En 2018, 1 hôpital sur 5 a été attaqué par des cyberpirates! Etablissements de santé avez-vous les anticorps contre ce type de virus?

De plus en plus connectés, les établissements de Santé, privés ou publics, sont devenus la cible n°1 des cybercriminels. Depuis octobre 2017, les structures de Santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs". Sur ces 18 derniers mois, 478 incidents ont été reportés (*) dont 5 ayant entraîné une « mise en danger patient avérée ».

INVIVOX : À l’heure de la dématérialisation des prescriptions, du dossier médical partagé ou encore de la télémédecine, quels sont les enjeux de la cybersécurité ?

Julien ESTEBANEZ :  Aujourd’hui, on est face à des déserts médicaux, avec un manque important de médecins généralistes et de radiologues, ce qui implique de mettre en place de la télémédecine, de la téléradiologie pour faire de la téléexpertise ou du télédiagnostic. Dès que nous sommes dans un mode d’échange et de partage, il faut que les données soient sur des canaux sécurisés et de préférence chiffrés pour éviter les attaques. Aujourd’hui, les données personnelles se vendent très cher. Si nous prenons l’exemple du secteur de l’assurance Santé, les compagnies d’assurance, si elles arrivaient à posséder le « profil patient » de leurs assurés, pourraient être amenées à changer le système de primes.  Les enjeux sont majeurs dans le domaine de la protection des datas.

« Les enjeux de la cybersécurité sont donc importants car le pétrole de demain sera la data. »

INVIVOX : Quels sont les risques pour les patients puis pour les personnels de Santé ?

J.E. : En mai 2018, le règlement général sur la protection des données (RGPD) a été instauré. Les établissements de Santé doivent s’y conformer. 15 000 plaintes environ ont été déposées au niveau national tous secteurs confondus, ce qui est assez énorme. Très peu d’amendes ont été distribuées au niveau de la commission nationale de l’informatique et des libertés (CNIL) mais elles peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Si les amendes sont aussi élevées, c’est pour que les établissements prennent conscience des enjeux. Le RGPD a été mis en place pour protéger les personnes mais aussi pour faire des statistiques au niveau européen, en assurant une anonymisation de la donnée entre celui qui l’a produit et la personne à qui elle correspond. Le but est de dissocier une personne physique de la donnée personnelle qui a été produite pour elle.

Dans le secteur de la Santé, la volonté affichée est de regrouper les data dans un système d’information partagé par plusieurs établissements. En effet, ces derniers se structurent en groupement hospitalier des territoires (GHT) autour d’un hôpital pivot qui centralise toutes les données. La loi stipule en matière d’hébergement que lorsqu’une donnée d’un établissement A va vers un établissement B, si l’établissement B n’est pas accrédité, il ne peut pas recevoir les données de l’établissement A. Nous comprenons donc que dans le cadre du GHT, l’établissement pivot doit être accrédité, ce qui est compliqué pour lui car il doit mettre en place des niveaux de sécurité avec des infrastructures assez importants. Il est donc beaucoup plus facile de mettre ces données dans un data center d’un hébergeur agréé par l’Asip Santé pour faciliter le partage des données. Prenons le cas du patient admis à l’hôpital, il doit donner son consentement éclairé. Il accepte donc de partager les données médicales le concernant, il est alors difficile pour lui de s’opposer par la suite à l’utilisation de ses informations. Il a par contre le droit de demander comment ses données sont protégées et stockées et quelles sont les données le concernant. Les données stockées chez les hébergeurs sont hautement confidentielles et personnes n’est autorisé à les consulter. Si le patient souhaite les consulter, l’hébergeur a recours à une procédure dite de « bris de glace ». C’est le médecin hébergeur qui va regarder et transmettre les données du patient. Il va aussi évaluer si le patient est apte psychologiquement à recevoir les informations, et si oui, il transmettra les données au patient. Si ces données sont volées, c’est pénalement punissable. Disponibilité, intégrité, confidentialité et traçabilité (DICT) sont des critères fondamentaux qui doivent être respectés ; c’est la base de l’hébergement des données de Santé. Les salariés des hébergeurs sont liés à la politique de sécurité de celui-ci. Dans leur contrat de travail, il est spécifié qu’ils n’ont pas le droit d’aller voir les données. Tous ces aspects sont abordés dans notre formation.

INVIVOX : Quelle est la porte d’entrée des cyberattaques ? 

