Si à SantExpo, l’avenir de l’hôpital s’écrit toujours en numérique, une ombre se dessine désormais au tableau : la cyberattaque. Face à cette menace, après l’autopsie des incidents, les exercices de crise apparaissent de plus en plus indispensables.

Les établissements hospitaliers sont des cibles de choix pour les pirates informatiques du fait notamment de leur ouverture au public et de systèmes d’information éparpillés dans les services. De plus, les données de santé sont bien valorisées !
Les exemples d’intrusion s’accumulent : en avril 2023 au CH de Bourg en Bresse, en mars 2023 au CHU de Brest, en décembre 2022 aux CH d’Argenteuil et de Versailles, en octobre 2022 à la maternité des Bleuets à Paris sans oublier qu’en août 2022 le CH Sud Francilien de Corbeil Essonne a subi un vol de données qui se sont retrouvées en vente sur le dark web (le web clandestin).
Dans Le Figaro du 20-21 mai dernier, un dossier consacré à la cybersécurité détaille la cyberattaque du CH André Mignot à Versailles. Un véritable cauchemar : le 3 décembre, vers 21h, tous les écrans se sont éteints et les centaines d’imprimantes réparties dans les services se sont mises à cracher du papier jusqu’à épuisement du stock avec le même message « Your data are stolen and encrypted » signé LockBit, un gang de cybercriminels avec une adresse codée. Tout était devenu inaccessible avec retour obligatoire au papier crayon mais tous les SIH ayant été débranchés dans l’heure, aucun vol de données n’a été observé. Six mois plus tard, le CH versaillais en subit encore les conséquences.
Car les logiciels ne sont restaurés que peu à peu dans les différents services.

Autopsie d’un incident

Sur son stand , l’Agence du numérique en santé (ANS) présentait justement le retour d’expérience d’un incident concernant le CHU de la Réunion, (1900 lits, 7300 personnes dont 700 médecins). Un dimanche d’avril dernier, une attaque ayant exploité des vulnérabilités de sécurité a permis un vol d’identifiants. Il n’y a pas eu de pertes de données ni de demande de rançon mais des conséquences importantes sur le fonctionnement, car le premier souci des responsables informatiques est de limiter les dégâts en imposant un confinement le plus fin possible avant toute investigation. Il faut ensuite signaler l’incident aux autres hôpitaux avec lesquels on ne communique plus. Et alerter l’ANSSI (Agence nationale de sécurité des systèmes d’information) pour entrer en contact à distance (3h de décalage) avec les experts de CERT( Computer Emergency Response Team) Santé.
Il y aura 50 réunions sur un mois pour gérer la crise et établir un plan de sortie. « On ne compte pas les heures supplémentaires mais il faut éviter la fatigue, souligne le responsable SI du CHU, car un incident ce n’est pas un sprint mais un marathon. On a pu détecter l’incident rapidement et on avait déjà finalisé des outils en cas d’incident que l’on a pu tester. Mais aujourd’hui encore toutes les restrictions ne sont pas levées. Et dans deux semaines, on refera des exercices de crise ; c’est indispensable ! »

Faire des exercices

Ainsi, le 24 mai, s’est déroulé en Guyane un exercice de simulation visant à reproduire une panne informatique aux conséquences multiples et graves dans tous les hôpitaux du territoire…
Le GIP d’informatique hospitalière Mipih et SIB ont annoncé à Santexpo qu’ils allaient en proposer aux établissements en s’appuyant sur un groupe de 30 experts.
Le ministère de la santé a récemment publié un document sur la doctrine cyber dans le monde de la santé faisant des tests de dispositifs de crise une obligation tandis qu’une task force dédiée à la cybersécurité en santé s’est constituée, comme l’évoque le dernier numéro (mai 2023) de DSIH, le magazine de la transformation numérique dans la santé. Ce groupe de travail piloté par la Délégation numérique en santé (DNS) veut apporter des réponses coordonnées et mutualisées entre les établissements.
Il ne faut pas oublier que le montant des dégâts, même lorsqu’il n’y a ni vol de données, ni demande de rançon, peut se chiffrer en centaines de milliers d’euros, du fait du temps passé et des contre-mesures futures. Une cyberattaque, c’est un hôpital paralysé pendant une longue période. En février 2021, un plan « renforcement cybersécurité des établissements de santé » a été annoncé, doté de 136 millions d’euros auxquels se sont ajoutés 20 millions après le vol de données du CH Sud Francilien. Mais la mise en place des contre-attaques prend du temps.

Dernière minute : l'ANS a publié le 1er juin sur son site le rapport de l'observatoire des incidents de sécurité des systèmes d'information dans les secteurs santé et médico-social.. Moins de rançongiciels mais plus d'interventions du CERT Santé.
Voir la synthèse et le rapport

Pour en savoir plus la rubrique cybersécurité du ministère de la Santé