Cyberattaques et Covid-19 : attention à renforcer la sécurité informatique des hôpitaux

Santé

Depuis la pandémie, les cyberattaques se multiplient contre les hôpitaux, créant des risques pour les patients et pour les données personnelles. Les établissements de santé doivent impérativement adopter une politique de sécurité informatique au plus vite.

En 2020, plusieurs centres hospitaliers, comme ceux d’Albertville-Moûtiers (Savoie) ou de Narbonne (Aude), ont été victimes de cyberattaques qui ont imposé l’arrêt des systèmes d’information (SI), empêchant l’accès aux dossiers des patients et à certains équipements. Ces piratages peuvent être encore plus lourds de conséquences ; à Düsseldorf (Allemagne), une cyberattaque a entravé l’admission d’une patiente qu’il a fallu diriger vers un autre hôpital, et qui est décédée pendant le transfert. Déjà mal préparés face aux hackers (cf. encadré), les établissements de santé ont vu les attaques se multiplier ces dernières années. Et la pandémie qui a contraint les hôpitaux à se réorganiser pour accueillir les patients atteints de Covid-19, sans prendre pour autant les mesures de sécurité essentielles, n’a rien arrangé. Or, ces établissements détiennent des données ultra-sensibles et bloquer leur système informatique peut mettre des vies en danger ; il y a là des leviers de chantage extrêmement puissants pour les pirates informatiques, explique Stormshield, société spécialisée en cybersécurité. En outre, toutes les forces vives des hôpitaux étant mobilisées, y compris les équipes IT, il leur est encore plus difficile de surveiller les menaces.

La modernisation du système de santé repose sur les technologies numériques – dispositif ambulatoire, télémédecine, pilotage des équipements biomédicaux, dossier patient informatisé (DPI)… -, créant des risques importants pour les données, « qui représentent un patrimoine de plus en plus convoité », peut-on lire dans le mémento « Connaître vos risques pour mieux y faire face », publié en 2017 par la direction générale de l’offre de soins (DGOS) à l’intention des directeurs des établissements de santé. Cette modernisation ne peut se développer qu’à une absolue condition : maintenir la sécurité des soins. Il convient donc d’adopter une politique de gestion du risque informatique, en analysant les impacts de sécurité dans toutes leurs composantes : stratégiques, opérationnelles, humaines, juridiques, financières… Une fois identifiées les situations dangereuses pouvant entraîner la vulnérabilité du SI (cartographie), un plan d’action définit les mesures susceptibles de parvenir à un risque résiduel acceptable, avec des priorités à six, douze et dix-huit mois. Un quizz détaillé aide les responsables de la sécurité des établissements de santé à vérifier les exigences qu’ils remplissent et à prévoir ce calendrier des priorités d’action.

Nommer un référent sécurité et un responsable des systèmes d’information est indispensable. À titre préventif, il faut prévoir tous les dispositifs techniques, organisationnels et humains qui garantissent le maintien des activités vitales de l’établissement au cas où un incident temporaire perturberait ou arrêterait la production informatique. En outre, le comportement des utilisateurs étant la plupart du temps à l’origine des piratages informatiques, les former et de les sensibiliser à la cybersécurité est essentiel. Le RGPD européen impose aux établissements de santé de désigner un délégué à la protection des données ; sensibles par essence, celles-ci sont destinées à être stockées, échangées et archivées, d’où le strict cadre sécurisé et de confidentialité qui doit les entourer. L’hébergement de données de santé à caractère personnel est encadré par le Code de la santé publique et l’hébergeur doit être certifié par un organisme accrédité par le Cofrac.

Les établissements de santé sont tenus de signaler les incidents graves de sécurité ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé, ou sur le fonctionnement normal de l’établissement.

En outre, le programme HOP’EN de la DGOS de décembre 2019 propose une feuille de route pour les SI hospitaliers, fondée sur des indicateurs et structurée autour de quatre prérequis et sept domaines fonctionnels prioritaires.

Marie Gasnier

SI des hôpitaux : pourquoi sont-ils si vulnérables ?

Le SI des établissements de santé comporte de nombreuses failles. La société Stormshield explique qu’il est, par exemple, facile de se connecter au réseau des patients grâce à un réseau wifi puis d’intercepter le réseau médical, pour accéder ensuite au réseau administratif. Soumis à une obligation de continuité de service – impossible d’interrompre les soins -, le personnel (médical et administratif) conserve généralement ses appareils allumés lorsque l’infrastructure informatique évolue, et compose ensuite avec l’ancienne informatique plutôt que de s’adapter à la nouvelle. L’urgence met aussi à mal les principes de base de sécurité, comme le verrouillage de session en quittant un poste de travail. De plus, l’absence fréquente d’experts en sécurité informatique au sein de l’hôpital et l’utilisation, par les médecins qui se partagent entre un cabinet privé et l’hôpital, de leurs outils personnels non sécurisés, aggravent la vulnérabilité. Les nouvelles technologies médicales (appareils connectés…) manquent de sécurité à la conception. En outre, la gestion technique des bâtiments (GTB) qui permet le contrôle d’équipements à distance (air conditionné, détection incendie, ascenseurs…), est de plus en plus utilisée ; sécurisés physiquement, ces dispositifs présentent une faible sécurité numérique ; leur piratage pourrait conduire à l’évacuation forcée de l’hôpital.

Posté le par

Recommander cet article