Cybersécurité : les hôpitaux contre-attaquent  

« 34.4% de l’ensemble des violations de cybersécurité dans le monde surviennent dans le secteur de la santé », nous dit [1] Patrick Bakowski, COO de Win [2]. Ce constat alarmant nous amène à nous poser la question suivante : où en sont les hôpitaux ?

Menace internationale

En 2017, lorsque les Etats-Unis avertissent de l’attaque informatique d’ampleur mondiale qui est en train de se produire, un réel vent de panique souffle à travers le monde. Et pour cause, organisations, entreprises, gares et même établissements hospitaliers ont été la cible de ce piratage, qui a paralysé leurs activités durant plusieurs jours. Au Royaume-Uni, les hôpitaux du service national de santé (NHS) ont d’ailleurs subi cette cyberattaque de plein fouet avec plus de 40 établissements affectés.

En 2018, Singapour subit la pire cyberattaque de son histoire lorsque SingHealth, l’un des plus grands groupes de santé de la cité-Etat, laisse échapper les données personnelles d’un million et demi de patients. Les hackeurs ont ainsi dérobé des noms, des adresses, des dates de naissance, des numéros de carte d’identité ou encore des prescriptions médicales au sein de 4 hôpitaux, 5 centres spécialisés et 8 polycliniques.

Récemment, d’autres attaques informatiques ont été perpétrées, notamment chez nos voisins. Pour preuve, mi-novembre le Centre Hospitalier Universitaire de Rouen a essuyé une cyberattaque massive qui a complètement neutralisé son système informatique. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d'information), c’est un groupe d’attaquants nommé « TA505 » et actif depuis 2014, qui serait à l’origine de l’acte malveillant. Ce groupe de malfaiteurs aurait tenté d’infiltrer d’autres hôpitaux français, mais cette fois-ci sans succès. Au cours des derniers mois, des épisodes similaires sont également survenus en Belgique, aussi bien au Nord qu’au Sud du pays.

Ça n’arrive pas qu’aux autres

En mars 2019, la Clinique André Renard a vécu une expérience plutôt désagréable qui a fait la une de la presse nationale. À la suite d’un signalement du service des urgences faisant état de moniteurs ne répondant plus, Marc Delforge, responsable informatique de l’établissement, s’est rapidement aperçu qu’un individu s’était introduit dans le système informatique de l’hôpital. La situation s’est rapidement aggravée et en quelques minutes quasiment tous les ordinateurs de l’établissement étaient infectés par un virus « cryptolocker », rendant ainsi inexploitables les fichiers contenus sur les machines. À la manœuvre de cette attaque informatique, un hacker qui réclame une rançon (5000 € par serveur) pour rétablir la situation. « 70 serveurs et 150 millions de fichiers ont été cryptés. On a donc réuni une cellule de crise en urgence et on a pris la décision d’utiliser les sauvegardes existantes. Heureusement, aucune donnée personnelle n’a été volée », affirme Marc Delforge.

Du côté du personnel soignant, patience et système D ont été de rigueur. « C’était un peu la catastrophe car plus rien ne fonctionnait. Nous n’utilisons plus de papier, tout est numérisé chez nous, du coup nous n’avions plus accès à notre armoire à médicaments informatisée ni aux dossiers médicaux par exemple. Nous avions perdu tous nos points de repère. On devait se rappeler de mémoire les médicaments à administrer aux patients ou tout simplement leur demander ceux qu’ils ont l’habitude de prendre, mais ce n’est pas normal… Je dois avouer que c’était assez dangereux pour la sécurité des patients. », confie Fabien Bovy, infirmier à la Clinique André Renard.

