Quels arbitrages pour la sécurité des hôpitaux ?

Quels arbitrages pour la sécurité des hôpitaux ?

Depuis 2020, le nombre de cyberattaques a augmenté, et les hôpitaux sont loin d’être épargnés. Quelles sont les solutions envisagées pour favoriser la cybersécurité des établissements de santé publics en France ?

 

À droite, Jean-Noël DE GALZAIN, Président d’HEXATRUST et PDG de Wallix et à gauche, Guillaume TISSIER, Associé Avisa Partners – CEIS

 

Centre hospitalier de Corbeil-Essonnes, Hôpital André-Mignot de Versailles, Hôpital de Cahors… Nombreux sont les établissements de santé publics à avoir été touchés par des cyberattaques au cours de l’année 2022. En 2021, l’Agence du Numérique en Santé dénombrait déjà 730 déclarations d’incidents cyber sur des hôpitaux publics (contre 369 en 2020). On observe une augmentation des attaques envers les établissements publics de santé, et cela peut s’expliquer par le fait la plupart de ces agressions ne sont en réalité pas ciblées. Les cybercriminels utilisent des listes d’adresses IP, et, par hasard, il peut arriver que celle d’un établissement de santé se trouve parmi elles. Devant ce phénomène préoccupant, l’État a défini une stratégie nationale de cybersécurité à destination des établissements de santé et médico-sociaux. Cette stratégie prévoit une enveloppe d’au moins 350 millions d’euros pour le numérique et la cybersécurité, mais les hôpitaux restent dépassés par le risque qui pèse sur eux. Ces fonds pourraient s’avérer inefficaces si une solution adaptée n’est pas trouvée pour ce secteur si particulier.

Ce problème a fait l’objet d’une table ronde intitulée « Quels arbitrages pour la cybersécurité des hôpitaux ? » lors de la dernière édition du FIC Europe (International Cybersecurity Forum), un évènement dont Hexatrust était le partenaire principal. Au cours de cette discussion, Jean-Noël de Galzain (Président d’Hexatrust), Igli Tashi (RSSI au sein de la Fédération des Hôpitaux Vaudois Informatique – FHVI), Laurent Treluyer (Directeur des Services Numériques de la SNC AP-HP) et Auriane Lemesle (Référente Régionale SSI Santé de la GRADES e-santé Pays de la Loire) ont pu exposer leur point de vue sur le sujet. Les établissements de santé ne sont pas des entreprises comme les autres, et différents problèmes et solutions ont été abordés lors de cet échange. Comment accompagner les établissements de santé dans leur démarche de cybersécurité ?

 

Un risque cyber sous-estimé par les établissements de santé

L’un des principaux problèmes soulevés par les intervenants au cours de la table ronde réside dans le fait que les hôpitaux publics peinent à s’équiper convenablement et à maintenir leurs systèmes d’information en bonne santé. « Dans un hôpital, l’informatique est très souvent considérée comme une commodité », souligne Igli Tashi, RSSI (CISO) au sein de la Fédération des Hôpitaux Vaudois Informatique (FHVI). Les quatre invités ont déploré le fait que le risque cyber n’était pas assez pris en compte au sein du milieu hospitalier, d’autant plus qu’une cyberattaque d’ampleur pourrait avoir des conséquences importantes, notamment en ce qui concerne la prise en charge des patients. Le risque bâtimentaire est également mal connu des directions. Pourtant, le bon fonctionnement d’un hôpital est extrêmement dépendant d’équipements électroniques reliés au système d’information, comme le précise Laurent Treluyer, Directeur des Services Numériques au sein de la SNC AP-HP : « Un hôpital sans électricité, sans ascenseur, il a beau avoir un dossier patient, il a beau avoir tout son système d’information qui marche par ailleurs, on n’arrivera pas à traiter les patients ». Cette méconnaissance des risques et la négligence de la santé des systèmes d’information sont aussi dues au fait que le budget accordé au pôle informatique des établissements de santé est trop bas.

Face à l’urgence, l’État a débloqué 350 millions d’euros pour le numérique et la cybersécurité dans le cadre du Ségur de la Santé. « Insuffisant », s’accordent à dire les quatre invités. La stratégie nationale de cybersécurité à destination des établissements de santé prévoit aussi de former les professionnels qui manipulent à la « cyberhygiène ». Cette sensibilisation permettra aux équipes d’acquérir les bons réflexes et de rendre plus difficile les fuites de données de santé et d’assurance, qui sont l’objectif d’un grand nombre de cyberattaques.

Fin décembre 2022, le gouvernement a également annoncé la mise en place d’un vaste plan de préparation aux cyberattaques afin que les établissements de santé considérés comme prioritaires acquièrent les bonnes pratiques en matière de cybersécurité. Pour cela, des exercices doivent être effectués pour développer leur réactivité et leur résilience. Par ailleurs, une task force a été réunie dans le but de concevoir un projet de plan cyber pluriannuel massif qui devrait être dévoilé dans les prochains mois. Reste à savoir si les mesures proposées à l’application seront suffisantes et efficaces, mais cela devrait favoriser la prise de conscience de la vulnérabilité des établissements de santé publics face aux cybermenaces.

