Les hôpitaux ont représenté, à eux seuls, 11 % des cyberattaques recensées en France en 2020. Une tendance qui semble s’amplifier en 2021, avec six attaques d’envergure en deux mois seulement, poussant l’État à prendre des mesures pour sécuriser les systèmes informatiques des établissements de santé français. Nous y reviendrons dans ce dossier. Il faut dire que les hôpitaux partent de loin. Dès les débuts des années 2000, ils ont initié leur transition numérique, incités en ce sens par les pouvoirs publics. Un virage pris avec plus ou moins de bonheur, mais qui leur a permis de moderniser peu à peu leurs outils de production, tout en s’ouvrant progressivement aux autres acteurs de santé de leur territoire. Dossier patient informatisé, équipements biomédicaux, gestion des laboratoires, de l’imagerie, de la pharmacie, de la stérilisation ou encore des entrepôts, robotique, ils font chaque jour un pas de plus vers le tout-connecté. Mais, malgré leur dépendance croissante au numérique, un angle mort demeure : la cybersécurité.
Dans un secteur où les budgets sont notoirement sous tension, il y a toujours eu des investissements plus urgents que l’informatique, qui a donc été mise en place par briques successives – ce déploiement par paliers, qui complexifie la mise en œuvre d’une stratégie cybersécurité transversale, n’est d’ailleurs pas étranger au faible niveau de sécurisation des systèmes d’information hospitaliers. Par ailleurs, au sein-même de l’informatique, il y a régulièrement des pôles perçus comme plus importants que la sécurité, qui a donc rarement fait l’objet d’un plan de financement dédié. Corollaire de ce sous-investissement chronique : la multiplication des vulnérabilités, que des pirates sans grand sens moral vont se dépêcher d’exploiter. Cherchant à décrire l’état actuel de l’informatique hospitalière, Max Heinemeyer, qui travaille entre autres à la protection du National Health Service (NHS), l’agence publique de santé au Royaume-Uni, avait retenu cette image particulièrement parlante, rapportée par le journal La Dépêche en février dernier : « C’est comme si vous étiez sur un bateau avec cent fuites ».
Dans un secteur où les budgets sont notoirement sous tension, il y a toujours eu des investissements plus urgents que l’informatique, qui a donc été mise en place par briques successives – ce déploiement par paliers, qui complexifie la mise en œuvre d’une stratégie cybersécurité transversale, n’est d’ailleurs pas étranger au faible niveau de sécurisation des systèmes d’information hospitaliers. Par ailleurs, au sein-même de l’informatique, il y a régulièrement des pôles perçus comme plus importants que la sécurité, qui a donc rarement fait l’objet d’un plan de financement dédié. Corollaire de ce sous-investissement chronique : la multiplication des vulnérabilités, que des pirates sans grand sens moral vont se dépêcher d’exploiter. Cherchant à décrire l’état actuel de l’informatique hospitalière, Max Heinemeyer, qui travaille entre autres à la protection du National Health Service (NHS), l’agence publique de santé au Royaume-Uni, avait retenu cette image particulièrement parlante, rapportée par le journal La Dépêche en février dernier : « C’est comme si vous étiez sur un bateau avec cent fuites ».
Des cyberpirates qui se professionnalisent
« Pour les organisations du monde de la santé, la question n’est pas de savoir si elles vont se faire attaquer, mais quand », avait prédit en 2014 Lynne A. Dunbrack, vice-présidente des recherches à l’institut IDC Health Insights. D’aucuns l’ont jugé trop alarmiste. La suite lui a rapidement donné raison. L’année 2015 a ainsi été qualifiée d’« année du hack des hôpitaux » : les tentatives d’intrusion dans les systèmes d’information hospitaliers ont bondi de 600 % en douze petits mois, d’après les calculs de Websense, une agence de cybersécurité travaillant pour le ministère américain de la défense. 2017, elle, a véritablement fait l’effet d’une annus horribilis : au printemps, le rançongiciel WannaCry avait paralysé plus de 300 000 entreprises, dont des hôpitaux et des laboratoires pharmaceutiques américains, contre une rançon en cryptomonnaies. Le NHS britannique avait également été sévèrement touché : seize hôpitaux à l’arrêt, des scanners et IRM infectés, et des milliers d’interventions suspendues. Selon le cabinet Forinet, les hôpitaux américains ont subi cette année-là 32 000 attaques par jour, contre 14 300 en moyenne pour les autres principaux secteurs industriels.
En 2019, nouveau coup d’accélérateur : dans une enquête menée par Carbon Black, un spécialiste de la cybersécurité, auprès de plusieurs organismes de santé dans le monde, la majorité (83 %) des structures interrogées a indiqué avoir constaté une augmentation des cyberattaques au cours de l’année. Pour les deux tiers (66 %), celles-ci étaient aussi devenues plus sophistiquées. Les cybercriminels, s’ils ne sont peut-être pas plus nombreux, sont assurément mieux organisés. Ils se sont même professionnalisés, constituant de véritables petites entreprises du crime, parfois soutenues en sous-main par des États que l’on peut certainement ici qualifier de voyous. Nous sommes loin du hacker isolé qui lance une opération d’ampleur à partir de sa cave.
