Partenaire depuis 2 ans du Think Tank « Renaissance Numérique« , les équipes de Kaspersky participent régulièrement à des événements et des sessions de réflexions sur les sujets numériques et en particulier cyber. L’année dernière, notre contribution s’est notamment portée sur la cyber-résilience dans le secteur de la santé.
Depuis quelques années, les hôpitaux, et plus généralement les organismes de soins, sont les cibles privilégiées des attaques informatiques. Parmi les dernières en date, on peut citer le ransomware Clop ayant ciblé le CHU de Rouen, qui a débouché sur une paralysie totale des systèmes informatiques, impactant directement les délais de prise en charge des patients, ou encore le CHU de Montpellier, victime d’une attaque par phishing (ou hameçonnage) : 649 ordinateurs infectés, plus de 800 consultations fortement perturbées, et impossibilité de traiter les urgences du SAMU pendant une demi-journée. Les attaques sont de plus en plus importantes, sophistiquées et ciblées. Selon Guillaume Poupard, Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), leur nombre serait passé d’une tous les mois ou tous les deux mois, à une par semaine en un an seulement.
Les données personnelles des patients, aussi bien que les logiciels métiers qui permettent de gérer les admissions, les dossiers, les plannings, sont des éléments sensibles et ça, les cybercriminels l’ont bien compris. De plus, les spécificités de notre système de santé actuelle ont tendance à accroître le risque : une grande interconnexion, des architectures informatiques parfois très hétérogènes – nombre d’établissements sont encore peu matures sur les enjeux de cybersécurité – ainsi que le caractère hautement sensible des données de santé.
Table ronde « Cybersécurité : vers un système de santé résilient ? »
C’est pourquoi en octobre dernier, Kaspersky France et le think-tank Renaissance Numérique ont décidé de s’intéresser aux enjeux de cybersécurité dans le système de santé et d’interroger les capacités de résilience de ce secteur en profonde transformation numérique.
Car à la différence des secteurs bancaires par exemple, une cyberattaque massive qui ciblerait un établissement de soins, pourrait avoir un impact direct sur des vies humaines, et les mettre en péril.
La chaîne de soins se caractérise par une très grande hétérogénéité de structures (centres hospitaliers, médecins de ville, laboratoires, cabinets d’infirmiers, prestataires logistiques, techniques, etc.) et de métiers (deux cents métiers différents, soit plus de deux millions de professionnels) qui ne disposent pas tous de la même maturité numérique. Ces inégalités sont entre autres susceptibles d’être renforcées par la situation géographique, la taille et les capacités financières propres à chaque acteur.
A cela vient s’ajouter un manque de financement conséquent qui permettrait de faire face au défi qu’impose le numérique, de manière beaucoup plus homogène. Ce manque de moyens peut amener à des pratiques, ou à des processus à risques, comme l’explique Tanguy de Coatpont, Directeur Général de Kaspersky France : « l’essor de l’informatique dans les établissements de santé a conduit les praticiens à imposer leurs habitudes et appareils numériques personnels à leur Direction des Services d’Information. La pratique du « bring your own device » (BYOD) était même parfois plébiscitée par les responsables eux-mêmes car moins coûteuse que la mise à jour du parc complet des équipements. »
Outre ces difficultés structurelles, les acteurs de la santé doivent se conformer à un cadre réglementaire particulièrement fourni en matière de cybersécurité, cadre qui s’est renforcé au cours des quatre dernières années.
Des règles élémentaires d’hygiène numérique
Pour autant, il est un aspect qui peut se retrouver dans tous les secteurs, pour anticiper et réussir à faire face aux problèmes de cybersécurité : la formation et la sensibilisation. Les soignants, conformés aux règles d’hygiène dans leur pratique quotidienne, doivent désormais étendre leur vigilance aux « règles élémentaires d’hygiène numérique ». L’idée étant qu’ils deviennent les premiers remparts aux problèmes de sécurité, comme nous l’explique Bertrand Trastour, directeur des ventes chez Kaspersky France : « Je ne suis pas d’accord avec l’idée reçue selon laquelle l’utilisateur est systématiquement le maillon faible en matière de sécurité informatique car il est potentiellement le maillon le plus fort, mais à condition qu’il soit éduqué, qu’on l’ait amené à prendre conscience des conséquences de ses actes. C’est cela la cybersécurité, ce n’est pas uniquement empiler des couches de solutions informatiques, c’est avant tout travailler sur l’humain. »
Les enjeux de cybersécurité revêtent une dimension particulière quand on l’applique au secteur de la santé. Face à une menace grandissante et un cadre réglementaire qui s’est largement étoffé ces dernières années, les établissements de soins sont contraints à réinventer leur rapport aux données et à revoir les modèles de partage avec leurs prestataires mais également les patients.
TROIS RECOMMANDATIONS POUR UN SYSTÈME DE SANTÉ RÉSILIENT
1. Sensibiliser tous les acteurs du parcours de soins aux enjeux de cybersécurité
Ces efforts de sensibilisation doivent être réalisés dès la formation initiale des professionnels de santé, puis tout au long de leur carrière professionnelle. Ils doivent également intégrer les autres acteurs de la chaîne, jusqu’aux prestataires et aux patients. Cette démarche de sensibilisation doit être alimentée dans la durée, afin de s’adapter à des risques mouvants.
2. Sécuriser l’ensemble de la chaîne de santé en consolidant les relations contractuelles entre établissements de soins et prestataires
Cela peut passer, entre autres, par l’élaboration ou le renforcement des clauses relatives aux audits des processus internes mis en place par les prestataires qui manipulent des données de santé (ex. : prévoir la fréquence de ces audits, une grille des éléments à vérifier, les détails relatifs à la prise en charge des frais associés, etc.).
3. Miser sur des établissements de soins « chefs de file » pour diffuser les bonnes pratiques en matière d’hygiène numérique au sein des territoires
Par exemple, un CHU particulièrement en pointe sur les méthodes de gestion de crise pourrait participer de l’accompagnement d’autres établissements moins bien dotés avec lesquels il collabore sur un même territoire. Le nouvel échelon qu’est la CPTS pourrait également être un lieu d’échanges afin de sensibiliser les acteurs du parcours de soins aux enjeux de cybersécurité et effectuer des exercices de gestion de crise inter acteurs.
Téléchargez la note complète de Renaissance Numérique avec Kaspersky France.