 

Une pénurie de personnels compétents en cas de cyberattaque

L’autre problème unanimement pointé du doigt par les quatre intervenants est la pénurie de personnels compétents en cas de cyberattaque. Comment fidéliser les ingénieurs en cyber pour qu’ils travaillent dans le secteur hospitalier ? En effet, il faut trouver de nouveaux talents ayant une appétence particulière pour le secteur de la santé, et qui s’intéressent donc à des disciplines transverses comme la génétique, l’imagerie médicale ou encore la bioinformatique… Le besoin de recrutement étant immédiat, Jean-Noël de Galzain a signalé l’importance de mettre l’accent sur les formations courtes afin de former des professionnels rapidement opérationnels. Pour cela, il est important de créer des formations reconnues en partenariat entre les écoles d’ingénieur, les acteurs de la cybersécurité et ceux du monde de la santé. Ce manque de candidats est en réalité un problème qui touche toute la filière cybersécurité. La formation de nouveaux talents est considérée comme l’une des cinq priorités de la stratégie d’accélération cybersécurité. D’ici 2025, le nombre d’emplois dans ce secteur devrait passer de 37000 à 75000.

Autre problème de taille : les ingénieurs dont aurait besoin le secteur de la santé sont attirés par le privé plutôt que le public. Cela s’explique par le fait que le salaire y est plus élevé, et une revalorisation de la grille salariale est nécessaire si l’on veut espérer recruter des équipes capables de maîtriser le risque cyber au sein des hôpitaux. Auriane Lemesle, référente régionale SSI Santé de la GRADES e-santé des Pays de la Loire, précise que des travaux sont en cours au niveau ministériel à propos de la rémunération de ce corps de métier, ce qui montre que ce facteur a bien été pris en compte par les autorités publiques. Une bonne nouvelle pour des postes susceptibles d’intéresser les candidats en quête d’un métier qui a du sens !

 

La mutualisation, l’esquisse d’une solution face au risque cyber

Que faire devant cette menace qui pèse sur l’hôpital public ? La mutualisation semble être une piste pour améliorer la résistance des acteurs et partager les bonnes pratiques, et les récentes mesures prises par le gouvernement semblent aller dans ce sens. En effet, l’un des axes prioritaires de la stratégie d’accélération cybersécurité est le renforcement des liens et des synergies entre les acteurs de la filière. Certains n’ont pas attendu cette annonce pour s’y mettre, comme le montre le cas d’Hexatrust, association qui regroupe 98 champions français de ce domaine. Cette nécessité de travailler main dans la main, Jean-Noël de Galzain l’explique ainsi : « Je pense que le modèle de la chasse en meute, de la mutualisation, du travail ensemble, du modèle collaboratif, de ce qu’on appelle dans l’innovation « open innovation », ça consiste à mettre tout le monde autour de la table et à trouver des solutions rapidement. La complexité du monde fait que pour faire face aux défis, on va plus loin à plusieurs. » Les établissements de santé n’ont pas encore le réflexe de la mutualisation, et encore moins dans le cadre de leur cybersécurité. Pourtant, ce modèle pourrait être l’opportunité pour eux d’acquérir plus rapidement les bons réflexes, de tester et d’adopter les solutions qui leur conviennent le mieux mais aussi de s’organiser en cas d’attaque, afin de réduire l’ampleur des conséquences sur la prise en charge des patients. Face à la cybermenace, l’union fait donc la force.

 

Hexatrust accompagne les acteurs hospitaliers dans le choix de leur solution souveraine en cybersécurité

« L’hôpital, c’est un environnement où il faut faire un énorme effort d’ergonomie et de mise à disposition de solutions pratiques, faciles à utiliser », a rappelé Jean-Noël de Galzain au cours de cette table ronde. Pour aider les acteurs du secteur hospitalier public à choisir une solution souveraine adaptée à leurs besoins, Hexatrust a conçu une Brochure Capacitaire, véritable guide pratique, dans laquelle sont répertoriés les prestations et services proposés par les adhérents, organisés sous formes de « parcours » correspondant aux préconisations de l’ANSSI. Ces différents parcours sont articulés autour de huit thèmes : organisation et sensibilisation face au risque numérique ; maîtrise des accès à son propre système d’information ; sécurisation des données, des applications et des services numériques ; sécurisation des équipements au travail ; protection du réseau ; intégration des enjeux de la sécurité numérique à la politique d’administration ; connaissance des vulnérabilités de son propre système d’information ; détection des évènements de sécurité et réaction. Ils sont adaptés aux acteurs du secteur hospitalier, car pour les imaginer, l’ANSSI a longuement travaillé avec des référents du monde médical, des DSI et des RSSI. Hexatrust se pose donc en allié des établissements de santé pour les accompagner dans le choix de la solution qui leur est le plus adaptée.