En 2019, nouveau coup d’accélérateur : dans une enquête menée par Carbon Black, un spécialiste de la cybersécurité, auprès de plusieurs organismes de santé dans le monde, la majorité (83 %) des structures interrogées a indiqué avoir constaté une augmentation des cyberattaques au cours de l’année. Pour les deux tiers (66 %), celles-ci étaient aussi devenues plus sophistiquées. Les cybercriminels, s’ils ne sont peut-être pas plus nombreux, sont assurément mieux organisés. Ils se sont même professionnalisés, constituant de véritables petites entreprises du crime, parfois soutenues en sous-main par des États que l’on peut certainement ici qualifier de voyous. Nous sommes loin du hacker isolé qui lance une opération d’ampleur à partir de sa cave.
Le temps de l’inertie semble derrière nous
Or, comme nous venons de le voir, les investissements sur le champ de la cybersécurité sont pour le moins modestes dans le monde médical, dont ce n’est pas là le cœur de métier. Les banques, par exemple, ont longtemps été les cibles préférées des cyberpirates. Mais elles ont, depuis, considérablement musclé leur sécurité, complexifiant d’autant la tâche des hackers qui ont tout naturellement cherché un nouveau marché moins rodé à cette problématique – et qui s’est révélé être plus lucratif. Une attaque réussie sur un hôpital ou tout autre organisme de santé, laboratoire de biologie médicale, SAMU, etc., marque les esprits. Des vies peuvent être en jeu. Surtout, les données de santé sont aujourd’hui un graal particulièrement recherché : leur valeur a explosé sur le marché noir, pour de nombreuses raisons que nous aborderons quelques pages plus loin.
Avec des systèmes informatiques constitués de programmes hétérogènes (entre 300 et 400 par établissement !) et pas toujours mis à jour pour, entre autres, éviter des problèmes d’incompatibilités, des parcs de machines connectées mais peu protégées, des personnels encore trop peu formés aux questions de cybersécurité – alors même qu’il s’agit du principal maillon faible –, et des gisements de données médicales valant leur pesant d’or, les hôpitaux sont aujourd’hui plus que jamais des cibles de choix aux yeux des cyberpirates. Ceux-ci sont des criminels comme les autres : face à une porte fermée, ils vont essayer de passer par la fenêtre. Les établissements de santé doivent donc apprendre à se défendre. Mais ils ne peuvent mener ce combat seuls. Ils ont besoin d’un coup de main financier conséquent, et les pouvoirs publics se sont engagés en ce sens. Ceux qui les équipent et les fournissent ont également des efforts à faire. En 2019, les Implants Files, une enquête collective de dix mois réalisée par près de 260 journalistes, avait mis en lumière les failles profondes dans la règlementation et le contrôle des dispositifs médicaux mis sur le marché. Parmi ces dysfonctionnements, la vulnérabilité aux attaques informatiques était par exemple systématiquement aux abonnés absents – fort heureusement, le piratage d’un dispositif médical reste, à ce jour, une opération assez complexe. Manque de clairvoyance du régulateur et des autres agences publiques, intérêt peu marqué des fabricants pour la sécurité effective de leurs produits, financements faibles ou inexistants de la part des hôpitaux, soutien très superficiel de l’État, l’inertie en matière de cybersécurité en santé a longtemps été générale. La tendance semble s’inverser, et on ne peut que s’en féliciter.
Avec des systèmes informatiques constitués de programmes hétérogènes (entre 300 et 400 par établissement !) et pas toujours mis à jour pour, entre autres, éviter des problèmes d’incompatibilités, des parcs de machines connectées mais peu protégées, des personnels encore trop peu formés aux questions de cybersécurité – alors même qu’il s’agit du principal maillon faible –, et des gisements de données médicales valant leur pesant d’or, les hôpitaux sont aujourd’hui plus que jamais des cibles de choix aux yeux des cyberpirates. Ceux-ci sont des criminels comme les autres : face à une porte fermée, ils vont essayer de passer par la fenêtre. Les établissements de santé doivent donc apprendre à se défendre. Mais ils ne peuvent mener ce combat seuls. Ils ont besoin d’un coup de main financier conséquent, et les pouvoirs publics se sont engagés en ce sens. Ceux qui les équipent et les fournissent ont également des efforts à faire. En 2019, les Implants Files, une enquête collective de dix mois réalisée par près de 260 journalistes, avait mis en lumière les failles profondes dans la règlementation et le contrôle des dispositifs médicaux mis sur le marché. Parmi ces dysfonctionnements, la vulnérabilité aux attaques informatiques était par exemple systématiquement aux abonnés absents – fort heureusement, le piratage d’un dispositif médical reste, à ce jour, une opération assez complexe. Manque de clairvoyance du régulateur et des autres agences publiques, intérêt peu marqué des fabricants pour la sécurité effective de leurs produits, financements faibles ou inexistants de la part des hôpitaux, soutien très superficiel de l’État, l’inertie en matière de cybersécurité en santé a longtemps été générale. La tendance semble s’inverser, et on ne peut que s’en féliciter.
Article publié dans le numéro de mai d'Hospitalia à consulter ici