J.E. : Les gros échanges de données qui se produisent passent par messagerie. Il existe deux messageries cryptées et agréées pour le secteur de la Santé. Le problème est que bien souvent certains professionnels de Santé n’utilisent pas ces messageries cryptées d’où la propagation des attaques. « Cher confrère, je t’envoie le dossier de Mr X avec son scanner en pièce jointe », ce type de mail envoyé par des messageries non cryptées entre confrères est une prise de risque. De plus, sans outils d’analyse pour savoir si la pièce jointe ne comporte pas un virus, ils mettent en danger tout le système d’information. Les grosses attaques de ransomware dans les hôpitaux ont eu lieu via des fichiers attachés comportant un virus et envoyés par des intervenants extérieurs à l’établissement hospitalier ; ce virus utilise une faille dans les systèmes qui est le partage de fichier. Une fois que ce virus utilise le partage de fichier, il se propage dans tout l’établissement et crypte automatiquement les données, le risque devient alors majeur.

INVIVOX : Quelle parade adopter pour les professionnels de Santé ?

J.E. : Utiliser une messagerie accréditée, mettre à jour leur système d’information, utiliser un antivirus et ne pas envoyer de pièces jointes sans les scanner avant.

INVIVOX : Une cyberattaque peut-elle arriver jusqu’au bloc opératoire ?

J.E. : Le souci majeur, que ce soit le bloc opératoire ou le scanner, ou l’IRM etc, est que les mises à jour ne sont pas faites régulièrement. Les industriels ont parfois du mal à mettre à jour les systèmes car cela nécessite des programmes, un plan qualité. Il leur faut parfois plus d’un an pour implémenter la version Windows 10, qui elle est supportée, alors que Windows 7 ne va plus l’être sous peu, par exemple. Nombreuses sont les versions de Microsoft obsolètes dans les établissements. Dans ce contexte, n’importe quel attaquant se met sur le système et trouve immédiatement la faille. 10 secondes suffisent pour attaquer un scanner et récupérer les données si les mises à jour ne sont pas faites. Tout système qui se trouve connecté au réseau de l’établissement représente un risque potentiel. Si le bloc opératoire utilise une connexion internet, le risque est présent. Dans les attaques du secteur de la Santé, 60% sont relatives à des fuites de données. Les origines de ces fuites de données sont à 70% dues au personnel médical, à 33% au personnel administratif et à 4% à la partie financière. La menace dans ce contexte de fuite de données est l’exploitation indue de privilèges, c’est-à-dire les mots de passe qui ne sont pas suffisamment forts, les erreurs de manipulation ou le vol de matériel, la non destruction des disques durs mis au rebut etc. Les vecteurs de menaces dans la fuite de données viennent à : 58% de l’interne, 32% de l’externe et 6% des partenaires. Le personnel des établissements de Santé doit être informé et formé pour contrer ces dangers. 

INVIVOX : D’après un rapport McAfee Labs Threats Report (décembre 2018) la Santé est devenue la première cible la plus attaquée devant les institutions publiques, est-ce faute d’une bonne protection ou car ces cibles sont stratégiques ?

J.E. : Les deux. Des datas aussi stratégiques que dans le secteur de la Santé se vendent sur le darknet (cyber espace où ont lieu toutes les transactions hors la loi comme l’achat de numéros de carte bleue par exemple). Votre adresse e-mail, votre numéro de Sécurité Sociale, votre date de naissance, rien que ces 3 informations peuvent se vendre jusq’à 1 euro. La population vieillit et elle consomme et comme elle consomme, les entreprises veulent connaître exactement le profil et les comportements de consommation de chacun. Ces informations peuvent être hautement stratégiques.

INVIVOX : En 2017, la cellule d’accompagnement cybersécurité des structures de Santé (ACSS) a été mise en place, l’Agence des systèmes d’information partagés de Santé (Asip Santé) a remonté 478 incidents déclarés par des structures de Santé (soit en 18 mois : 26,5 cas par mois), que doit-on en conclure ?

