« NE VOUS POSEZ PLUS LA QUESTION DE SAVOIR SI VOUS ALLEZ ÊTRE ATTAQUÉ, mais plutôt quand ce sera le cas. » Cet avertissement courant chez les experts en sécurité informatique est sans appel : les cyberattaques sont devenues un danger permanent. Selon la Commission européenne, 80 % des entreprises d’Europe ont déjà été victimes de piratage informatique. Selon une étude du cabinet Gartner, d’ici 2020 plus de 60 % des entreprises devraient investir dans de nouveaux outils de sécurité des données (cryptage, audit…), contre 35 % aujourd’hui. Le secteur sanitaire, social et médico-social n’est pas épargné par la cybercriminalité. En 2016, près de 90 % des attaques « ransomware » dans le monde ont visé des établissements de santé. Le ministère de la Santé soulignait alors que les incidents informatiques pouvaient avoir « un impact substantiel dans la sécurité des soins » ainsi que des conséquences économiques importantes. « Les cybercriminels ne s’en tiennent plus seulement au vol de données bancaires. Alors que les cartes et les comptes bancaires peuvent être rapidement bloqués et remplacés, ce n’est pas le cas pour les données médicales pouvant inclure des informations personnelles sensibles (noms de famille, numéro de sécurité sociale ou de retraite, données d’assurance, historique des adresses des patients…) », rappellent Michel Benedittini et Cyril Nalpas, experts en cybersécurité à la Compagnie européenne d’intelligence stratégique. Et de poursuivre : « Le secteur de la santé fait face aux mêmes menaces et risques que toute organisation fortement numérisée, mais également à des risques spécifiques à ses divers domaines d’action. Par ailleurs, ses caractéristiques le rendent particulièrement vulnérable, et donc une cible de choix : il est par nature très ouvert sur le monde pour relier les acteurs publics et privés de la santé, aussi nombreux que variés, et les patients ; les systèmes numériques et les architectures qui les relient, de natures et d’âges très variés, ont rarement été sécurisés “by design”, et sont bien souvent difficiles à protéger ; les budgets considérables que brasse le secteur médico-social sont très attractifs pour les cybercriminels ; et, enfin, l’impact psychologique d’une attaque sur un établissement de santé en fait une cible idéale. Une attaque ciblant le secteur de la santé, ou l’atteignant même s’il n’en est pas la cible, une défaillance ou un dysfonctionnement pourraient perturber, outre son fonctionnement et son modèle économique, la prise en charge des patients, les diagnostics, l’organisation des soins, voire les soins eux-mêmes, mettant ainsi directement en danger la vie des patients. Déjà insupportables à l’échelle d’un centre de santé, ces risques pourraient engendrer une catastrophe majeure au niveau national du fait de l’interconnexion des systèmes. » Le ver informatique Conficker, qui avait bloqué quelques centres hospitaliers français fin 2008, ou encore le rançongiciel WannaCry, qui a paralysé les services de santé britanniques pendant plusieurs jours de mai 2017, illustrent que la menace est bien réelle.
Alors que les pirates partent à l’abordage des systèmes informatiques, les organismes gestionnaires d’établissements et services sociaux et médico-sociaux (ESSMS) ne semblent pas avoir pris la pleine conscience de ce risque. Le hacking est-il un fantasme ou une réalité pour le secteur ? « Il y aurait davantage d’intérêts médiatiques pour des pirates informatiques à rendre indisponible le système informatique d’un centre hospitalier ou à lui voler sa base de données d’un demi-million de patients que de voler une base de données de 30 000 résidents d’un groupe de maisons de retraite », reconnaît Vincent Trély, président-fondateur de l’Association pour la promotion de la sécurité des systèmes d’information de santé (Apssis). « Toutefois, la menace existe, car pour pouvoir diffuser des virus, des “malwares”, des “fake news”, il y a un énorme trafic, une forte recherche de bases de données d’e-mails. Récupérer 1 500 e-mails par-ci, 4000 e-mails par-là, d’établissements sociaux et médico-sociaux fragiles et mal protégés est tout à fait envisageable », poursuit-il.
Entre février et juillet 2017, un établissement d’hébergement pour personnes âgées dépendantes (Ehpad) public autonome de 83 lits en Isère, qui ne dispose pas d’un service informatique en interne, a subi trois intrusions informatiques dans son système soins et administration. Les causes probables identifiées de cette faille informatique ? Les connexions extérieures telles que celles des médecins traitants depuis leur cabinet, de la pharmacie d’officine, ou encore un mail infecté ouvert ou une clé USB infectée. Autre exemple : un Ehpad nantais de 80 lits a été victime, en juillet 2018, d’une attaque d’un cryptolocker. Le préjudice est important : entre deux et quatre mois de données perdues telles que les fichiers de travail présents sur le serveur, la facturation des résidents, les données comptables et salariales. « Le moindre établissement social ou médico-social a aujourd’hui trois ou quatre applications sensibles : un dossier résident informatisé comprenant des données de santé, une application d’admission et de gestion des lits et un logiciel “ressources humaines” avec les informations de paie et les données personnelles. Contrairement aux établissements de santé, ces structures ne disposent pas du personnel suffisant pour gérer la sécurité informatique. Si la donnée de santé est ultra-secrète en France, elle n’est pas différenciée : un compte rendu opératoire d’une tumeur du cerveau a la même valeur que la prescription médicale d’un résident d’un petit Ehpad. Toute structure de santé est totalement responsable de l’absolue confidentialité des données qu’elle gère. En clair, le médico-social a les mêmes obligations et responsabilités qu’un CHU sans avoir les mêmes moyens », rappelle Vincent Trély.
