Hôpital & cybersécurité

Pourquoi on s’attaque à l’hôpital ?

Selon l’Internet Crime Report 2020 du FBI, la France se place en huitième place des pays les plus touchés par les cyberattaques. Ces dernières semaines, celles-ci ont été tellement virulentes sur le Système d’Information (SI) de certains hôpitaux que cela les a ramené au temps du tout papier. Dossiers patients, téléphonie, appareils chirurgicaux, gestion des médicaments, rendez-vous, affectation des lits : tout est à passer au stylo bic. Plus aucun ordinateur ne fonctionne, tous les logiciels sont inutilisables, tous les services, de soins comme administratifs, se retrouvent confrontés à un écran noir. Des opérations sont déprogrammées, les patients envoyés vers d’autres hôpitaux. Malgré cela il est impératif de continuer à assurer les urgences. Une autre crise qui s’ajoute à celle qui est déjà en cours. Par voie de conséquences l’hôpital est complètement désorganisé et bascule en mode dégradé, à la condition que cela ait été prévu et préparé à l’avance. Tout le personnel doit basculer en un clic d’un mode d’organisation à un autre.

Le rapprochement est osé mais c’est comme si le hacker, s’érigeant tel un Thanos, aurait recueilli les six Pierres d’Infinité : la Pierre du Pouvoir, la Pierre de l’Espace, la Pierre de Réalité, la Pierre de l’Âme, la Pierre du Temps et la Pierre de l’Esprit, pour détruire l’univers hospitalier. Et si vous n’avez pas vu le film, vous avez au moins regardé BFM et consorts. Et si ce n’est pas le cas, imaginez le chaos engendré par une désorganisation massive.

Clic and collect

Dans le monde du « clic » and collect, les nouvelles technologies ont radicalement transformé le cœur de métier de l’hôpital. L’informatisation du soin dans la prise en charge du patient s’est considérablement élargi, bien au-delà du seul suivi des actions déjà réalisées. Cela ouvre encore plus de perspective pour tout chercheur de donnée de santé. Si on ajoute à ce constat l’entrée progressive de l’intelligence artificielle dans la santé, le combat risque d’être rude pour toute structure accueillant un patient. Ainsi le risque change de nature et de dimension. Les questions de sécurité dans la santé exigent de plus en plus de moyens. Or à ce jour, le secteur hospitalier ou de la santé a cumulé un retard important en termes de moyens financiers dédiés à la cybersécurité.

L’hôpital reste une cible de première choix pour les hackers tant que les niveaux de confidentialité ou de sensibilité peuvent différer d’un service à un autre. L’hôpital reste une multi-société où le chacun pour chez soit prévaut encore. La culture du silo est toujours prédominante. La trop forte segmentation facilite aux intrus la balade au sein des chemins du SI sans être facilement repéré. Actuellement, l’hôpital paie le prix fort du retard pris dans la sensibilisation du personnel à la cybersécurité. Si rien n’est engagé rapidement en terme d’accompagnement au changement, l’addition risque d’être salée, et ce même en termes de perte de vie humaine. La formation et la montée en compétences du personnel soignant et des patients doivent devenir une priorité sanitaire. Une mauvaise manipulation, de prime abord anodine, peut être une source de vulnérabilité qui peut entraîner de graves conséquences dans la chaîne du soin. Ces attaques démontrent que la continuité d’activité d’un hôpital est devenue un facteur stratégique dans tout système de santé. Et ce plus encore en phase de crise sanitaire.

Décloisonner la ville et l’hôpital

Nous sommes entrés dans l’ère numérique, qui exige de plus en plus de connexion entre les acteurs de santé d’un territoire, au bénéfice du patient et de son parcours de soin. « Ma santé 2022 » apporte toute une série d’objectifs et d’actions qui accélèrent cette transformation.

La cybersécurité est de ce fait au cœur des enjeux de la transformation numérique et demande des ressources budgétaires cohérentes pour se protéger des cyber menaces.

Si le phénomène de « plateformisation de la santé » n’est qu’au tout début. Il amène les structures de santé vers le cloud dans un écosystème qui échappe largement aux cadres de régulation traditionnels de la sécurité. Ces nouvelles pratiques ont déjà un effet sur l’organisation de nombreuses structures de santé pour ce qui est de la diffusion des technologies déployées par ces plateformes (big data,IA, géolocalisation…) et le positionnement de prestataires de service. La télémédecine tout comme une simple prise de rendez-vous passent déjà par le cloud. On ne parle pas des tensiomètres, pompe à insuline ou autre objet connecté qui arrivent avec leurs besoins d’interconnexion au système d’information. La donnée médicale se virtualise à un rythme soutenu et complexifie la notion de périmètre à protéger. Le système d’information est devenu global et sera de plus en plus ouvert.

En parallèle, il conviendra de ne pas oublier de continuer à mener la bataille de l’interopérabilité structurelle et culturelle.

Décloisonner la ville et l’hôpital, améliorer la coordination entre professionnels de santé sont des objectifs qui commencent à être pris en compte par les hôpitaux comme par les complémentaires santé, mais aussi par les laboratoires pharmaceutiques, fabricants de dispositifs médicaux, éditeurs ou organisations publiques (ARS, Caisse nationale de l’assurance maladie…). Néanmoins ces évolutions n’auront de sens qu’à la condition que le risque cyber soit maîtrisé, ou a minima évalué. En parallèle, il conviendra de ne pas oublier de continuer à mener la bataille de l’interopérabilité structurelle et culturelle. La cybersécurité est de ce fait au cœur des enjeux de la transformation numérique et demande des ressources budgétaires cohérentes pour se protéger des cyber menaces.

Excel & usage, une légende urbaine ?

Mais voilà : dans des nombreux hôpitaux, c’est encore la culture Excel qui prédomine. Toute donnée passe à un moment ou un autre par un tableur Excel. En poussant la caricature, Excel constitue presque un système d’information à lui tout seul : ce logiciel fait marcher notre système de santé depuis plusieurs années. Les investissements ne manquent pas sur des applications métiers de plus en plus complexes. Ou trop complexes, ce qui favorise le contournement d’usage par la simplicité d’un tableau excel.

Un soignant utilisera toujours le moyen technique le plus simple pour suivre et aider le patient sans se poser la moindre question sur la sécurité de tel ou tel outil

Si la virtualisation d’un parcours de soins n’a pas intégré ce fait culturel de répondre au besoin de l’utilisateur, elle n’ira pas loin. Il faut au préalable prendre le temps de s’informer sur les spécificités des métiers de l’hôpital ou du service avant de commencer à mettre de la sécurité à tous les niveaux sinon, ce sera l’échec. La non prise en compte de l’usage réel introduit déjà une faille de sécurité. Un soignant utilisera toujours le moyen technique le plus simple pour suivre et aider le patient sans se poser la moindre question sur la sécurité de tel ou tel outil. Se mettre à la place de l’utilisateur de base demande plus d’humilité que de jargon technique ou une gouvernance par la peur.

Se mettre à la place de l’utilisateur de base demande plus d’humilité que de jargon technique.

Une menace systémique

D’un clic, tout le monde découvre la fragilité de nos structures hospitaliers. Le SI de certains hôpitaux est à la fois obsolète et soumis à des contraintes extrêmes. Certains composants ou logiciels sont dépassé, voire non conformes. D’anciens systèmes coexistent encore. Ils ne sont pas entretenus faute d’expert capable de contrer les nouvelles menaces. Et c’est sans même compter sur la vétusté du réseau. La crise sanitaire a poussé l’hôpital à s’ouvrir vers l’extérieur avec la mise en place de la télémédecine ou les technologies de surveillance à distance pour les patients atteints du covid-19. En conséquence la transformation numérique a fait un bond inattendu avec l’arrivée d’une multitude d’acteurs. Mais une faille chez l’un des acteurs de la chaîne et c’est l’ensemble de l’écosystème qui tremble.

La réponse à la cybersécurité reste complexe car le facteur humain est plus ou moins ignoré : on en revient toujours à l’adéquation au besoin utilisateur. On pense toujours qu’une note administrative ou une réponse technique suffiront à tout régler. De nombreuses fuites de données ne sont pas causées par une intention malveillante, mais uniquement par la négligence d’un utilisateur. On passe rarement sur la sensibilisation, la formation ou sur le comportement de l’utilisateur qui parvient toujours à contourner les obstacles qui lui font perdre du temps. Sa capacité d’innovation pour ce faire est sans limite et nécessite peu de moyens autre que l’imagination. Et tout cela au détriment de la sécurité. A contrario, des utilisateurs attentifs et formés peuvent contribuer à la lutte contre les cybermenaces en complément des solutions technologiques. La multiplication et l’hétérogénéité des équipements complexifient la gestion de la cybersécurité dans toutes les structures de santé. La perméabilité des réseaux restera souvent le point de faiblesse dans les infrastructures hospitalières. La menace est systémique. Tant qu’on n’aura pas compris cela, on redécouvrira l’Amérique à chaque cyberattaque.

