Plus encore que pour les autres organisations, la crise pandémique a agité les établissements de santé. Mais pas seulement sur le front du système de soin en tant que tel : assaillis par les risques cyber, les professionnels cherchent à faire évoluer les usages et la culture de la sécurité pour que la e-santé ne soit pas le maillon faible.

>>Article réalisé sur la base des échanges avec les intervenants de la table ronde du FIC2021  » E-santé et télémédecine : quelle sécurité pour ces nouveaux usages ? », animée par Dorian Marcellin

Le 13 octobre dernier, l’Etat d’Israël annonçait pour la première fois de son histoire avoir subi une cyberattaque critique sur un de ses hôpitaux publics. Le ransomware en question a forcé l’établissement Hillel Yaffe situé à Hadera, dans le centre du pays, à fonctionner en mode dégradé et à « utiliser des systèmes alternatifs pour soigner les patients » d’après sa direction. Ainsi, même l’un des pays jugés comme parmi les plus avancés en matière de cybersécurité a vu son système de santé affecté par la cybermenace.

En France également les hôpitaux ont été mis sous pression ces dernières années et d’autant plus depuis le début de la crise pandémique. Dax, Villefranche, Oloron-Sainte-Marie… les exemples d’établissements touchés, notamment par des ransomwares, se sont multipliés depuis le printemps 2020. Dans un autre genre, le vol durant l’été dernier des données d’1,4 million de personnes ayant fait un test Covid au sein des établissements de l’AP-HP, a été fortement médiatisée et un étudiant a été mis en examen en octobre après avoir avoué sa responsabilité. Au danger d’une paralysie opérationnelle s’ajoute ainsi celui de cyber-militantisme ou même du vol crapuleux de données notoirement sensibles. Récemment, le directeur du centre hospitalier de Cornouaille-Quimper-Concarneau rappelait cette triste vérité : « Un dossier médical est revendu 200 euros sur le darknet ».

Difficulté à traiter la cybersécurité en amont des projets

Pourtant, en parallèle, le contexte de la crise pandémique a également été celui d’un bond en avant des usages d’e-santé et de télémédecine. Rien qu’entre février et septembre 2020, la France est ainsi passée de 40 000 actes de téléconsultations mensuels à… 150 000 hebdomadaires. Alors comment conjuguer ce grand écart entre des établissements de plus en plus centrés sur le numérique et dépendant de ses usages, et les risques encourus ?

« Les hôpitaux se concentrent aujourd’hui sur le fonctionnel : un professionnel de santé va imposer de nouveaux usages comme la télémédecine si cela est utile au patient, sans prendre en compte les mesure de cybersécurité. Or, si la pratique augmente, on doit forcément augmenter la sécurité. Et plus celle-ci est pensée en aval, plus cela est difficile » résume pragmatiquement Jean-Sylvain Chavanne, RSSI du CHU de Brest.

Pour lui, le sujet est d’ailleurs moins de sécuriser les flux de télémédecine en tant que tel, car l’intérêt est au demeurant faible pour les criminels de s’y attaquer, en comparaison aux gains potentiels de ransomware lancé sur le système d’information global d’un hôpital. « Les sujets clés aujourd’hui, ce sont d’une part celui de la garantie de l’identité des patients et d’autre part celui des niveaux de disponibilité des plateformes numériques… bien plus que celui de l’intégrité des données au sens strict ». Il note en effet le traumatisme qu’a tout simplement représenté la chute des serveurs OVH dû à l’incendie du site strasbourgeois du spécialiste français du cloud au printemps 2021. « Ce n’était pas une cyberattaque, mais cela a secoué tout le monde. Cela montre la dépendance au système et aussi l’effort énorme à faire en matière de culture du numérique et de la sécurité au sens large dans les organisations » souligne le RSSI.

Des étapes clés à passer pour tous les établissements de santé

« Si on remonte il y a vingt ans en arrière, un établissement pouvait réussir à soigner un patient sans son système informatique. Aujourd’hui, ce n’est plus le cas » reconnait Christophe Delpierre, qui dirige le cabinet de conseil Risk’n TIC, après avoir été lui-même pendant des années RSSI au sein d’un hôpital francilien. Interrogé sur la maturité du secteur, il épingle : « On voit des écarts énormes de maturité. Certains établissements mettent en place une vraie gouvernance appropriée et d’autres pensent encore que se cacher derrière un firewall sera suffisant… ».

Il résume les étapes par lesquels devraient passer tous les établissements. D’abord, faire un état des lieux de leurs assets numériques et de l’architecture de leur système d’information, souvent inconnu ou mal maîtrisé. Ensuite, faire une évaluation du niveau de gouvernance concrètement en place et de la prise en compte du sujet cybersécurité au niveau organisationnel. Enfin, selon le niveau de maturité, adapter un plan d’action crédible. « Autrement dit, si la direction n’est pas sensibilisée aux problèmes, cela ne sert à rien de penser en termes de firewall ou d’autres outils de protection » glisse l’expert, qui souligne encore que l’évaluation de la maturité peut se faire en observant la capacité à avoir en place une démarche d’amélioration continue.

