À l’occasion de la crise sanitaire du Covid-19, les hôpitaux ont été plus que jamais en première ligne face au risque cyber. Un risque polymorphe entre campagnes de phishing, Trojan ou encore ransomwares. Mais comment expliquer la fragilité numérique du monde hospitalier ? Quelle cybersécurité pour les établissements de santé ?
Entre le mois de février et celui de mars 2020, qui marquaient le début de la pandémie en Europe, les actes de cybermalveillance visant les hôpitaux auraient augmenté de 475%, soit cinq fois plus d’attaques qu’en temps normal (d’après un autre acteur de la cybersécurité). À tel point qu’Interpol s’est emparé du sujet en s’alarmant publiquement de la multiplication des cyberattaques dans les établissements de santé. Un signal d’alarme repris fin mai par une tribune publiée dans les colonnes du journal Le Monde. Signée notamment par des ex-chefs d’État et de gouvernement, d’anciens dirigeants d’organisations internationales, de sociétés et des juristes – Ban Ki-moon, Desmond Tutu, Mikhaïl Gorbachev ou encore Brad Smith en tête – cette tribune appelle à une action concertée des gouvernements face à la menace cyber.
INTERPOL has also warned of the #cyberthreat to the #healthcare industry during these troubled times. With #ransomware attacks against hospitals increasing, #INTERPOL is working with police worldwide to mitigate and investigate these threats https://t.co/Zv6T7m6riE https://t.co/Dbcd8HQqXZ
— INTERPOL_Cyber (@INTERPOL_Cyber) April 21, 2020
La crise du Covid-19 vient ainsi tristement confirmer que les milieux hospitaliers sont des systèmes hypersensibles aux cyberattaques. Mais est-ce une situation uniquement conjoncturelle ou la révélation au grand public d’une souffrance et fragilité numériques subies par le monde hospitalier depuis plusieurs années déjà ?
Covid-19 et hôpitaux : opération hacker ouvert
Interrogé sur son quotidien de RSSI d’un groupement hospitalier de territoire (GHT) et de Vice Président de l'APSSIS, Charles Blanc-Rolin confirme qu’au-delà du travail considérable de réorganisation des services pour faire face à la crise et la création de nouvelles unités dédiées sur le plan informatique, les hôpitaux sont bien la cible d’attaques malveillantes déclinées sur le thème du Covid-19. Des attaques malveillantes qui vont de la classique tentative de phishing visant le personnel hospitalier, avec de fausses mises à jour du webmail à installer, jusqu’aux arnaques au Président plus sophistiquées. « Certains cyberattaquants ont prétendu avoir des réserves de masques FFP2 et ont tenté de réaliser une fraude au virement bancaire dans plusieurs établissements de santé français », précise-t-il. Toujours dans l’Hexagone, les hôpitaux de l’AH-HP ont quant à eux été victimes d’une attaque par déni de service (DDoS) visant à perturber l’accès aux messageries des personnels hospitaliers. Un incident « géré rapidement et efficacement par les équipes de l’AP-HP, sans impact critique » d’après le communiqué de l’ANSSI.
Si le fonctionnement de l’hôpital parisien n’a pas été ralenti, d’autres hôpitaux ont davantage été impactés par de telles cyberattaques. En effet, elles ont été nombreuses ces derniers mois sur la scène internationale avec des cyberattaques au Royaume-Uni, en République tchèque, ou encore en Roumanie.
Un retard de maturité cyber
Mais comment comprendre les motivations des cyberattaquants ? Force est de constater que les hôpitaux ont toujours été une cible de choix des cyberattaques. « Il y a deux grands types d’attaques lucratives contre les hôpitaux : l’extraction de données de santé et les ransomwares. Les données de santé sont des informations stratégiques et ultra-sensibles pour le fonctionnement du service hospitalier, et donc des cibles de choix pour les cyberattaquants car plus rémunératrices que de simples données personnelles. Et face aux ransomwares, les hôpitaux sont malheureusement plus susceptibles que d’autres de payer les rançons du fait de l’obligation d’assurer la continuité des soins », souligne Raphaël Granger, Account Manager chez Stormshield. « N’oublions pas non plus qu’à l’image de toutes les entreprises et organisations qui ont fait face à cette crise sanitaire soudaine, les hôpitaux n’étaient pas prêts à subir cette double charge », complète Charles Blanc-Rolin.
Si on le compare à d’autres secteurs stratégiques, comme l’industrie ou le système bancaire, on s’aperçoit également que les systèmes de santé souffrent en général d’un retard de maturité en termes de sensibilité numérique et de cybersécurité. Par exemple, le recours massif au télétravail pour certains des personnels de santé n’a pas facilité la tâche au RSSI des hôpitaux, déjà débordés. Pour en savoir plus, la tribune de Charles Blanc-Rolin sur le sujet du contrôle des données en situation de télétravail est riche d’enseignements et d’outils disponibles. De la même manière, les solutions de téléconsultations mises en place pour faire face à l’affluence de malades ont augmenté la surface d’exposition des hôpitaux.
Il faut dire que le caractère soudain de la crise est venu appuyer là où ça fait mal. Et les élans d’optimisme du début de crise – certains groupes de hackers comme DoppelPaymer ou Maze n’avaient-ils pas déclaré qu’ils ne s’attaqueraient pas aux hôpitaux ? – se sont vite évaporés, pour mettre en lumière les problèmes structurels.
