« Dès que le numérique est présent, le cyber-risque doit être pris en compte ». Dès l’ouverture de la journée consacrée à la santé de l’European Cyber Week, Jérôme Tré-Hardy, conseiller régional de Bretagne, délégué à la cybersécurité, aux services numériques et aux données, a alerté les professionnels et étudiants présents. Du 16 au 18 novembre, cet événement réunissait à Rennes les principaux acteurs du monde cyber, qu’ils travaillent dans les secteurs de la mer, de l’armée, des smart cities, de la santé… Le dernier jour de cette 6ème édition était d’ailleurs dédié au monde de la santé et au risque cyber.
Le risque cyber augmente en France et ailleurs
« À tous les niveaux, on assiste à une explosion du risque cyber principalement via des rançongiciels. Tous les secteurs sont touchés, il n’y a pas d’immunité pour les établissements de la santé ou du social », a prévenu Christophe Millet, responsable cyber-risques pour l’assureur Sham. Dans tous les secteurs, le risque cyber croît et « les attaquants se structurent », a pour sa part constaté le vice-amiral d’escadre Arnaud Coustillière, président du pôle d’excellence Cyber. « Depuis 2017, on assiste à une envolée de la cybercriminalité qui comprend désormais des sabotages informatiques à grande échelle », a poursuivi le militaire, n’hésitant pas à parler « d’industrialisation des cyberattaquants » et même de « mafias ».
Le système de santé français n’est d’ailleurs lui-même pas épargné par ces groupes. Ainsi en 2020, 27 attaques sur des hôpitaux ont été enregistrées en France. « Le secteur de la santé compte, depuis le début de l’année 2021, une cyberattaque par semaine en moyenne », a précisé Christophe Millet. Pourtant, « les établissements de santé ne sont pas particulièrement visés, ils sont touchés comme les autres », avait indiqué, lors d’une interview préenregistrée, Jean-François Parguet, fonctionnaire de sécurité des systèmes d'information (FSSI). « La plupart du temps, les attaquants se rendent compte très tard qu’ils sont dans un établissement de santé », a complété Christophe Bidan, directeur du campus rennais de CentraleSupélec.
Le système de santé français n’est d’ailleurs lui-même pas épargné par ces groupes. Ainsi en 2020, 27 attaques sur des hôpitaux ont été enregistrées en France. « Le secteur de la santé compte, depuis le début de l’année 2021, une cyberattaque par semaine en moyenne », a précisé Christophe Millet. Pourtant, « les établissements de santé ne sont pas particulièrement visés, ils sont touchés comme les autres », avait indiqué, lors d’une interview préenregistrée, Jean-François Parguet, fonctionnaire de sécurité des systèmes d'information (FSSI). « La plupart du temps, les attaquants se rendent compte très tard qu’ils sont dans un établissement de santé », a complété Christophe Bidan, directeur du campus rennais de CentraleSupélec.
L’hôpital, secteur à risque
Lieu par essence ouvert, incluant une grande variété d’utilisateurs pas toujours formés à la sécurité, un système d’information construit sur des infrastructures classiques, une connexion internet, et des données sensibles relevant de la vie privée, « l’hôpital est un rêve pour les attaquants », a résumé Christophe Bidan. « En établissement de santé, les systèmes d’information regroupent une infrastructure réseau et bureautique, un système d’information métier administratif et un système d’information métier santé. Si ce dernier est très spécifique, les autres briques, et notamment les infrastructures bureautiques et réseaux, sont assez classiques et donc très vulnérables », a ajouté le spécialiste, en précisant que « les attaquants qui ne ciblent pas d’établissements particuliers se dirigeront donc naturellement vers ces infrastructures, sans même savoir à qui elles appartiennent ».
Pour Christophe Bidan, l’attaque par rançongiciel d’un établissement de santé se divise en quatre étapes : l’infiltration dans le système via un logiciel dédié et téléchargé par un utilisateur, l’exploration du système d’information et l’installation de nouveaux logiciels, la propagation dans le système d’information et enfin, l’attaque à proprement parler. « Les données sont alors indisponibles soit par chiffrement, soit par prise de contrôle de l’infrastructure réseau. Certaines peuvent aussi être exfiltrées », a-t-il expliqué, tout en rappelant que « l’objectif final reste le gain financier ».
Pour Christophe Bidan, l’attaque par rançongiciel d’un établissement de santé se divise en quatre étapes : l’infiltration dans le système via un logiciel dédié et téléchargé par un utilisateur, l’exploration du système d’information et l’installation de nouveaux logiciels, la propagation dans le système d’information et enfin, l’attaque à proprement parler. « Les données sont alors indisponibles soit par chiffrement, soit par prise de contrôle de l’infrastructure réseau. Certaines peuvent aussi être exfiltrées », a-t-il expliqué, tout en rappelant que « l’objectif final reste le gain financier ».
