La transformation numérique du secteur public de la santé avançant à grand pas, de bonnes pratiques se mettent en place pour faire face aux cybermenaces qui se multiplient.
“Innovation Santé 2030”, le volet santé de France 2030, lancé en 2021 par le gouvernement, prévoit un ensemble de mesures législatives et règlementaires et 7,5 milliards d’euros de budget. Les mesures destinées à « faire du numérique un levier de transformation de notre système de santé » sont déjà lancées. Elles concernent l’innovation, la constitution d’entrepôts de données de santé hospitaliers, et l’indispensable formation des soignants au numérique.
La transformation numérique de la santé publique nécessite une vision stratégique, explique Carla Gomes, directrice du marché santé chez Docaposte, filiale du groupe La Poste, éditeur, intégrateur et hébergeur de données de santé comptant 300 établissements de santé publics clients : « les établissements publics de santé doivent réfléchir à une stratégie de la donnée et coordonner les objectifs principaux de la digitalisation :
– améliorer le fonctionnement et les processus internes de l’établissement afin que les soignants passent plus de temps avec les patients : automatisation des tâches administratives gestion des lits…
– améliorer l’expérience de l’usager, ce qui passe par fluidification et la sécurisation du parcours patient : pré-admission en ligne, signature électronique des documents de consentement…
– favoriser l’exploration des données de santé dans une optique de recherche. »
La sécurité du SI est l’affaire de tous
Mais alors que la transformation numérique est en cours, les établissements de santé n’ont pas eu d’énormes budgets pour sécuriser leurs données et systèmes, et ont eu d’autres priorités pendant la crise de la Covid-19. Les cyberattaques se sont multipliées, par effet d’aubaine. De l’activisme antivax qui a ciblé l’application Tous Anti Covid et les systèmes de prise de rendez-vous pour la vaccination en passant par les ransomwares jusqu’à l’aspiration en masse de données, le secteur de la santé publique est menacé. « La sécurité du SI est l’affaire de tous », alerte Cédric Voisin, responsable de la sécurité informatique Doctolib lors d’un récent webinaire “cybersécurité & santé” organisé par Health & Tech Intelligence. « La menace sur la donnée est la plus grosse préoccupation du système de santé en France : une fois que la donnée a fuité, il n’y a plus aucun moyen de la révoquer. » Frans Imbert-Vier, expert en cybersécurité et président d’Ubcom, ajoute : « Une donnée de santé représente une valeur. Elle peut se vendre de 80 cents à 8 dollars sur le dark web à des databrokers dans des pays où le droit numérique n’est pas reconnu. Les réseaux de revente de données qui passent par des databrokers in fine atterrissent notamment chez des grands acteurs de la donnée et des industriels de la santé susceptibles de les utiliser à des fins de recherche ou de prospective. »
733 incidents de sécurité en 2021
L’année 2021 a été marquée par de nombreux incidents majeurs liés à des attaques par rançongiciel (CH de Dax, Villefranche-sur-Saône ou Arles) ou à l’exfiltration massive de données (AP-HP, la CNAM), selon CERT Santé, service national d’accompagnement des établissements de santé dans la veille sur les menaces de cybersécurité et la réponse à incident.
En 2021, 582 établissements ont déclaré 733 incidents de sécurité, soit pratiquement le double par rapport à 2020, dont 81,6 % dans le secteur public, selon « l’observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la santé 2021 » de CERT Santé. 60 % des structures ont indiqué que l’incident a eu un impact sur des données, qu’elles soient à caractère personnel, techniques ou relatives au fonctionnement de la structure. 46 % des incidents touchent plus d’une catégorie de données. 52 % des structures ont été contraintes de mettre en place en 2021 un fonctionnement en mode dégradé du système de prise en charge des patients (7 % de plus qu’en 2020). 11% des incidents ont de façon potentielle ou avérée, mis en danger les patients. Parmi les incidents déclarés, 52 % sont d’origine malveillante et 48 % d’origine non malveillante (bugs, dysfonctionnements…).
Plan de renforcement de la cybersécurité
Aussi le ministère des Solidarité et de la Santé a lancé en juillet 2021 un plan de renforcement de la cybersécurité, doté de 18 millions d’euros. Les agences régionales de santé (ARS) déclinent la politique ministérielle de cybersécurité autour de 4 axes :
– sensibiliser aux risques cyber ;
– faciliter le partage des pratiques et la mutualisation ;
– appuyer les structures de santé en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident.
– contrôler.
En août 2022, suite à l’attaque majeure de l’hôpital de Corbeil-Essonnes, 20 millions d’euros supplémentaires ont été alloués à la cybersécurité des établissements de santé.
Comment sécuriser son SI ?
Docaposte préconise d’avoir plusieurs couches de sécurité :
– mise en sécurité : audits, fausses portes ouvertes qui ne mènent nulle part pour décourager le hacker ;
– information et formation du personnel, les attaquants passant souvent par une défaillance humaine, tel un clic malencontreux sur une pièce jointe ;
– plan de continuité et de reprise d’activité, résilience, avec des sauvegardes déconnectées des systèmes d’information.
CERT Santé détaille les précautions à prendre :
– réduire les surfaces d’attaque en désactivant les comptes, protocoles et services non indispensables ;
– politique de mot de passe robuste ;
– renforcer les configurations et la sécurisation des accès ;
– améliorer le suivi des correctifs ;
– analyser régulièrement les journaux de ses équipements périmétriques ;
– vérifier la suppression des failles web classiques ;
– engager les prestataires sur le maintien en conditions de sécurité de leur infrastructure.
Pour Jean-Pierre Barré, directeur commercial de Wallix, éditeur français en cybersécurité, « le nerf de la guerre de la sécurité des établissements de santé est le budget. Si on donne du temps, des moyens humains et financiers à un responsable des systèmes d’information, il sécurise son établissement. Peu d’établissements ont les 3 variables en même temps, c’est là le problème. »