Twitter E-mail
27 Nov 2019

Cybersécurité : combien faudra-t-il d’incidents graves pour que la sécurité informatique devienne une urgence dans le secteur de la santé ?

0 commentaire

Président de l’APSSIS, association pour la promotion de la sécurité des systèmes d’information en santé, Vincent Trély a exprimé devant les participants du Café Nile, ses craintes devant le retard pour la prise en compte du cyber risque dans les établissements de santé et chez les professionnels de santé libéraux en France. « Ce sont malheureusement les incidents qui feront avancer ». C’était passionnant. Compte rendu.

Un incident par jour

L’informatique du CHU de Rouen a été récemment bloquée pendant plusieurs jours par une cyberattaque impactant la prise en charge des patients et l'organisation des soins et des services. L’ANSSI (Agence nationale de sécurité des systèmes d’information) a dépêché huit experts sur place pour décrypter les données devenues inaccessibles. En aout dernier, ce sont les 120 cliniques du groupe Ramsay qui ont été victimes d’un virus, obligeant le personnel à revenir au papier et au crayon pendant quelques jours. Mais au-delà de quelques cas médiatisés, on recense en fait un incident par semaine dans le domaine de la santé, affirme Vincent Trély.

Quels types de piratage s'intéressent à la santé ?

Cet expert qui a travaillé depuis 2012 dans 140 hôpitaux retrace les grands types de piratage :
- Le cyber espionnage , pratiqué essentiellement par les Etats-Unis, la Chine et la Russie, s’intéresse aussi à la recherche médicale et à la santé des citoyens qui est un marqueur de l’état d’un pays
- la cyberguerre se pratique entre états, visant notamment des infrastructures sensibles
- La cybercriminalité comprend le vol de dossiers médicaux (170 millions de dossiers piratés en 10 ans) qui seront revendus entre 30 et 200 dollars chacun sur le BlackMarket (on y trouve ainsi des dizaines de bases de données provenant notamment d’hôpitaux américains) ou l’utilisation de « ransomware », qui bloque le fonctionnement d’un système en réclamant une rançon.
En France, contrairement aux Etats-Unis, la politique est de ne jamais payer. Ce sont des virus « automatisés » que l’on attrape, par exemple, en ouvrant un mail frauduleux. L’ANSSI a pu analyser que le virus CLOP qui a infecté le CHU de Rouen était entré par le biais d’ une erreur humaine. Autre exemple, le piratage de l’agenda d’un établissement pour envoyer aux patients un message d’annulation de rendez-vous en proposant d’en reprendre un autre via un numéro fortement surtaxé…L’établissement concerné a dû consacrer plusieurs jours à rappeler tous les patients pour confirmer les rendez-vous !
- Le cyber activiste ne cherche quant à lui aucun argent mais médiatiser sa cause. Si faire tomber le SAMU de Paris pendant une heure assure le JT de 20h, c’est tentant !

Un retard et des freins

Face à ces risques bien réels, le monde de la santé a pris du retard.
Vincent Trély estime que la prise de conscience remonte à 2013 avec le plan Hôpital .
L’ASIP Santé élabore une politique générale de sécurité avec des directives et le RGPD (règlement général de protection des données) a remis un coup de pression.
La partie n’est pas encore gagnée tant les freins sont nombreux :
-Les professionnels de santé sont relativement désobéissants mettant en avant l’urgence des soins et renonçant aux mesures si celles-ci sont trop contraignantes. L’authentification par carte CPS, c’est 5% d’utilisation !
- le matériel est parfois obsolètes. Dans un contexte budgétaire tendu, les hôpitaux investissent en priorité dans les projets médicaux. Or, mettre en place comme au CHU de Lille un système où le médecin se connecte une seul fois par jour, cela coûte cher
-Le DSI (directeur des systèmes d’information) n’a pas toujours accès aux réunions de la direction générale et manque donc de poids pour se faire entendre
- Enfin, les professionnels sont à l’origine de certains mésusages. Un groupe de médecins utilisera par exemple Dropbox ou Google Drive pour partager des données médicales parce que c’est pratique (mais elles ne seront pas stockées en France). Les internes arrivent avec en moyenne 9 applications sur leur smartphone qui ne sont pas forcément validées. Les réseaux sociaux sont également pointés du doigt. Et que dire des objets connectés.

Quelles solutions ?

« On n’a pas encore vu le pire » soutient Vincent Trély persuadé que c’est ce qui fera avancer la cause de la cybersecurité de plus en plus nécessaire avec les équipements médicaux connectés.
Un constat : la France (et l’Europe) a perdu la première bataille de la souveraineté numérique. Mais assure l’expert, il est plus raisonnable de stocker ses données sur les serveurs d’Amazone ou de Microsoft que sur ceux de l’hôpital. Microsoft vient d’ailleurs d’ouvrir trois data center en France.
Pour le président de l’APSSIS, le cloud sera la seule possibilité offerte aux établissements médicaux sociaux (EHPAD, etc.) pour obtenir un niveau de sécurité suffisant. Il leur faudra prendre un contrat chez OVH ou chez Orange qui s’occuperont de tout. Même option SAS (en ligne) pour les professionnels de santé libéraux ainsi débarrassés des problèmes de sauvegarde, vol d’ordinateur etc..
Et de souligner que des pirates sont tout à fait capables de délivrer moyennant 300 euros en bitcoins, un arrêt de travail de 3 semaines parfaitement conforme. L’aventure est arrivée à un médecin soudain sollicité par sa caisse pour un trop grand nombre d’arrêts qu’il n’avait pas faits ! Les cybercriminels ne manquent pas d’imagination… Autre piste : une formation à l’informatique dès l’école pour comprendre comment ça marche !
Quant au Health Data Hub qui ouvre le 1er décembre et rassemblera les données du SNIIRAM, du PMSI, etc., « on va le blinder mais le risque zéro n’existe pas »

Voir la vidéo du Café Nile

[Haut]
À propos de l’auteur


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *