Après la cyberattaque qu’il a subie le 22 août dernier, le Centre Hospitalier sud francilien (CHSF) de Corbeil-Essonnes a annoncé vendredi dernier que les cybercriminels ont mis à exécution leur menace de divulgation des données captées.

Au cours de ces dernières années, les cyberattaques contre les établissements de santé se sont multipliées. Le Centre Hospitalier Sud-Francilien (CHSF) de Corbeil-Essonnes est la dernière victime en date. Le dimanche 21 août 2022, l’établissement fait l’objet d’une cyberattaque par ransomware, mettant son système d’information hors d’état de fonctionner. Les hackers proposent alors une rançon (10 millions de dollars) contre la restitution des données, faute de quoi les cyber-attaquants menacent de rendre ces données publiques.

Depuis le vendredi 23 septembre, c’est chose faite. Une partie de ces données volées seraient en ligne. Pour l’heure, le site web du CHSF ne donne pas plus d’information. Son dernier document sur le sujet datant du 24 août précise : « Un état des lieux est en cours pour identifier le périmètre de l’attaque. Ce travail s’annonce long car le système d’information hospitalier de l’établissement est complexe ». 

A lire aussi : Quelles leçons tirer de la cyberattaque du Centre hospitalier de Corbeil-Essonnes ?

Cette cyberattaque n’est malheureusement ni la première, ni la dernière visant un hôpital, structure qui traite par définition les données les plus sensibles de citoyens français, celles liées à leur santé. Dans ce contexte, force est de constater que le Règlement UE n°2016/679 dit « RGPD » encadre la prévention des risques en amont, plutôt que la gestion de crise une fois la cyberattaque réalisée. Le mot « risque » apparait ainsi 78 fois dans le corps du RGPD.

Ce règlement impose en effet de nombreuses mesures juridiques, techniques et organisationnelles pour prévenir ces risques de cyberattaque :

• L’obligation de mettre en place des mesures de sécurités adaptées, notamment la mise en place de chiffrement, ou de procédures de test pour s’assurer de la sécurité des systèmes (article 32),
• L’obligation de réaliser une analyse d’impact, notamment en cas de présence de données sensibles comme les données de santé (article 35),
• La signature d’un accord de sous-traitance avec les prestataires externes (article 28), etc.

Dans le domaine de la santé, de nombreuses règlementations supplémentaires imposent aux établissements de santé un niveau de sécurité adapté, avec notamment l’obligation d’avoir recours à un hébergement certifié HDS (article L1111-8 du Code de la santé publique).

Mais qu’en est-il une fois que le risque est avéré, et que la cyberattaque est réalisée ? Les articles du RGPD se font alors plus rares :

1. Documenter la cyberattaque dans le Registre de violation des données (article 32 du RGPD)

Rappelons qu’avant même la connaissance d’une cyberattaque, tout responsable de traitement (ou « data controller ») a l’obligation de disposer en interne d’un Registre de violation des données. Ce document devra ainsi être complété en priorité au moment de la violation.

2. Notifier la violation à la CNIL (article 32 du RGPD)

En cas de violation de données de santé, l’établissement de santé a l’obligation de notifier la Cnil dans un délai de 72 heures à compter de sa connaissance de l’incident. Cette notification se fait en ligne, via un formulaire rendu disponible sur le site web de la Cnil.

Dans le cadre des incidents affectant les établissements de santé, ces derniers ont également l’obligation de notifier « sans délai » cette violation à l’Agence régionale de santé (article L1111-8-2 du Code de la santé publique).

3. Communiquer la violation de données aux personnes concernées (article 33)

Dans le cas où cette violation de données risquerait de porter atteinte aux droits et libertés des personnes concernées, le responsable de traitement a également l’obligation d’informer ces personnes dans les meilleurs délais.

Le RGPD impose les différentes catégories d’information à fournir dans ce cas à ces personnes : nature de la violation, nom et coordonnées du DPO, description des conséquences probables de la violation de données, et description des mesures prises pour remédier ou atténuer les conséquences négatives de l’incident.

En cas de non-respect des articles précités, le RGPD prévoit des sanctions administratives pouvant s’élever jusqu’à dix millions d’euros, ou dans le cas d’une entreprise, 2% de son chiffre d’affaire.

En conclusion, ces articles sont certes utiles pour documenter la violation, et prouver en cas de contrôle de la Cnil le respect des dispositions du RGPD, mais ne donnent pas d’indication technique ou organisationnelle sur la gestion de la cyberattaque.

Cette logique tient surement du fait que si la maîtrise du risque et de la sécurité en amont est à la portée de tous, il est malheureusement avéré qu’une fois la fuite ou l’incident constaté, peu de mesures permettent d’y pallier. Le RGPD nous rappelle ainsi le dicton tristement célèbre « Mieux vaut prévenir que guérir ».

Bien heureusement, en complément du RGPD, de nombreux documents, guides de bonnes pratiques, et entités viennent guider les établissements de santé en cas d’incident. Le CERT Santé, organe de l’ANS (Agence du Numérique en santé), propose par exemple ses services aux établissements de santé en cas d’incident de sécurité affectant leurs systèmes d’information.

L’ANS propose également un service de cyber-surveillance, destiné aux établissements de santé, et qui consiste à rechercher et détecter de façon préventive les vulnérabilités sur les domaines exposés sur Internet. Suite à ces recherches, un rapport d’audit est ensuite communiqué à l’établissement concerné. En conclusion, l’alliance entre le juridique (RGPD) et la technique, semble être la seule solution pour prévenir… et guérir.