L’élément humain est et restera toujours le maillon faible de la sécurité informatique d’une entreprise. Très souvent, ce sont les utilisateurs eux-mêmes – les professionnels ou les intervenants extérieurs – qui sont la principale source de risque pour les organisations sociales et médico-sociales. Et ils le sont d’autant plus qu’ils ne sont pas sensibilisés aux comportements à risque pour la sécurité informatique : prêter son mot de passe, laisser des sessions ouvertes, envoyer par mail des informations non protégées, cliquer sur un mail douteux… Aujourd’hui, les ESSMS ne sont pas suffisamment en pointe sur les recommandations d’hygiène informatique. Combien d’entre eux ont-ils pris le soin d’annexer une charte informatique au règlement intérieur et de sensibiliser le personnel à la confidentialité et à la sécurisation des informations ?
Depuis l’entrée en application du règlement général sur la protection des données (RGPD), le 25 mai 2018, les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. Le secteur médico-social devra s’en préoccuper rapidement, car le RGPD va notamment les obliger à prévenir la Commission nationale de l’informatique et des libertés (Cnil) et l’usager sous 72 heures en cas de violation de données. Par ailleurs, des sanctions financières importantes sont prévues pour les entreprises qui ne respecteront pas leurs obligations. En novembre dernier, la première sanction est tombée : un hôpital portugais a écopté de 400 000 € d’amende pour manquement au règlement européen. « En France, les amendes finiront par arriver même si elles ne seront pas à hauteur de 4 % du chiffre d’affaires ou de 20 millions d’euros comme prévu dans le règlement européen pour le médico-social. Si la Cnil devait constater un non-respect des obligations du RGPD dans un établissement médico-social, une amende de l’ordre de 20 000 € à 50 000 € serait tout à fait possible », considère Vincent Trély. « Aujourd’hui, il ne suffit pas d’avoir une installation informatique qui fonctionne. Elle doit être sécurisée, conforme à des lois et à des règles, au RGPD, à la mise en œuvre de sécurités opérationnelles. La santé s’est informatisée très vite, massivement, en mettant assez peu de contraintes sur les professionnels de santé. Le système concernant la protection des données de santé est en train de se durcir. Les établissements médico-sociaux avaient déjà des soucis dans la maîtrise de leur informatique. Ils étaient très captifs des éditeurs, rencontraient des difficultés pour avoir des ressources internes à mobiliser sur les logiciels, la contrainte de confier les serveurs et des réseaux à des prestataires extérieurs, et aujourd’hui ils vont se trouver confrontés à des difficultés de mise en conformité », analyse-t-il. Face à une cybermenace croissante, à des exigences de sécurité informatique croissante très éloignée du cœur de métier et des compétences en interne des ESSMS, le président de l’Apssis augure une externalisation à moyen terme de l’informatique des structures du secteur. « Ils n’ont aucune chance et aucun intérêt économique à prendre la responsabilité de la sécurité de leurs systèmes d’information alors que pour 15 000 € ou 20 000 € par an un éditeur leur proposera une solution intégrée dans un “cloud”. Tout ce qui est serveurs, machines, hardware, supervision, gestion des anti-virus sera externalisé. Les établissements ne pourront pas s’exclure de l’ensemble des responsabilités mais ils vont déléguer contractuellement une forte partie de la responsabilité de la sécurité à leurs hébergeurs, eux-mêmes certifiés, agréés par l’Etat. Pour sécuriser l’informatique, il n’y a pas d’autre voie que de l’externaliser vers des sociétés dont c’est le métier, mais cela ne dispense pas les établissements d’un travail de sensibilisation et d’information de leurs salariés sur les comportements à risques en matière de sécurité informatique », explique-t-il. Pour Michel Benedettini et Cyril Nalpas, la menace sur la sécurité des systèmes d’information va donner un coup d’accélérateur aux groupements hospitaliers de territoire (GHT). « Un établissement support assure ainsi diverses fonctions au profit des autres établissements du groupement, parmi lesquelles notamment la fonction achat et la mise en œuvre du système d’information hospitalier (SIH). Cette mutualisation des moyens, des ressources et des outils numériques permettra de disposer d’une infrastructure commune et de briques applicatives identiques au sein de chaque GHT, facilitant ainsi la cybersécurisation des établissements, notamment des plus petits qui ne disposaient pas d’une expertise SI et SSI suffisante. »
La plateforme gouvernementale www.cybermalveillance.gouv propose en téléchargement gratuit le premier volet d’un kit de sensibilisation à la sécurité informatique. Il vise à « sensibiliser aux questions de sécurité du numérique, à partager les bonnes pratiques dans les usages personnels, et de manière vertueuse, à améliorer les usages dans le cadre professionnel ». Une série de vidéos et de fiches pratiques traitent de quatre thèmes : le hameçonnage par mail, la gestion des mots de passe, la protection des téléphones mobiles et la sécurité des usages personnels et professionnels. Distribués sous une licence libre, les contenus de ce kit peuvent être utilisés pour servir de supports à des actions de formation.