Plusieurs outils de prévention
Se prémunir de ce type d’attaques peut donc passer par plusieurs actions : former les utilisateurs afin de limiter les risques d’hameçonnage, notamment par mail, sauvegarder les données pour pouvoir les récupérer au plus vite, effectuer des audits réguliers pour visualiser le niveau de maturité de l’établissement, développer les outils de détection de l’intrusion, introduire la sécurité numérique dans les procédures d’acquisition de matériel… « Même si le Directeur du Système d’Information (DSI) est en première ligne, tous les services de l’hôpital sont concernés », a noté Christophe Nicolai, DSI du Groupe Hospitalier Paris Saint-Joseph.
Les professionnels intervenus au cours de cette journée étaient d’ailleurs unanimes sur « la nécessité de sensibiliser tous les acteurs de l’hôpital » aux risques informatiques. Le vice-amiral Arnaud Coustillière, lui, va même plus loin : « Pour répondre à une attaque cyber, il faut opter pour un mode de pensée militaire : s’entraîner à toutes les circonstances pour être prêt le moment venu ». S’appuyant sur des opérations de faux phishing, mais aussi et surtout sur l’entraînement à la gestion d’une situation de crise, ces démarches semblent bien s’imposer dans le milieu hospitalier. « À terme, l’enjeu pour nous est de passer d’un système de verrouillage extérieur à un système dit de “zero trust”, qui consiste à n’accorder sa confiance à aucun système, à distribuer soi-même les autorisations, à réguler les échanges et à être constamment à jour », a pour finir résumé Christine Pichon, DSI du CHU de Rennes.
Article publié dans l'édition de décembre 2021 d'Hospitalia à lire ici.
Les professionnels intervenus au cours de cette journée étaient d’ailleurs unanimes sur « la nécessité de sensibiliser tous les acteurs de l’hôpital » aux risques informatiques. Le vice-amiral Arnaud Coustillière, lui, va même plus loin : « Pour répondre à une attaque cyber, il faut opter pour un mode de pensée militaire : s’entraîner à toutes les circonstances pour être prêt le moment venu ». S’appuyant sur des opérations de faux phishing, mais aussi et surtout sur l’entraînement à la gestion d’une situation de crise, ces démarches semblent bien s’imposer dans le milieu hospitalier. « À terme, l’enjeu pour nous est de passer d’un système de verrouillage extérieur à un système dit de “zero trust”, qui consiste à n’accorder sa confiance à aucun système, à distribuer soi-même les autorisations, à réguler les échanges et à être constamment à jour », a pour finir résumé Christine Pichon, DSI du CHU de Rennes.
Article publié dans l'édition de décembre 2021 d'Hospitalia à lire ici.
Création d’un observatoire de cybersécurité en santé
Les hôpitaux de Dax et de Villeneuve-sur-Saône en février 2021, celui d’Albertville-Moûtiers en décembre 2020 ou encore le CHU de Rouen en 2019. Le nombre d’attaques contre les établissements de santé, et surtout leur médiatisation, n’en finit pas de croître. La prise en compte du risque cyber semble elle aussi se développer, avec plusieurs actions et directives au niveau national et régional. Ainsi, si en Bretagne, on a fait le choix de la mutualisation pour développer des outils de sécurité informatique, le gouvernement également déployé plusieurs outils, via le Ségur du Numérique en Santé et le plan cyber qui lui est rattaché. Le nombre d’Opérateurs de Services Essentiels (OSE) a ainsi été augmenté et leur accompagnement renforcé. Un observatoire permanent de la sécurité des systèmes d’information des établissements de santé (OPSSIES) sort progressivement de terre. Il devrait, entre autres, proposer des audits de sécurité aux établissements de santé, ciblant prioritairement les OSE.
Les hôpitaux de Dax et de Villeneuve-sur-Saône en février 2021, celui d’Albertville-Moûtiers en décembre 2020 ou encore le CHU de Rouen en 2019. Le nombre d’attaques contre les établissements de santé, et surtout leur médiatisation, n’en finit pas de croître. La prise en compte du risque cyber semble elle aussi se développer, avec plusieurs actions et directives au niveau national et régional. Ainsi, si en Bretagne, on a fait le choix de la mutualisation pour développer des outils de sécurité informatique, le gouvernement également déployé plusieurs outils, via le Ségur du Numérique en Santé et le plan cyber qui lui est rattaché. Le nombre d’Opérateurs de Services Essentiels (OSE) a ainsi été augmenté et leur accompagnement renforcé. Un observatoire permanent de la sécurité des systèmes d’information des établissements de santé (OPSSIES) sort progressivement de terre. Il devrait, entre autres, proposer des audits de sécurité aux établissements de santé, ciblant prioritairement les OSE.