Les cyberattaques se multiplient dans les infrastructures hospitalières. Les pirates ont accès à des informations essentielles liées à la coordination des services de santé. Près de 500 000 fichiers médicaux de patients ont été piratés. Une nouvelle très inquiétante au regard de la numérisation croissante des données dans les hôpitaux. Cependant, divers protocoles existent pour contrer la cybermenace.
Dax et Villefranche sur Saône : ces hôpitaux ont fait dernièrement la Une des journaux. Tous deux ont été pris pour cible par des pirates informatiques. Une nouvelle menace qui prend de l’ampleur depuis le début de la crise sanitaire du SARS-COV2. Les bases de données attaquées, c’est toute la vie des patients qui se trouve entre les mains des hackers. Ces mêmes données sont indispensables aux médecins pour prendre en charge leur patient du mieux possible.
” Les hackers ont bien vu la faiblesse de certaines infrastructures en termes de protection des données, souvent par manque de moyens voire par non prise de conscience des enjeux ! “
« La sécurité de l’information pour un établissement de santé informatisé comme le nôtre est devenu un enjeu majeur. L’objectif est de garantir pour cette information sensible sa lisibilité, sa confidentialité, sa traçabilité et son intégrité », liste Francis Breuille, le DSI du GHT Centre Manche. « Cet enjeu stratégique a conduit notre Direction Générale à engager une démarche d’amélioration continue et volontariste autour de la sécurité visant notamment à être certifié HDS (Hébergeur de données de santé) et ISO 27001, comme quoi cela est aussi possible pour un établissement de notre taille. La récente information de la DGOS comme quoi les établissements supports des GHT seraient exemptés de la certification HDS sous certaines conditions n’est d’ailleurs pour moi pas un bon signe envoyé aux Etablissements dans ce contexte ! ».
Cela couvre de nombreux domaines dont la sécurité des infrastructures, des réseaux, de nos salles informatiques, des bâtiments, plateaux techniques et salles de soins qui sont désormais accessibles via des cartes d’établissements (badges) nominatives multi usages délivrées à tous nos professionnels et permettant l’accès au système d’information et aux locaux sécurisés. L’objectif est clair : limiter au maximum toute attaque éventuelle contre les données des hôpitaux et anticiper au mieux l’indisponibilité du système d’information en élaborant des procédures dégradées.
L’ÉQUILIBRE ENTRE DONNÉES FIABLES ET DONNÉES COMMUNICANTES
Selon Francis Breuille, « le risque zéro n’existe pas. Une analyse des risques est le premier passage obligé. Cette analyse permet d’identifier les actions permettant de renforcer la sécurité d’information et de se préparer au mieux dans le cas d’une panne ou d’une attaque ».
Des moyens et des investissements sont devenus incontournables pour contrer les cybermenaces. « C’est une évidence » constate le DSI. Le chef de l’État, Emmanuel Macron, a demandé que les établissements de santé investissent 5 à 10% de leur budget dans la protection de leurs données. « Il a fallu qu’on en arrive à ces cyberattaques en chaine pour que le gouvernement prenne ce problème au sérieux », déplore Francis Breuille. Force est de constater que nous sommes pour la plus part encore loin de cet objectif de moyens. Espérons que cette prise de conscience se concrétise rapidement par des aides aux établissements de santé que nous sommes.
Prévoir le pire fait partie intégrante des fonctions attribuées au DSI. Victime d’un problème technique, la procédure dégradée adaptée est alors enclenchée comme cité plus haut. Les données peuvent être indisponibles en raison d’une maintenance programmée ou d’un incident technique comme une coupure de fibre-optique ou la défection d’un serveur ; ceux sont des incidents « maitrisés » pour lesquels la durée de la gestion de l’incident n’excède jamais 48 à 72 heures. Le piratage des données quant à lui est beaucoup plus alarmant car la durée d’inaccessibilité est bien plus importante et touche généralement la totalité du système d’information : données patient, téléphonie, messagerie, réseau, accès à internet : tout est à l’arrêt et tous les professionnels sont impactés. Le cryptage des données et la perte des sauvegardes sont aussi des conséquences possibles et à envisager.
Des données volées aux hôpitaux par des cyber attaquants, c’est aussi la crainte de subir la défiance des patients qui nous confient leurs données de santé. La volonté des DSI est donc de concilier « la sécurité de l’information, son accessibilité et sa confidentialité ». Les Groupes Hospitaliers de Territoire ont comme feuille de route la convergence et le regroupement des infrastructures et dans le cadre de la mise en place des parcours de soins doivent aussi s’ouvrir à l’extérieur et s’interfacer à d’autres systèmes (ROR, DMP, ENS…). La sécurité des réseaux est donc plus que jamais indispensable pour le bon fonctionnement des Etablissements de santé. C’est toute l’ambivalence des enjeux à venir : une information sécurisée et fiable mais une information communicante et partagée sans risque de piratage !
Guillaume MALINEAU