L’objectif : faire de la sécurité by design, au lancement de chaque nouveau projet, quand bien même le système d’information d’un CHU est ancien et ne s’apparente pas à une feuille blanche. Quant aux éditeurs de solution numérique pour les acteurs de la santé, il les appelle en urgence à suivre les pratiques de l’Anssi, et à s’assurer de bien respecter la directive NIS. Et de se poser la question « A quelle condition seront-ils capables de faire durer cet effort de sécurité dans le temps ? »

Cette question, les dirigeants de Doctolib se la sont également posée. Mise sous le feu de projecteur à l’occasion de la crise, l’application de prise de rendez-vous a été au cœur de la gestion de l’urgence pour les généralistes en 2020, mais également de la croissance de la téléconsultation, puis, plus récemment de la délicate campagne de vaccination à l’échelle nationale. Emblématique de l’important mouvement de digitalisation de la santé hexagonale, Doctolib est également observée de très près sur sa capacité à assurer la sécurité et la confidentialité des informations qui sont liées à ses activités, et donc à ceux des établissements hospitaliers avec lesquels elle a multiplié les partenariats ces dernières années.

La bataille des interconnexions

Cédric Voisin, le CISO de l’entreprise a bien conscience de l’importance grandissante que joue son entreprise dans l’équation de la cybersécurité de la e-santé : « L’écosystème de santé est aussi fort que le plus faible d’entre nous tous. Or, entre un praticien en cabinet de campagne et un CHU, il y a une différence énorme de culture et de moyens, pourtant ce sont tous les deux des acteurs avec lesquels nous interagissons et qui traitent des données de santé. De plus, au-delà de la gouvernance de la donnée elle-même, la faiblesse de la protection viendra souvent du partage de la donnée entre deux acteurs, quels qu’ils soient. Il faut donc à la fois faciliter l’interopérabilité à tous les niveaux de la chaîne, faciliter les accès pour faciliter les usages, mais également faire prendre conscience du caractère critique que revêtent ces interconnexions à tous les acteurs ! ». L’observation est particulièrement appropriée pour les plus grands centres hospitaliers, qui se retrouvent actuellement au cœur de la majorité des interconnexions, en multipliant par exemple les appels API, sans toujours réfléchir aux implications pour la globalité de la chaine de sécurité.

Pour autant, du point de vue de Doctolib, l’enjeu n’est ni spécifique à la télémédecine ou à la téléconsultation, et encore moins un sujet uniquement technique. « La priorité actuelle est vraiment sur la sensibilisation des praticiens eux-mêmes, qui ont des niveaux de prise de conscience du problème très différents – souvent selon qu’ils aient déjà subi une cyberattaque ou non. Et dans la même démarche, il est nécessaire de rendre la sécurité la plus transparente possible pour ces professionnels. Il faut simplifier l’utilisation des fonctions de sécurité quotidienne au maximum, pour éviter les pratiques de contournement dommageables ». Cédric Voisin rappelle par ailleurs que la doctrine technique du numérique en santé va imposer entre 2023 et 2026 des changements importants dans les usages : l’occasion d’associer fortement la question de la cyber à la transformation des établissements de santé.

Convaincre les médecins, le nerf de la guerre

La bataille de la sécurité de l’e-santé est donc aussi avant tout culturelle. Un point que Jean-Sylvain Chavanne du CHU de Brest ne met pas en doute. « Un hôpital a toujours deux têtes : les métiers de santé et les métiers administratifs. Alors qu’avec une entreprise, l’impulsion du dirigeant peut suffire pour changer, c’est différent dans un CHU, car les médecins sont moins réceptifs. Le CISO doit donc convaincre les dirigeants administratifs de faire de faire l’analyse de risque d’une part, mais aussi les professionnels de santé eux-mêmes que certains usages ne sont pas compatibles avec la sécurité de l’établissement. On rentre alors souvent dans des considérations difficiles pour des acteurs qui estiment à raison que leur métier est avant tout de sauver des vies, pas de s’occuper de sécurité numérique. Les considérations peuvent vite devenir politique dans les grands établissements ».

Sauver des vies et protéger un SI… les deux sujets pourraient pourtant rapidement se confondre pour les médecins. En septembre 2020, pour la première fois une patiente est décédée des conséquences d’une cyberattaque sur le système de soin dans l’hôpital universitaire de Düsseldorf en Allemagne. Une situation qui ne manquera malheureusement pas de se reproduire à l’avenir si rien ne change.