Des utilisateurs attentifs et formés peuvent contribuer à la lutte contre les cybermenaces en complément des solutions technologique.

Un hôpital résiliant

L’hôpital est au centre de la cité et de nos vies, on a tendance à l’oublier à chaque fin de crise. Pourtant il répond toujours présent malgré le manque de ressources ou de moyens. Mais ce n’est pas uniquement une question d’argent, bien que cela peut aider grandement.
Durant cette pandémie, les hôpitaux démontrent chaque jour leur résilience. Même si tout tient à un fil, l’équilibre reste fragile. A chaque pic épidémique, on ne focalise plus sur le taux de la bourse mais sur le taux d’occupation des lits en réanimation. Le manque de lits dans un service de réanimation a un impact sur les soins et par effet de domino sur la croissance économique du pays. C’est dire que les réponses à apporter au futur de l’hôpital ou sur tout autre structure de santé sont devenues plus complexes. Le risque a changé de nature, la réponse devra donc être adaptée. La crise actuelle est-elle une opportunité pour repenser la sécurité de notre système de soins ? La résilience du système d’information hospitalier devient un enjeu stratégique, d’autant qu’il est illusoire de croire que nous en avons fini avec les crises, de toute nature que ce soit, ou encore les cyberattaques. Les hôpitaux sont des infrastructures critiques. Les questions sont maintenant de savoir quand aura lieu la prochaine attaque? quel fonctionnement minimal et acceptable peut-on mettre en place ? Que faire pour se préparer ? Comment favoriser l’accès à l’information tout en apportant une sécurité complète ? Qui informer en cas de danger ? …etc.

A chaque pic épidémique, on ne focalise plus sur le taux de la bourse mais sur le taux d’occupation des lits en réanimation.

Le grand défi de la sécurité

Pour répondre aux défis de la sécurité, l’Allemagne avec son plan Hospitals Future Program prévoit des investissements à hauteur de 3 milliards d’euros pour que les hôpitaux rattrapent le retard. La France a pour sa part débloqué 1 milliard d’euros pour renforcer la sécurité des entreprises, hôpitaux et administrations. Financée par France Relance et le Programme d’investissement d’avenir, la stratégie nationale pour la cybersécurité vise, entre autres, à doubler les effectifs de la filière d’ici à 2025.

Quel que soit le prix payé, la croyance en l’infaillibilité de toute solution technique est une illusion. Le dernier rempart de la sécurité informatique reste l’utilisateur.

L’hôpital joue dans cette crise le rôle de « bouclier sanitaire », Il a besoin d’être protéger à la hauteur des menaces qui pèsent sur sa sécurité et celles des données de millions de citoyens. La directive européenne Network and Information System Security (NIS) permet de reconnaître l’hôpital comme secteur sensible et stratégique de la Nation. Une prise de conscience qui va permettre à 135 groupements hospitaliers français d’être intégrés à la liste des opérateurs de service essentiels. Cela implique la mise en place de règles de sécurité informatique plus strictes et le contrôle par l’ANSSI du bon respect de ces règles.

Enfin, penser « Security by Design » pour insuffler la sécurité dans l’organisation de l’hôpital ou au niveau d’un un pôle d’activité dès la phase de réflexion, cette approche a l’avantage de porter en elle des problématiques techniques, juridiques ou contractuelles. Cette démarche offre la possibilité de faire certifier par un tiers de confiance sa stratégie en matière de sécurité. La « cybersecurity by design » participe à la mise en place d’une bonne hygiène informatique, à une maîtrise optimale du niveau de risque et minimise les surfaces d’attaques de la structure de santé.

Rappelons toutefois que le risque zéro n’existe pas. Il y aura toujours des vulnérabilités techniques ou humaines. Quel que soit le prix payé, la croyance en l’infaillibilité de toute solution technique est une illusion. Le dernier rempart de la sécurité informatique reste l’utilisateur.