Un sous-investissement informatique chronique
En premier lieu, le fait que « les systèmes informatiques du système de santé français sont touchés par des sous-investissements chroniques », comme s’en alarment les sénateurs français Olivier Cadic et Rachel Mazuir dans une tribune publiée début mai. « Dans les GHT français, seulement 1% du budget général est consacré au numérique en général (sécurité incluse), contre 5 à 6% dans les pays du nord de l’Europe », déplore Charles Blanc-Rolin. Un point qui a été rendu d’autant plus crucial par la politique des regroupements d’hôpitaux (qui a donné naissance aux GHT). « La nécessité de mailler et de connecter les hôpitaux entre eux mais aussi d’inclure divers typologies d’équipements connectés a conduit à augmenter la surface des attaques et donc la fragilité des infrastructures informatiques hospitalières. En parallèle, la faiblesse des budgets IT et sécurité dans le monde de la santé est un élément contraignant pour ces derniers, qui ne sont pas suffisamment armés pour faire face à ces menaces », précise Raphaël Granger.
Dans les GHT français, seulement 1% du budget général est consacré au numérique en général (sécurité incluse), contre 5 à 6% dans les pays du nord de l’Europe
Charles Blanc-Rolin, RSSI du GHT15 & Vice Président de l'APSSIS
Ce sous-investissement est particulièrement visible pour les équipements de santé, qui sont fréquemment automatisés. Que ce soit pour l’imagerie médicale (IRM, scanner), les sondes ou bien les analyses sanguines et génétiques, l’écosystème des automates est particulièrement varié. Et si certains hôpitaux ont les moyens de se doter d’automates dernier cri, la plupart opèrent sur des machines anciennes. « Pour ces machines, on parle de factures à 6 chiffres. Elles sont extrêmement coûteuses et les investissements pour les hôpitaux se font donc sur 15 à 20 ans. Dans la plupart des cas, les postes de contrôle-commande opèrent les automates depuis des systèmes d’exploitation obsolètes, comme Windows XP ou Windows 2000 », précise Raphaël Granger. Or en cas de problèmes ou de machines défaillantes, les RSSI se retrouvent dans l’impossibilité d’agir : les appareils ont bien souvent des certifications médicales qui empêchent d’appliquer les correctifs de sécurité. « La seule solution est d’isoler ces appareils dans des réseaux spécifiques en évitant autant que possible les interconnexions avec l’extérieur et en maîtrisant les flux qui sont nécessaires », indique Charles Blanc-Rolin. Mais de telles précautions ont forcément un coût. Face à la diminution des dotations publiques et des exigences de rendements toujours plus fortes, la cybersécurité des dispositifs médicaux semble passer au second plan.
GTC / GTB, la question de la cybersécurité opérationnelle
L’hôpital devenant un système connecté et automatisé, il ne faut pas oublier la perspective de cybersécurité dans les réseaux opérationnels (OT) pour comprendre ses vulnérabilités. Au sein d’un bâtiment hospitalier, cela va concerner les énergies ou les fluides, comme la climatisation, les niveaux d’air ou encore la sécurité incendie. Des éléments au cœur des smart-buildings et de leurs infrastructures connectées. D’autant plus que les environnements hospitaliers sensibles comme les blocs opératoires, les appareils à IRM ou les salles de réanimation nécessitent un niveau d’air et une température constante. On parle alors de gestion technique centralisée (GTC) et de gestion technique des bâtiments (GTB).
« De par la configuration des bâtiments hospitaliers et de certains espaces, le traitement de l’air est fondamental et le risque sanitaire évident. On imagine malheureusement assez bien l’importance de son renouvellement au niveau des blocs opératoires, ou même dans les chambres pour éviter la propagation de bactéries ou de virus. La gestion de la température et du taux d’humidité est également cruciale, par exemple dans les services de néonatologie où dans les services qui accueillent les grands brûlés. Et il ne faut pas oublier que le risque peut également être financier lorsqu’il s’agit de maitriser le circuit de refroidissement d’un IRM par exemple pour ne pas l’endommager », souligne Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield.
La perspective d’une cyberattaque qui viendrait dérégler le système de traitement de l’air dans un bloc opératoire constitue tout de suite un risque sanitaire critique
Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield
Et de manière plus globale, « certaines activités médicales d’un centre hospitalier – comme la réanimation, les urgences ou encore les soins intensifs – sont suffisamment critiques pour disposer d’installations propres qui assurent la continuité de l’alimentation électrique, poursuit Vincent Nicaise. Un aspect qui est légiféré pour les établissements de santé publics et privés, et qui montre bien un vrai besoin de sécuriser la disponibilité de l’énergie au sein de ces centres. » Une vulnérabilité mise en avant lors de l’attaque du CHU de Rouen, comme le rappelait Rémi Heym, le directeur de la communication du CHU dans les colonnes du Monde : « Éteindre le système entier n’est pas anodin pour un CHU, où tout est informatisé : les admissions, les prescriptions, les analyses, les comptes rendus… ».
Infrastructures vitales mais fragiles et particulièrement menacées, les hôpitaux ont démontré leur capacité de résilience pendant cette crise. Mais pour combien de temps ? Combien de semaines vont-elles s’écouler avant qu’un nouvel hôpital ne se retrouve dans l’œil du cyclone ? Outre les enjeux colossaux du « retour à la normale », gageons que le volet cybersécurité sera au cœur des discussions pour l’administration hospitalière. Avec en ligne de mire une augmentation des budgets dédiés ?