Aujourd’hui, la situation est revenue à la normale au sein de l’établissement et de nombreuses mesures ont été prises. Après avoir investi dans de nouveaux équipements et de nouveaux logiciels, la cellule informatique s’attelle désormais à sensibiliser leurs collègues issus des autres services de l’hôpital aux dangers du net. « Récemment, on a réalisé une action de phishing. On a envoyé un faux mail à l’ensemble des membres du personnel en les incitant à introduire leur login et leur mot de passe sur une fausse plateforme, qui ressemblait comme deux gouttes d’eau à la plateforme officielle de l’hôpital. Plusieurs personnes sont tombées dans le panneau. À la suite de cette action nous avons organisé un debriefing et une séance d’information visant à expliquer les trucs et astuces à connaitre pour déjouer ce type de piège. Généralement, les gens ne se sentent pas concernés par les matières informatiques et pourtant ils ont un rôle important à jouer. », conclut Marc Delforge.

Divers plans d’action

Grâce à sa prévoyance et sa réactivité, la Clinique André Renard a su se dépêtrer de cette affaire quelque peu inquiétante. Néanmoins, la perspicacité ne suffit pas toujours et une cyberattaque peut gravement nuire à un établissement hospitalier et aux patients, notamment en cas de vol de données personnelles. Consciente des dangers qui pèsent sur des secteurs sensibles tel que celui des soins de santé, l’Union européenne a décidé d’établir une législation visant à renforcer le système de cybersécurité des Etats membres. Ainsi, le 6 juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information, communément appelée « directive NIS », un dispositif en trois étapes que les Etats membres sont invités à transposer en loi.

Cependant, les gouvernements des pays européens n’imposant pas systématiquement des mesures de protection définies à appliquer aux établissements hospitaliers, certains hôpitaux décident spontanément d’entreprendre des projets visant à renforcer leur mécanisme de défense face aux cyberattaques. Certains d’entre eux, suivent notamment des démarches en vue d’obtenir la certification « ISO 27001 ». L’ISO 27001 est une norme conçue pour aider les organisations à monitorer et à améliorer leur système d’information.

D’autres établissements, quant à eux, décident de monter des projets répondant à des besoins communs. Par exemple, le CHU de Charleroi, en collaboration avec une société experte en cybersécurité, a pris l’initiative de créer une communauté de partage regroupant tous les acteurs du monde de la santé. Pierre Jaradin, responsable sécurité au CHU de Charleroi, nous explique en quoi cela consiste : « Cette communauté [3] , s’appuie sur une plateforme [4] qui a pour vocation l’échange et la corrélation des menaces de cybersécurité. Cette communauté permet d’assister ses membres dans la gestion et la réponse aux incidents. Elle permet également d’anticiper les menaces détectées par l’un des membres en protégeant les autres membres grâce à la propagation des informations. En outre, le CHU de Charleroi souhaite favoriser la communication entre les personnes qui ont les mêmes besoins et font face aux mêmes problèmes et menaces ».

Un dernier outil, encore peu exploité chez nous, est à disposition des hôpitaux : le recours à des « white hats ». Ces « gentils » hackeurs permettent de déceler les failles de sécurité d’un système informatique avant que celles-ci ne soient exploitées par les cybercriminels. Durant deux ans, une société indépendante de conseil en sécurité basée aux Etats-Unis a mené un vaste projet et a attaqué 12 hôpitaux, à l’aide d’une armée de hackeurs « bienveillants », afin de conscientiser les établissements sur leur état de vulnérabilité.

D’initiative personnelle ou en vertu d’une législation, et quels que soient les moyens utilisés, les établissements de soins de santé sont voués à s’immuniser contre cette épidémie mondiale qu’est la cybercriminalité.

[1] Journées d’Etudes santhea 2019

[2] Opérateur et intégrateur de services TIC

[3] SHC (Secure Healthcare Community)

[4] MISP (Malware Information Sharing Platform)

En visitant, utilisant ce site web et en prenant contact avec le responsable du traitement, vous consentez expressément à ce que nous recueillions et traitions, selon les modalités et principes décrits dans nos politiques de confidentialité, vos données à caractère personnel.
J'accepte