![[ép. 188] Piloter, en tant qu'élu, un projet sensible : conseils opérationnels](https://www.weka.fr/actualite/wp-content/uploads/2024/05/ep-189-piloter-en-tant-qu-elu-un-projet-sensible-conseils-operationnels-300x161.png)
![[ép. 187] Le projet de loi de simplification](https://www.weka.fr/actualite/wp-content/uploads/2024/04/ep-187-le-projet-de-loi-de-simplification-article-300x161.png)
Le 21 août 2022, le CHU de Corbeil-Essonnes (91) faisait l’objet d’une cyberattaque d’envergure. Le 3 décembre, c’était au tour du CH de Versailles (78) d’être visé. Dans les deux cas, ces attaques ont eu des impacts opérationnels importants sur les services hospitaliers, nécessitant d’enclencher le plan blanc pour les urgences sanitaires graves et le transfert de certains patients vers d’autres hôpitaux. Ces deux exemples, médiatisés, démontrent l’enjeu que représente la cybersécurité. De fait, le 21 décembre, le Gouvernement a annoncé plusieurs mesures dans ce domaine.
Concernant les hôpitaux, un programme de préparation aux incidents cyber a été lancé pour que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023. Un plan blanc numérique doit également être élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d’une cellule de crise, évaluation des impacts, etc.).
L’informatique des hôpitaux présente en effet de nombreux risques. « Le système d’information (SI) hospitalier est très complexe et, depuis quelques années, il s’est densifié et comporte de nombreuses applications, explique ainsi Vincent Croisile, expert sécurité à l’Agence du numérique en santé (ANS). Il y a aussi la problématique des échanges avec l’extérieur – médecins libéraux ou exerçant dans d’autres établissements – ainsi que le développement du télétravail qui peut étendre la surface d’attaque de l’établissement. La sécurité doit prendre en compte plusieurs éléments : Internet – les flux entrants et sortants, et les accès -, la gestion des droits et accès en interne, le cloisonnement entre les différents services et applicatifs pour la gestion des droits ».
Un fonctionnement dégradé
La principale cyberattaque est le rançongiciel. « Un attaquant va réussir à accéder à un système d’information en exploitant des failles ou des vulnérabilités des équipements (Internet VPN, messageries, serveur) mais aussi qui sont propres à la conception du système d’information de l’hôpital, par exemple dans la gestion des droits d’administration, explique Emmanuel Sohier, responsable du CERT Santé. En disposant d’un compte, l’attaquant peut alors accéder aux parties du SI les plus critiques comme les sauvegardes. Il chiffre les données et demande une rançon pour que l’hôpital les récupère. Si l’établissement ne paye pas, il peut, dans une deuxième étape, exfiltrer des données afin de faire pression. » En 2022, le CERT Santé a identifié moins d’une trentaine de cyberattaques liées à un rançongiciel contre des hôpitaux ayant un impact moyen ou fort. Un impact moyen ne touche qu’une partie des fichiers car le système d’information est suffisamment sécurisé. Un impact fort peut impliquer le chiffrement de 80 % des fichiers, y compris de ceux qui servent à gérer le système d’information, avec des conséquences sur les applicatifs métiers. Les équipes et les soignants doivent alors fonctionner en mode dégradé. « Le nombre d’attaques par rançongiciel a diminué de 50 % par rapport à 2021 », précise néanmoins Emmanuel Sohier. Les cyberattaques à impact fort conduisent cependant à reconstruire le SI hospitalier. « Le principal enjeu est de gérer correctement les différents niveaux de sensibilité du SI, de cloisonner les différentes activités et de mieux sécuriser l’organe central, l’Active directory, qui va gérer l’accès aux différents systèmes et aux applications », détaille Emmanuel Sohier. Concrètement, il s’agit de ne pas reconstruire le SI à l’identique afin de ne pas avoir les mêmes vulnérabilités et failles qu’avant l’attaque.
Maintenir la sécurité du SI
Les hôpitaux peuvent cependant agir afin de prévenir de tels incidents. « La dimension importante pour le gestionnaire du système d’information est de maintenir en condition de sécurité les équipements, en particulier ceux qui sont exposés sur Internet. Les attaques visent en effet les équipements standards. Elles sont le plus souvent massives et ne ciblent pas forcément les hôpitaux », souligne Vincent Croisile. Ce qui signifie notamment de mettre à jour les équipements et les antivirus.
L’identification électronique des utilisateurs constitue aussi un point crucial. Celle-ci doit être à double facteur (un mot de passe et des seconds facteurs d’authentification comme un code à usage unique, un badge…). Un référentiel sur l’identification électronique a été publié et rendu opposable par un arrêté du 28 mars 2022. Il comporte une feuille de route pour les établissements de santé à mettre en œuvre entre le 1er juin 2022 et le 31 décembre 2025.
L’utilisation de messageries sécurisées de santé permet aussi d’augmenter le niveau de sécurité. « Il faut trouver le bon compromis entre les bonnes pratiques en termes de sécurité et le quotidien des utilisateurs. Il est donc nécessaire de bien analyser les risques mais aussi d’intégrer l’enjeu de l’ergonomie pour les utilisateurs afin de ne pas compliquer l’usage des applications et ainsi risquer que les règles de sécurité ne soient pas correctement appliquées », remarque Vincent Croisile.
Enfin, dans le cadre de la vague 2 du Ségur du numérique, l’ANS travaille sur les exigences de sécurité des applications qui seront utilisées par les hôpitaux. L’ANS et le CERT Santé mettent aussi à disposition des établissements de nombreuses ressources tel le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).
Magali Clausener
