Selon l’Agence du Numérique en Santé (ANS), plus de 730 incidents de cybersécurité ont été recensés en France l’an dernier dans le secteur de la santé. Comme pour les entreprises, le niveau de maturité en cybersécurité des hôpitaux est susceptible de varier. Si une prise de conscience majeure a été entamée au plus haut niveau politique, on recense toujours de nombreuses attaques ce fut notamment le cas du groupement hospitalier de la région Grand Est qui a été piraté il y a quelques semaines.
Il est évident qu’une bonne prise en charge des patients dans les établissements médicaux passe obligatoirement par une attention et une prudence de tous les instants. Cela vaut pour les traitements médicaux qui leur sont prodigués, mais aussi pour la gestion de leurs données sensibles et pour la fiabilité des équipements médicaux utilisés. Compte tenu des innovations révolutionnaires dans le domaine de la technologie médicale et du nombre croissant de menaces, la question est désormais de savoir où en est la sécurisation des systèmes et infrastructures informatiques dans les hôpitaux. Retour sur l’intérêt et les limites d’une sécurité informatique efficace.
Beaucoup d’hôpitaux et de sociétés d’exploitation sont en train de mettre en place et/ou de renforcer leurs mesures de sécurité. Les défis sont désormais multiples : si l’arrivée de nouvelles technologies numériques en réseau a permis d’optimiser les opérations métier, elles ont également eu un impact certain sur les risques de sécurité auxquels les hôpitaux sont confrontés. D’un côté, l’évolution des appareils médicaux permet des soins et traitements toujours plus avancés. De l’autre, ces appareils deviennent une cible de choix pour les criminels qui y voient une opportunité de gain importante. L’exposition du monde médical à des cyber attaques n’a jamais été aussi importante que ces deux dernières années, exacerbée par la pandémie. Par exemple, le gang Conti Ransomware en a fait son business model en 2020-2021. Focalisant ses attaques sur le monde médical pour les entités ayant un chiffre d’affaires supérieur à 100M de dollars, il a généré un chiffre d’affaires de 180M de dollars en 2021.
Les opérations hospitalières qui se concentrent sur la qualité des soins prodigués aux patients et la sécurité informatique sont intrinsèquement liées par la norme de sécurité B3S, spécifique au secteur de la santé. Elle est basée sur les certifications reconnues ISO 27001 (gestion de la sécurité de l’information), ISO 27002 (contrôle la de sécurité de l’information) et ISO 27799 (technologie de l’information dans la santé). Les certifications ISO 27001 et ISO 27002 servent de guide pour mettre en place un système de gestion de la sécurité de l’information, et fournissent des indications quant aux contrôles de sécurité à mettre en œuvre. La certification ISO 27799 est spécifiquement conçue pour les organismes de santé et les autres dépositaires d’informations relatives à la santé. Celles-ci peuvent être utilisées pour définir un niveau minimal de sécurité afin de préserver la confidentialité, l’intégrité et la disponibilité des informations de santé personnelles des patients sous traitement. Il convient toutefois de souligner que la conformité ne suffit pas : chaque organisme doit examiner ses besoins et ses priorités ainsi que ses vulnérabilités afin de définir une stratégie de sécurité capable de minimiser les risques contre les menaces actuelles.
Les directeurs d’hôpitaux doivent se préparer à tous les scénarios de risque possibles en optimisant les ressources humaines, organisationnelles et techniques. Outre les fonctions critiques internes telles que les procédures commerciales, le personnel ou encore les différentes technologies déployées, il est conseillé d’inclure tous les fournisseurs tiers dans les analyses des menaces et de les effectuer régulièrement afin de comprendre où se cachent les potentielles vulnérabilités. Sur cette base, il est alors possible de définir des scénarios d’attaque et de créer ainsi des manuels de réponse aux incidents.
Ceux-ci décrivent en détail comment répondre à un scénario en particulier afin d’éviter autant que possible les interruptions d’activité liées aux menaces informatiques. Il s’agit ici d’un facteur déterminant, car fournir des soins de santé de haute qualité aux patients est l’objectif principal des établissements de santé.
Une analyse coût-avantage doit être réalisée pour les investissements en matière de sécurité, en comparant l’impact financier d’un risque au coût de la mise en œuvre de mesures de prévention. Accepter le risque peut être une stratégie pertinente tant que la législation est prise en compte notamment en ce qui concerne les données de santé personnelles des citoyens européens. En règle générale, le DSI et le service informatique sont responsables de l’infrastructure numérique d’un hôpital mais aussi du développement et de la mise en œuvre d’une stratégie informatique. Ils doivent donc rendre des comptes en permanence à la direction afin que celle-ci puisse prendre des décisions fondées sur les risques potentiels.
Au final, la priorité absolue reste toujours le patient, et l’obtention de bons résultats médicaux supplées par un soutien numérique qui utilise les possibilités de la technologie médicale moderne, en prenant en compte la sécurité informatique.
Les deux catégories de risque actuelles pour les hôpitaux qui doivent impérativement être prises en compte à ce jour couvrent les interruptions de service liées à une cyber attaque (ex. ransomware, déni de service interne) ainsi que le vol de données médicales. Les solutions incluent des éléments de prévention, protection, détection et réponse aux cyber menaces que ce soit au niveau des environnements administratifs mais également au niveau des appareils médicaux.