Recevez chaque jour toute l'actualité du numérique

x

Pourquoi l’informatique des hôpitaux est toujours bien trop vulnérable

Malgré le retentissement médiatiques de certaines affaires et plusieurs annonces de la part du gouvernement, les hôpitaux français restent très vulnérables aux attaques informatiques, et notamment aux ransomwares. Les causes sont multiples, entre passivité des structures, ressources insuffisantes et délais de mise en œuvre des stratégies nationales.
Twitter Facebook Linkedin Flipboard Email
×

Pourquoi l’informatique des hôpitaux est toujours bien trop vulnérable
Pourquoi l’informatique des hôpitaux est toujours bien trop vulnérable © Bret Kavanaugh - Unsplash

Huit mois après les annonces gouvernementales, la cybersécurité des hôpitaux reste un important sujet d’inquiétude chez les professionnels. Présentée par Emmanuel Macron à la suite de la paralysie de deux hôpitaux, Dax et Villefranche-sur-Saône, la nouvelle feuille de route du gouvernement entendait muscler la sécurité informatique des hôpitaux en jouant sur plusieurs leviers.

Tout d’abord en fléchant, dans l’enveloppe de deux milliards d’euros prévue pour la numérisation des établissements de santé et médico-sociaux, 350 millions d’euros vers la cybersécurité. Ensuite en dégageant 25 millions d’euros, sur le plan de relance, pour réaliser des audits de sécurité. Le gouvernement avait enfin annoncé un relèvement de la part de 5 à 10 % du budget informatique dédié à la cybersécurité pour bénéficier d’un soutien de l’État.

Des mesures de fond longues à mettre en œuvre
Mais ces "mesures de fond", comme le relève Cédric Cartau, vice-président de l’Apssis, l’association pour la sécurité des systèmes d'information de santé, "ne vont pas se concrétiser sans un délai conséquent pour leur mise en œuvre", le temps de constituer par exemple les dossiers pour bénéficier de ces plans de financement.

"La situation est toujours critique, résume Charles Blanc-Rolin, le responsable de la sécurité des systèmes d’information du centre hospitalier de Moulins-Yzeure. Aujourd’hui, le numérique est partout dans l’hôpital, de la prise de commande des repas à la climatisation dont la panne pourrait obliger à fermer le bloc opératoire."

"C’est une question de ressources : le budget informatique est en moyenne de seulement 1,7% à 1,8 %, dont seule une proportion est ensuite effectivement dédiée à la sécurité, recontextualise Cédric Cartau. Des établissements de santé avaient déjà engagé des travaux pour améliorer leur sécurité, mais la situation générale est assez hétérogène, l’avancement des chantiers n’est pas le même partout."

Pas de prise de conscience, malgré la médiatisation des attaques
En témoigne ce résultat d’un audit, réalisé en début d’année, qui a donné des sueurs froides dans un centre hospitalier d’Auvergne-Rhône-Alpes. 350 mots de passe de l’établissement, dont ceux de deux administrateurs, ont été retrouvés sur Have I Been Pwned, ce site qui référence les mots de passe issus de fuites de données.

Des mots de passe critiques utilisés sur l’Active Directory, cet annuaire de Windows qui régit les droits des utilisateurs sur le réseau d'une organisation. 650 autres mots de passe seront également retrouvés en regardant dans d’autres bases de données consultables sur Internet. "Malgré l’émoi provoqué par les attaques médiatisées, comme celle du CHU de Rouen en 2019, il n’y a pas vraiment eu de changement dans les hôpitaux français", regrette le commanditaire de l’audit.

Une intégration tardive à la liste des opérateurs de services essentiels
Si la situation reste toujours aussi critique, c’est parce qu’une grande partie du travail de renforcement est encore à faire. Ainsi, les 135 établissements support des groupements hospitaliers de territoire viennent à peine, au 1er septembre, d’être tous basculés dans la liste des opérateurs de services essentiels (OSE). Un classement qui s’accompagne d’obligations réglementaires issues de la directive européenne Network and information security (NIS).

Plus précisément, le basculement en opérateur de services essentiels entraîne trois nouvelles obligations pour les 135 établissements concernés. D’abord, désigner un point de contact à l’Anssi, l’agence de cybersécurité française. Ensuite, déclarer ses systèmes d’informations essentiels pour l’activité de soin.

Et enfin signaler les incidents informatiques qui les auraient affectés. "Nous sommes dans une démarche d’accompagnement, pour expliquer les obligations relatives aux opérateurs de services essentiels, faire des actions de sensibilisation ou intégrer ces structures au plan de relance", détaille Charlotte Drapeau, la cheffe du bureau Santé et société à la sous-direction Stratégie de l’Anssi.

Des financements sont disponibles pour auditer les systèmes
L’Anssi compte également une centaine d’établissements de santé déjà engagés dans les parcours de diagnostic financés à hauteur de 25 millions d’euros par le plan de relance. Cette phase d’audit doit permettre de mesurer le degré de maturité de la structure pour ensuite, dans un second temps, prioriser les actions à mener. "Tous les établissements éligibles n’ont pas postulé, une cinquantaine peuvent encore le faire, constate toutefois Charlotte Drapeau. S’ils veulent bénéficier de ce financement, ils doivent le faire avant la fin de l’année 2022."

Pour toucher les petits établissements, l’Anssi offre également deux services d’audit, pour mesurer par exemple leur surface d’exposition à une attaque, à toutes les structures membres d’un groupement hospitalier de territoire. Autres pistes d’améliorations suggérées par Charles Blanc-Rolin : mieux sensibiliser les directions et les agences régionales de santé, renforcer les ressources humaines en informatique, et partager davantage d’informations entre établissements.

Le secteur médical n'est touché que par opportunisme
Si les attaques informatiques contre des établissements de santé sont en augmentation, ce secteur ne semble toutefois pas spécifiquement visé, selon Axel Castadot, de la division connaissance de la sous-direction Opérations de l’Anssi. "Ce sont des victimes par opportunités : par exemple, en ciblant une entreprise tierce, l’attaquant va récupérer des identifiants de connexion de sous-traitants qui travaillent également pour des hôpitaux, et s’intéresser à la nouvelle cible, sans savoir exactement de quoi il s’agit à ce stade", détaille-t-il. En moyenne, l’Anssi enregistre une attaque par semaine contre le secteur de la santé.

A cause de la très grande hétérogénéité du niveau de maturité des établissements de santé, les conséquences d’une attaque informatique peuvent être très variables, de quelques jours à plusieurs mois. Les rançongiciels, ces logiciels qui chiffrent les données pour ensuite demander une rançon, sont aujourd’hui la principale crainte des directions sécurité des hôpitaux.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.