Décideurs. Vous avez déclaré dans le magazine Hospimédia que la santé était presque parvenue au niveau de sécurité auquel elle devrait être. Pourtant, en 2020, 27 hôpitaux français ont été la cible de pirates informatiques …
Vincent Trely. J’ai en effet été optimiste car nous sommes en réalité à la moitié du chemin. Les premiers secteurs à s’être numérisés avant la santé et qui ont subi les premières attaques dans les années 2000, étaient les secteurs de la banque, de l’assurance et de l’industrie de pointe. Ces activités ont aujourd’hui atteint un niveau de maturité et de sécurité tels qu’ils sont plus résilients. D’autres écosystèmes, comme la santé, les collectivités territoriales, les universités ainsi que les PME/PMI, ne s’y sont mis que plus récemment. Concernant le système de santé et les hôpitaux, il a fallu attendre 2013 pour commencer à parler de sécurité numérique, avec un premier grand programme financé par l’État qui exigeait des hôpitaux qu’ils aient une politique de sécurité, un plan de reprise d’activité ou encore une charte du bon usage des technologies numériques.
"Il a fallu attendre 2013 pour commencer à parler de sécurité numérique à l'hôpital"
Les hôpitaux se sont ainsi lancés dans la sécurisation de leurs systèmes d’information dans un contexte assez défavorable car la période 2013-2020 a été marquée par des restrictions budgétaires et des plans de retour à l’équilibre, le tout lié à la T2A [tarification à l’activité, Ndlr]. De plus, il existe de très fortes disparités entre les grands CHU dotés d’importantes équipes informatiques et de budgets appréciables et des hôpitaux de taille intermédiaire avec peu de moyens, qui n’ont pas mené beaucoup de chantiers pour se sécuriser.
Depuis, la santé a étendu sa surface numérique. Désormais, au sein d’un hôpital, 100% ou presque des fonctions métiers sont numérisées. Qu’il s’agisse du dossier patient, de l’imagerie, de la biologie, l’anapath ou de spécialités, en cardiologie notamment. La surface informatique est donc beaucoup plus étendue qu’il y a quelques années, ce qui explique que la santé soit devenue une cible pour les cyberpirates depuis 2018 au travers de ransomware ou de vol d’informations médicales.
Quelles sont les grandes typologies de cyberattaques ?
Il y a quatre grandes typologies d’attaques avec des finalités différentes. Tout d’abord, le cyber espionnage qui existe depuis toujours et dont les États-Unis sont le champion du monde assumé, via la NSA [National Security Agency, Ndlr], suivis par la Russie et la Chine. L’Europe est actuellement en train de se doter d’une force de cyberdéfense pour jouer enfin à armes égales avec les autres pays dans cette guerre économique. La deuxième typologie d’attaque est la cyberguerre, où les pays s’attaquent à coup de virus informatiques. Troisième typologie, celle de la cybercriminalité qui consiste à tirer le maximum de profits des données disponibles sur le Web par le biais des ransomware, vols de données et revente, combinés au chantage. Enfin, on trouve les cyberactivistes, ces personnes qui défendent des causes plus ou moins extrêmes, allant de la cause animale au djihadisme en passant par les suprémacistes blancs, et qui utilisent les systèmes numériques pour faire parler de leur cause.
La santé est devenue un nouveau terrain de jeu. Mais pourquoi s’en prendre à un hôpital ?
Pour les cyberpirates qui se trouvent généralement très loin géographiquement de leur cible, s’attaquer à un hôpital, une école ou une PME revient au même. Ils n’ont aucune empathie car ce qui les intéresse, c’est l’argent. Pourquoi s’en prendre à un hôpital ? Parce que les pirates sont fainéants et les SI hospitaliers beaucoup plus fragiles que ceux de Dassault ou de la Société Générale. Ces attaques peuvent donc rapporter gros sans trop d’effort. Chaque pays à sa politique en la matière. Les Américains sont assez pragmatiques et acceptent généralement de payer. En France, la doctrine est de ne pas payer. Le 26 octobre 2020, une cyberattaque contre un hôpital psychiatrique en Finlande a permis à des pirates informatiques de récolter les données privées de plus de 36 000 patients, répartis dans 25 centres de psychothérapie à travers le pays. Ces derniers ont refusé de payer la rançon. Les pirates, qui détenaient les coordonnées des patients, les ont appelés individuellement pour leur réclamer de l’argent, faute de quoi leur état de santé serait divulgué sur les réseaux sociaux !
" Un dossier médical se revend en moyenne 150 dollars l’unité sur le Darknet. Le moindre hôpital de province en compte environ 100 000 dans leur base"
Autre type d’attaque : le vol de données de santé et leur revente sur le Darknet à un prix exorbitant car ces datas intéressent les grands groupes pharmaceutiques, les compagnies d’assurance ou les groupes mutualistes. Un dossier médical se revend en moyenne 150 dollars l’unité sur le Darknet. Le moindre hôpital de province en compte environ 100 000 dans leur base. Une attaque avec exfiltration de ces dossiers de patients peut ainsi leur rapporter 15 millions de dollars ! Des officines peuvent également les racheter pour le compte de multinationales en appliquant dessus des algorithmes pour en tirer de l’information fine utile dans une démarche business.
S’agissant de la prise de contrôle à distance des appareils médicaux, le risque existe-t-il ?
Si un pirate parvient à pénétrer dans le système d’information d’un hôpital, il peut, certes, voler les données, mais rien de l’empêche de modifier les paramètres d’un appareil médical. En salle de réanimation, par exemple, les pousse-seringues sont automatisés. On peut donc imaginer ce que donnerait une attaque de ce type et le nombre de décès engendré… En 1998, un homme a ainsi tué sa femme et sa voisine de chambre à l’hôpital en modifiant, à distance, les paramètres des moniteurs d’alerte. Mais ce type de « cybermeurtre » est extrêmement rare.
Quelles bonnes pratiques déployer pour lutter contre les cyberattaques à l’hôpital ?
Il faut jouer sur deux volets, mais le nerf de la guerre reste le budget pour investir dans des parcs informatiques à jour et dotés d’un bon niveau de sécurité. Emmanuel Macron a annoncé pour cela un plan de 350 millions d’euros pour renforcer la cybersécurité en santé [à la suite des cyberattaques contre les hôpitaux de Dax et de Villefranche-sur-Saône, en février 2021, Ndlr].
"Au sein d’un groupe bancaire, vous disposez d’une dizaine de personnes dédiées à la cybersécurité. Dans les grands CHU français, une seule personne s’y consacre"
Reste maintenant à savoir qu’elle en sera la déclinaison opérationnelle. Le deuxième volet concerne les moyens humains. Alors que, au sein d’un groupe bancaire, vous disposez d’une dizaine de personnes dédiées à la cybersécurité, dans les grands CHU français, une seule personne s’y consacre. Ensuite, tout un travail de sensibilisation et de pédagogie doit être accompli autour des attaques pour expliquer les techniques de phishing, les faux mails ainsi que les bons usages. Et surtout, bien que cela soit contraignant au quotidien pour le personnel hospitalier, il faut expliquer que les mesures barrières contre les cyberattaques sont indispensables pour protéger leur outil de travail.
Propos recueillis par Anne-Sophie David