J.E. : Il y a une prise de conscience de l’importance de sécuriser les réseaux de la part des établissements de Santé et d’avoir des systèmes prédictifs c’est-à-dire de pouvoir analyser avant que l’attaque n’arrive. En France, nous sommes en retard, d’où l’intérêt de notre formation vers les cadres de Santé, les ingénieurs biomédicaux etc. car il est important de prendre conscience du risque élevé de cyberattaques. À ce jour aucun pays n’est mieux protégé qu’un autre. Les attaques viennent souvent du Moyen-Orient, des pays de l’Est et sont polyformes : espionnage, trafics illicites, déstabilisation, sabotage. L’espionnage est basé sur des techniques d’interception des communications à visée économique, technologique, politique. Les actions de cybercriminalité dans les années 90 étaient menées par des hackers isolés. Dans les années 2000, les réseaux de cybercriminalité se sont développés et professionnalisés. En 2010, sont apparus les bitcoins (monnaie virtuelle) associés à la mise en place de réseau d’anonymisation comme Tor qui ont créés un contexte propice à l’extension des cybermalveillance. Il y a eu des vols d’envergure comme celui des milliards de données des comptes Yahoo en 2013 et du ransomware en cryptant les données contre rançon. La cybercriminalité en tant que forme de déstabilisation et le sabotage informatique ont de l’avenir

INVIVOX : L’entrée en vigueur du règlement général sur la protection des données (RGPD) va t-elle permettre d’homogénéiser et remettre à niveau les systèmes de sécurité ?

J.E. : Non, le RGPD permet de prendre conscience qu’il faut protéger les systèmes et les données mais ne met pas en place les systèmes de sécurité, c’est à l’établissement d’élaborer sa politique de sécurité des systèmes de protection et de faire du préventif plutôt que du curatif. Cette politique de sécurité va être bâtie de manière à garantir la disponibilité, l’intégrité, la confidentialité et la traçabilité des données. Avec ces 4 critères, les établissements peuvent développer leur politique. Outre la mise en place de firewall (mur anti-feux), de logiciels anti-virus et d’autres barrières, il faut pouvoir installer un système prédictif d’analyse pour comprendre quelles sont ou quelles peuvent être les attaques dans l’établissement. Il faut anticiper. En fonction des attaques, la politique de sécurité doit être modifiée afin d’ajuster le système d’information quotidiennement (mise à jour des éditeurs de logiciels et des industriels) et en fonction des recommandations de l’autorité nationale en matière de sécurité et de défense des systèmes d’information (l’ANSSI).

INVIVOX : Une étude parue en 2018 et menée par le Club de la sécurité de l’information français (Clusif) sur les menaces et pratiques de sécurité en France dans le secteur de la Santé montre que la prise en compte de la cybersécurité avance mais pas encore assez vite, quels sont les freins selon vous ?

J.E. : Les établissements de Santé ne sont pas encore assez informés sur les risques potentiels des cyberattaques. Par exemple, l’ANSSI diffuse des guides, des formations mais cela s’adresse bien souvent à des PME-PMI. Il faut de l’information au niveau des utilisateurs (exemple d’un principe de base à connaître : ne jamais donner son mot de passe) et des directions des structures de soin. Un des intérêts de notre formation est de donner ces éléments de base pour que les directions générales puissent échanger avec les directions informatiques et que des réunions et des groupes de travail se mettent en place afin d’anticiper les attaques.

INVIVOX : Que pensez-vous du site cyberveille-sante.gouv.fr ?

J.E. : C’est très bien. Le bon réflexe est de se rapprocher de l’ANSSI qui donne de nombreux conseils dont les règles de bases aux utilisateurs. Ils peuvent faire des tests. Les hôpitaux doivent s’appuyer sur ce type d’organisation.

INVIVOX : Les professionnels de Santé sont-ils conscients des risques et agissent-ils concrètement pour sécuriser leurs réseaux ?

J.E. : Ils ne se rendent pas compte qu’en cas de ransomware, même les données qui sont sauvegardées, si elles sont en ligne, peuvent être vérouillées par le malware. Si l’ensemble des données d’un CHU sont chiffrées par un hacker, c’est très grave. Il y a eu 478 incidents déclarés en 18 mois, mais il y a ceux qui ne sont pas déclarés soit par manque de rigueur soit car l’établissement ne s’en aperçoit même pas. En cas de doute, l’établissement peut s’adresser à l’ANSSI qui va analyser la situation. La Direction générale de la sécurité intérieure (DGSI) peut également se déplacer dans l’établissement à travers des programmes de sensibilisation. Les établissements qui veulent savoir si leur système d’information est fiable font des tests d’intrusion mais ça n’est pas encore la norme pour tous. Ça n’est pas dans la culture de l’établissement de Santé. Les technologies évoluent et nous sommes dans un contexte d’échange et de partage. Depuis 5 ans avec les GHT, les échanges ont explosé, ce qui induit l’ouverture des établissements vers l’extérieur et par conséquent l’augmentation des risques. D’où l’importance de faire des tests d’intrusion pour voir si l’établissement est bien protégé.

