité entrent progressivement en action. Issus d’un projet France Relance datant de 2021, les CSIRT régionaux (Computer Security Incident Response Team) ont été créés pour « offrir une réponse de proximité aux victimes » et renforcer la maturité des territoires sur le sujet. Intervenant en complément des acteurs existants, en particulier l’Agence nationale de sécurité des systèmes d’information (ANSSI), ces nouvelles structures sont principalement pensées pour venir en appui aux collectivités territoriales, Petites et moyennes entreprises (PME), Entreprises de taille intermédiaires (ETI), et associations.
Douze CSIRT viennent ainsi d’être créées : le CSIRT Bourgogne-Franche-Comté, le CSIRT Hauts-de-France, Normandie Cyber, Breizh Cyber, Grand Est Cybersécurité, Pays de la Loire Cyber Assistance, ainsi que CybeRéponse dans le Centre-Val de Loire, le Campus régional de Cybersécurité et de Confiance numérique en Nouvelle-Aquitaine, Cyber’Oc en Occitanie et Urgence Cyber région Sud en Provence-Alpes-Côte d’Azur.
Le CERT Santé, un outil dédié au monde de la santé
Créé en 2017, le CERT Santé intervient 24h/24 et 7j/7 pour apporter de premières réponses à un incident cyber survenu au sein des organismes publics, des Opérateurs d’importance vitale (OIV) et des Opérateurs de services essentiels (OSE). Cette structure spécialisée dans le secteur de la santé réalise aussi une veille des vulnérabilités, publie des alertes et effectue des audits ciblés sur l’exposition sur internet des Établissements sanitaires et médico-sociaux (ESMS).
Intégré à l’Agence du numérique en santé (ANS), le CERT Santé traite également les déclarations d’incidents de sécurité dans les ESMS, ce qui lui permet d’établir des statistiques sur la réalité des problématiques cyber dans les établissements de santé français. Pour 2023, il a ainsi enregistré une « forte activité malveillante relative au vol d’identifiants (login - mot de passe), de comptes de messagerie et de comptes d’accès à distance ». « L’attaque par phishing reste forte, a indiqué, lors de la conférence du 23 novembre dernier, Emmanuel Sohier, expert CERT Santé. Mais les attaquants récupèrent les identifiants selon trois modes opératoires : l’hameçonnage [ou phishing, NDLR], l’exploitation de vulnérabilités sur des équipements non mis à jour, et l’attaque par force brute, c’est-à-dire le test d’un grand nombre de mots de passe ».
Une fois les identifiants récupérés, les attaquants peuvent donner libre cours à leur imagination : connexion aux serveurs internes, récupération des identifiants administrateurs, désactivation des antivirus, exfiltration des données, pour revente voire chiffrage dans le cas de l’utilisation d’un rançongiciel. En 2023, le CERT Santé a ainsi enregistré 24 attaques par rançongiciel, contre 19 en 2022. Si celles-ci sont particulièrement spectaculaires, elles ne doivent toutefois pas éclipser les autres types de compromissions. Quelques-unes semblent toutefois sur une pente descendante. Par exemple, en 2023, le CERT Santé a enregistré moins de compromissions par messages électroniques malveillants ou virus informatique, par rapport à l’année précédente. Un phénomène qu’Emmanuel Sohier explique par « le travail effectué ces dernières années en matière de sensibilisation, d’accompagnement et de déploiement de correctifs ».
> Article paru dans Hospitalia #63, édition de décembre 2023, à lire ici
Envoyer à un ami
Version imprimable
Partager