En 2020, plusieurs centres hospitaliers, comme ceux d’Albertville-Moûtiers (Savoie) ou de Narbonne (Aude), ont été victimes de cyberattaques qui ont imposé l’arrêt des systèmes d’information (SI), empêchant l’accès aux dossiers des patients et à certains équipements. Ces piratages peuvent être encore plus lourds de conséquences ; à Düsseldorf (Allemagne), une cyberattaque a entravé l’admission d’une patiente qu’il a fallu diriger vers un autre hôpital, et qui est décédée pendant le transfert. Déjà mal préparés face aux hackers (cf. encadré), les établissements de santé ont vu les attaques se multiplier ces dernières années. Et la pandémie qui a contraint les hôpitaux à se réorganiser pour accueillir les patients atteints de Covid-19, sans prendre pour autant les mesures de sécurité essentielles, n’a rien arrangé. Or, ces établissements détiennent des données ultra-sensibles et bloquer leur système informatique peut mettre des vies en danger ; il y a là des leviers de chantage extrêmement puissants pour les pirates informatiques, explique Stormshield, société spécialisée en cybersécurité. En outre, toutes les forces vives des hôpitaux étant mobilisées, y compris les équipes IT, il leur est encore plus difficile de surveiller les menaces.

La modernisation du système de santé repose sur les technologies numériques – dispositif ambulatoire, télémédecine, pilotage des équipements biomédicaux, dossier patient informatisé (DPI)… -, créant des risques importants pour les données, « qui représentent un patrimoine de plus en plus convoité », peut-on lire dans le mémento « Connaître vos risques pour mieux y faire face », publié en 2017 par la direction générale de l’offre de soins (DGOS) à l’intention des directeurs des établissements de santé. Cette modernisation ne peut se développer qu’à une absolue condition : maintenir la sécurité des soins. Il convient donc d’adopter une politique de gestion du risque informatique, en analysant les impacts de sécurité dans toutes leurs composantes : stratégiques, opérationnelles, humaines, juridiques, financières… Une fois identifiées les situations dangereuses pouvant entraîner la vulnérabilité du SI (cartographie), un plan d’action définit les mesures susceptibles de parvenir à un risque résiduel acceptable, avec des priorités à six, douze et dix-huit mois. Un quizz détaillé aide les responsables de la sécurité des établissements de santé à vérifier les exigences qu’ils remplissent et à prévoir ce calendrier des priorités d’action.

Nommer un référent sécurité et un responsable des systèmes d’information est indispensable. À titre préventif, il faut prévoir tous les dispositifs techniques, organisationnels et humains qui garantissent le maintien des activités vitales de l’établissement au cas où un incident temporaire perturberait ou arrêterait la production informatique. En outre, le comportement des utilisateurs étant la plupart du temps à l’origine des piratages informatiques, les former et de les sensibiliser à la cybersécurité est essentiel. Le RGPD européen impose aux établissements de santé de désigner un délégué à la protection des données ; sensibles par essence, celles-ci sont destinées à être stockées, échangées et archivées, d’où le strict cadre sécurisé et de confidentialité qui doit les entourer. L’hébergement de données de santé à caractère personnel est encadré par le Code de la santé publique et l’hébergeur doit être certifié par un organisme accrédité par le Cofrac.

Les établissements de santé sont tenus de signaler les incidents graves de sécurité ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé, ou sur le fonctionnement normal de l’établissement.

En outre, le programme HOP’EN de la DGOS de décembre 2019 propose une feuille de route pour les SI hospitaliers, fondée sur des indicateurs et structurée autour de quatre prérequis et sept domaines fonctionnels prioritaires.

Marie Gasnier