INVIVOX : Devraient-ils élargir les procédures et imposer un cahier des charges à leurs fournisseurs, prestataires également ?

J.E. : Les failles se font aussi au travers des fournisseurs. Imposer des règles à des fournisseurs en fonction de sa politique de sécurité n’est pas encore dans les us et coutumes. Demain, nous serons confrontés à des milliards d’objets connectés qui sont de véritables « passoires » en termes de sécurité.

INVIVOX : Comment expliquez-vous la stratégie de Philips de proposer une formation consacrée à la cybersécurité au sein de son Institut de Formation à des personnels de Santé ?

J.E. : Je pense qu’il est important pour Philips d’avoir cette démarche. L’initiative est bonne car aujourd’hui, dans le domaine de la Santé, il y a pléthore d’objets connectés à internet dont il est même possible de prendre le contrôle à distance et c’est la porte ouverte aux attaques. La cyber sécurité commence seulement à faire son chemin dans les esprits. Il y une forme d’omerta. Les entreprises qui subissent des cyberattaques n’en parlent pas : se faire voler ses données nuit à la réputation de l’entreprise. En tant que fournisseur de matériel Philips a raison d’informer ses partenaires sur les risques cyber. Le marché de la cybersécurité est énorme car les enjeux sont économiques, politiques, stratégiques etc. D’autant plus que nous manquons de compétences. Il est important de sensibiliser les directions pour qu’elles intègrent la cyberdéfense dans leur plan d’investissements afin d’y intégrer notamment des outils gérant la partie prédictive, la cyberintelligence.

INVIVOX : Quel est le public visez-vous ? Directeur d’établissement, DAF, Responsable IT et biomédical, médecins libéraux etc. ? 

J.E. : Cette formation offre aux directions générales, aux directeurs informatiques de mettre à niveau leur connaissance des risques potentiels. Le service biomédical et le service informatique, à mon sens, devraient être réunis dans une même direction. Les problématiques liées à la sécurité des scanners, des irm, qui sont connectés au réseau méritent une stratégie globale nécessitant de travailler main dans la main.

INVIVOX : Quels sont les grands axes de cette formation ?

J.E. : Partager des notions de cybersécurité avec directions générales et les équipes opérationnelles pour la mise en place d’une bonne stratégie de sécurité de l’information. Les thématiques abordées sont : prendre les bonnes décisions en termes de politique de sécurité, pouvoir anticiper les risques de sécurité, savoir gérer les événements de sécurité en amont, être en conformité avec la législation. Nous aborderons les fondamentaux de la cybersécurité : quelles sont les menaces, quelles sont les organismes, les normes et standards, quelles sont les exigences de sécurité (critères communs DICT), qu’est-ce qu’une analyse de risque, une gestion des risques, puis nous aborderons la stratégie de sécurité (structure de gouvernance, périmètre de sécurité, stratégies de cyberdéfense, prévention et hygiène sécuritaire à adopter).

INVIVOX : Pensez-vous que ce type de formation va permettre de faire avancer les lignes plus rapidement face au manque de moyen qui semble être un des obstacles au déploiement de la cybersécurité ?

J.E. : Quand les établissements ont un budget, il doit être alloué par poste. Après cette formation, les priorités ne seront sans doute plus les mêmes grâce à la prise de conscience des risques. Dans le budget informatique, peut-être qu’avant d’investir dans des stations de travail, le responsable obtiendra un budget pour une analyse ou un test d’intrusion 

INVIVOX : Que vont pouvoir faire les participants après cette formation ? Convaincre leur chef d’établissement d’allouer un budget en urgence ? Ou savoir gérer la situation de crise suite à une cyberattaque ?

J.E. : Ils vont se dire : « et si ça m’arrivait, quelle serait ma responsabilité, comment justifier que je n’ai pas pris au préalable les bonnes mesures ? Une fois que les responsables sont informés, s’ils ne prennent pas de mesures, c’est qu’ils sont inconscients.

"« Cette formation est vraiment là pour faire prendre conscience des dangers et mettre en place des solutions pour éviter de se retrouver en mauvaise posture. »"
Share this article