Santé : comment rentrer dans l’ère de la cybersécurité ?

Centre hospitalier de Dax, groupement hospitalier des territoires de Dordogne, Hôpital de Villefranche-sur-Saône mais aussi Clinique de l’Anjou ou du Grésivaudan (Isère), on ne compte plus aujourd’hui le nombre d’hôpitaux ou de centres médico-sociaux ayant subi des cyberattaques.

 

Depuis le 1er Octobre 2017, le Ministère de la Santé et des Solidarités s’est engagé dans la lutte contre les cyberattaques dans le secteur de la Santé, en mettant en place une stratégie nationale de sécurité numérique.

 

L’objectif de cette stratégie est la mise en place d’un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information des structures de santé. Pour cela, le Ministère s’est appuyé sur l’Agence du Numérique en Santé (ANS), et a lancé plusieurs campagnes de communication, comme le #TousCybervigilants! L’Agence du Numérique en Santé (ANS) en a même fait sa devise : « A l’hôpital, le numérique est partout. Ensemble, rendons le plus sûr. »

 

Cette dynamique mise en place par le Ministère fait également suite à la mise en application du Règlement Général de Protection des Données (RGPD), qui encadre le traitement des données à caractère personnel sur le territoire de l’Union Européenne, renforçant le besoin de protection des données traitées, a fortiori par les établissements de santé, eu égard à la sensibilité des données manipulées.

 

Les attaques dans le monde hospitalier ne sont pas nouvelles, mais elles se sont accélérées pendant la crise du Covid : le président de la Fédération Hospitalière de France (FHF) déclarait à ce propos en février que les attaques avaient augmenté de 255% en 2020 par rapport à 2019. On dénombre 27 attaques majeures contre des hôpitaux en 2020, et presqu’une par semaine en 2021 avec une recrudescence des attaques de type ”Rançongiciel”

 

Ces attaques revêtent deux formes d’atteinte :

 

• Le « simple » chiffrement du système d’information, liée à une demande de rançon pour obtenir la clé de déchiffrement

 

• Un vol de données suivi d’un chiffrement liés à une demande rançon pour obtenir la clé et/ou ne pas faire fuiter des données sensibles

 

Cette rançon peut prendre des formes variées en sollicitant soit les établissements, soit les patients concernés, comme cela a pu se passer en Finlande en octobre dernier, où les traitements confidentiels de dizaines de milliers de patients en psychothérapie ont été divulgués en ligne.

 

La cybersécurité est un défi à multiples enjeux pour les entreprises comme pour les établissements de santé. C’est aujourd’hui un objectif stratégique afin d’éviter de graves impacts sur le bon fonctionnement du système de santé : Impacts qui peuvent avoir des conséquences importantes comme la non prise en charge de nouveaux patients, la déprogrammation de soins, l’absence de suivi des prises médicamenteuses mais peut avoir également des impacts financiers conséquents pour les établissements.

 

Il est donc impératif aujourd’hui pour les établissements de santé d’être en mesure non seulement de se protéger et de savoir réagir en cas de cyberattaque, mais aussi de répondre aux règlementations, tel que le RGPD.

 

Depuis 2019, le Ministère des Solidarités et de la Santé, par le Ségur de la Santé, a engagé un travail de mise à niveau des systèmes d’informations du monde hospitalier, pour une somme s’élevant à 350 millions d’€uros. L’Agence Nationale de la Sécurité des Systèmes d’Information a dédié également 25 millions d’€uros de sa propre enveloppe budgétaire à la sécurisation des établissements de santé pour la réalisation d’audits et d’accompagnement de la démarche de cyber sécurisation.

 

Les enjeux pour les établissements de santé sont d’avoir une visibilité sur le niveau de sécurité de leur patrimoine informationnel, en identifiant le niveau de risque et les mécanismes de protection ou de détection à compléter afin d’assurer la sécurité des données. Il s’agit également de mettre en place une gouvernance sécurité et des points de contrôles, afin de pouvoir piloter ces sujets dans le temps.

 

La réponse à ces défis ne peut se faire sans une connaissance approfondie par les établissements de leur système d’information global, et l’obtention d’une vision 360°, tant d’un point de vue logiciels que d’un point de vue gouvernance. Or aujourd’hui, peu d’établissements peuvent se targuer d’avoir une vision 360° de leur niveau de sécurité, et encore trop peu d’établissements ont lancé les démarches pour obtenir un plan d’amélioration sur les plans opérationnel et de gouvernance.

 

Il est donc plus que jamais nécessaire pour les établissements de santé d’évaluer leur niveau de sécurité, afin d’identifier les vulnérabilités exploitables en cas de cyber-attaques, et de s’assurer que le risque de fuite d’information ou d’interruption de service est correctement maîtrisé, afin d’éviter les scénarios qu’ont connu les établissements cités plus hauts.

 

 

• Evaluer la maturité en termes de cybersécurité de l’établissement, sur la base de référentiels SSI, complété par des tests techniques (audit cyber et tests d’intrusion) ;

 

• Estimer les niveaux d’exposition et évaluer le risque cyber ;

 

• Définir et mettre en œuvre d’un plan de remédiation priorisé au regard des risques et enjeux de l’établissement ;

 

• Auditer le niveau de conformité en matière de protection des données personnelles pour se mettre en conformité au RGPD.

L’équipe Magellan s’appuie sur plus de 10 ans de pratique et plus d’une centaine de clients dont de nombreux dans le secteur de la santé (GIP, ARS, GCS, établissements de santé publics et privés, etc.). Notre force est notre double culture, à la fois audit et conseil sur les enjeux de cybersécurité et de conformité, associées à une connaissance éprouvée et reconnue du monde de la santé.

 

Notre approche se veut pragmatique et collaborative : pragmatique car elle doit s’intégrer dans le contexte de l’établissement de santé cible, sa stratégie et ses méthodes, et collaborative par la mise à disposition d’outils prêts à l’emploi (guides d’entretien, guides d’analyse) basés sur des référentiels cybersécurité parmi les meilleurs du marché (NIST, ISO 27002, Guide d’Hygiène de l’ANSSI, etc), et sur les exigences du RGPD, parfaitement maîtrisées par nos consultants. Nous sommes également en cours de qualification PASSI.

Cette tribune a été rédigée par Dominique Pourchet, Associé en charge de notre Sécurité