Une cybermenace plane sur le monde de la santé, peu préparé aux attaques des hackers. De fait, alors que les données de santé attisent la convoitise croissante des pirates du monde entier, les établissements français constituent encore une proie très facile.
Ce constat est à l’origine d’un colloque organisé sous l’égide du ministère de la Santé, qui s’est tenu le 7 octobre à Paris. Quelques 250 dirigeants et responsables de la sécurité informatique d’établissements sanitaires se sont réunis afin d’aborder la question des cyberattaques, et les moyens de s’en protéger.
2015, « l'année du hack des hôpitaux »
Et il y a encore du boulot. En effet, alors que l’actualité étrangère – notamment américaine - regorge de cas de piratages plus spectaculaires les uns que les autres dans le domaine de la santé, la France, elle, a tardé à prendre la mesure de sa vulnérabilité.
« Pendant longtemps, il y a eu l’idée selon laquelle ce secteur était à l’abri, explique Frédérique Pothier, de la délégation à la stratégie des systèmes d’information de santé (DSSIS, ministère de la Santé). Nous pensions que les données de santé françaises ne se monnayaient pas, vu que chacun peut bénéficier d’une protection sociale, contrairement aux Etats-Unis ».
Et pourtant… 2015 sera « l'année du hack des hôpitaux », prédisait en décembre 2014 la revue MIT Tech Review – avec une certaine clairvoyance. De fait, au moment de la parution de cet éditorial, la Polyclinique de Blois (Loir-et-Cher) faisait face à une tentative d’extorsion par le biais de son système informatique.
Peu de temps après, le groupe de hackers Rex Mundi s’en prenait au laboratoire de biologie médicale Labio, à qui il demandait 20 000 euros sous peine de diffuser les résultats d’analyses des patients sur Internet. Le 1er mai 2015, au Centre Marie Curie (Valence), les membres du service de radiothérapie découvraient avec stupeur le piratage de deux disques réseaux contenant les données des patients, qui, pendant 24 heures, n’ont pu subir leur séance de radiothérapie.
Des pratiques obsolètes
Le nombre d’attaques visant des établissements de santé n’a cessé de croître ces dernières années. Pour autant, elles sont difficiles à chiffrer. « Lorsque l’un d’entre eux subit une cyberattaque, il ne le crie pas sur les toits, souligne Frédérique Pothier. Du coup, les données sont sous-évaluées. Nous ne connaissons probablement que la face émergée de l’iceberg ».
En sous-marin, on retrouve de larges failles dans la sécurité informatique des établissements de santé. « Il suffit de faire un tour à l’hôpital pour s’en rendre compte, explique Christophe Kiciak, responsable au sein de la société Provadys, spécialisée des technologies de l'information, qui a participé au colloque. Les ordinateurs sont utilisés par dix-quinze personnes, en libre-service, sans surveillance ni mot de passe. Il suffit d’un moment d’inadvertance pour insérer une clé USB et installer un malware [logiciel malveillant, ndlr] de prise de main à distance du poste. Alors, on peut surfer très facilement sur le réseau interne d’un hôpital. »
Pallier le manque de formation
Au-delà de la sécurité des systèmes informatiques, qui nécessitent des moyens financiers pour être améliorés, certains comportements semblent en effet inappropriés face à cette menace - tant au niveau des établissements publics que privés.
Pour pallier ce manque de formation, le ministère de la Santé a déployé fin 2013 une Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S). Encore peu connue des professionnels qu’elle cible, cette stratégie vise à améliorer les pratiques pour lutter contre la cybermenace.
« Elle s’adresse à chaque acteur, à son niveau – les médecins libéraux installés en cabinet, les cliniques privées, les hôpitaux…, précise Frédérique Pothier. Il s’agit de fournir des conseils à chacun pour prévenir les risques. Par exemple, dans le Mémento à destination des libéraux, nous mettons en avons la nécessité de fermer à clé la pièce où se trouve l’ordinateur, de réaliser des sauvegardes régulières et de conserver les disques durs dans une autre pièce. D’autres documents s’adressent aux professionnels informatiques ».
Ces documents sont disponibles sur le site ASIP Santé (Agences des Systèmes d’Information Partagés de Santé) du ministère de la Santé. Et même en l’absence de données sur la prévalence des attaques en France, il semble avisé, pour les établissements de santé, de les consulter.