Hôpitaux et Orange Cyberdefense, main dans la main

En 2023, les établissements de santé doivent être prêts en cas d’incident cyber : c’est l’objectif du Gouvernement. En première ligne dans cette bataille, Orange Cyberdefense, qui main dans la main avec le GIP SESAN (Groupement Régional d’Appui au Développement de l’eSanté d’Île-de-France) et la CAIH (Centrale d’Achat de l’Informatique Hospitalière), va multiplier les exercices de crise d’origine cyber dans plus de 3000 établissements de santé en France.

Il est loin le temps où des groupes de cybercriminels comme feu Maze et DoppelPaymer juraient qu’ils ne viseraient jamais des établissements médicaux. La barrière morale a sauté en novembre 2019 avec la première attaque connue, celle du CHU de Rouen.  On se souvient ensuite de l’attaque massive de l'assistance publique-Hôpitaux de Paris (AP-HP) au mois de mars 2020, en pleine explosion de la pandémie de COVID. 27 attaques majeures cette année- là, une par semaine en 2021. Plus près de nous, le Centre Hospitalier sud-francilien (Corbeil-Essonnes) et le Centre Hospitalier de Versailles, pris pour cible le 21 août et le 3 décembre 2022. Dans les deux cas, un ransomware avec des milliers de données chiffrées contre une demande de rançon. Pour le Centre Hospitalier sud-francilien, les données ont également été volées puis publiées et probablement vendues face au refus de versement de la rançon. Mais surtout, le transfert de plusieurs patients, le déclenchement d’un plan blanc pour les urgences sanitaires et le retour au papier et au stylo pour le personnel pendant plusieurs semaines.

C’est à ce moment-là que le Gouvernement a renforcé son plan pour la cybersécurité dans les établissements de santé, avec au cœur du dispositif, un programme de préparation aux incidents cyber. Car le nerf de la guerre se situe là désormais. Non pas dans l’évitement, impossible, des attaques, mais dans la réponse qui y est donnée, le plus vite et le plus efficacement possible.

« Il était vraiment temps que les établissements de santé soient dans « l’obligation » de se préparer, même si l’on sait qu’ils ne peuvent pas se protéger à 100%. Il faut se mettre en ordre de marche pour le jour où cela arrive », explique Thierry Stein, Directeur Conseil & Audit pour l’Île-de-France chez Orange Cyberdefense.

Le 30 juillet 2021 déjà, dans la cadre du Ségur de la Santé, les directeurs généraux des ARS (Agences régionales de santé) avaient reçu une note du ministère des Solidarités et de la Santé enjoignant à organiser des exercices cyber chaque année dans les établissements « OSE » (opérateurs de services essentiels, les 135 principaux hôpitaux depuis février 2021, NDLR). En décembre 2022, c’est un cran supplémentaire qui a été franchi, avec une date butoir : « Pour les OSE, le Ministère demande que 100% des établissements aient réalisé ces exercices avant le 31 mai 2023, précise Cédric M, Consultant Manager en sécurité des systèmes d’information, qui connaît bien la gestion de crise pour être intervenu lors de l’attaque du CH de Versailles. « Pour les non-OSE, nous avons jusque fin 2023. Tout le monde ne sera pas prêt. Mais il y une certaine pression des ARS sur les établissements de santé et médico-sociale pour faire remonter leurs indicateurs de performance ».

Pression accrue donc, car si dans les textes, les établissements de santé sont soumis à une obligation légale en vertu de la loi « Informatiques et libertés » de 2018, du RGPD (Règlement général sur la protection des données) de l’Union européenne, et du Code de la santé publique, dans les faits, on est très loin du compte. Marc Tolub, consultant Manager Senior, en charge de la Cyber-résilience et de la gestion de crise au sein de la Direction Conseil & Audit, nous dit pourquoi : « La réalisation d’exercices de crise cybersécurité au sein des établissements de santé et des structures médico-sociales est l’une des actions prioritaires du Plan de renforcement cybersécurité du ministère de la Santé et de la Prévention. 

Les établissements de santé ont l’obligation d’effectuer un exercice de crise cybersécurité, mais ils n’en ont ni le temps ni les moyens pour cela.

Une réalité plus opérationnelle et de terrain prend le pas sur la réalisation d’un exercice au risque de laisser les établissements plus vulnérables que jamais face à une attaque cyber.

Cette fois, le coup de pouce financier semble faire la différence. Le ministère de la Santé a mis en place une subvention afin de doter les établissements de santé d’un budget supplémentaire pour se préparer. D’où les opérations lancées par le GIP SESAN et la CAIH. Et tous deux ont choisi Orange Cyberdéfense pour organiser une très grande partie des exercices de crise cyber en France et en Île-de-France.

Marc Tolub détaille pour nous : « Un collège d’experts issus de différents GRADeS (Groupement Régional d’Appui au Développement de la e-Santé) a constitué un kit d’exercices, qui a trois niveaux : débutant, intermédiaire et avancé. L’objectif, c’est d’entraîner les établissements de santé à faire face à une crise cyber en s’appuyant sur des scénarios réalistes et représentatifs de leurs activités. Ces kits sont disponibles sur le site de l’ANS (Agence Du Numérique En Santé).

Les établissements en Île-de-France peuvent aussi bénéficier d’exercices sur mesure.

N’importe quel établissement de santé peut s’évaluer de façon à se positionner par rapport à cette grille, et nous commander le bon niveau d’entraînement : il s’agit de mobiliser une ou plusieurs cellules de crise (la direction de l’hôpital, les directeurs de services, les services généraux, l’IT) et de les confronter à un scénario d’attaque (fuite de données et rançongiciel…). C’est une simulation, avec mise en situation en temps réel qui dure une demi-journée à plusieurs jours. L’idée, c’est de compromettre le système d’information de manière à paralyser les différents services, le parcours santé du patient .... Le personnel doit être prêt ».

Et chez Orange Cyberdéfense, l’approche s’est faite dans l’esprit du plan blanc numérique voulu par le Gouvernement pour 2023, c’est-à-dire doter les établissements des réflexes et pratiques à adopter si un incident cyber survient, avec des automatismes de gestion de crise adaptés aux spécificités des établissements de santé.

« Chez nous, précise Thierry Stein, ce qu’on appelle « gestion de crise » est différent de l’acceptation commune partout ailleurs. Nous, nous travaillons avant, pendant et après la crise. Nous sommes l’un des rares acteurs du marché à proposer une réponse couvrant l’intégralité du cycle de la menace et capable d’accompagner nos clients lors de crises réelles. Nous préparons nos clients à la crise : organisation, formations, exercices… c’est notre spécialité, sur des organismes petits comme plus gros. Nous n’avions pas encore fait beaucoup d’exercices avec les hôpitaux, mais là, nous le développons massivement avec la CAIH et le GIP SESAN ».

Et l’enjeu est de taille, poursuit Marc Tolub : « Nous cherchons à couvrir toutes les crises « d’origine cyber », la terminologie est importante. C’est-à-dire de ne pas avoir une approche purement technique, la résolution des crises cyber, mais plus largement de prendre en compte tous les métiers de la santé : quel est l’impact pour un hôpital ? Arrêt des urgences, redirection des patients vers d’autres hôpitaux, fermeture de services, plus d’IRM ou de chimiothérapie … dans toutes les activités nous dépassons l’approche purement cyber et développons une approche métier, juridique, communication de crise…. Mais évidemment, avec la santé, l’impact n’est pas le même, l’aspect humain est capital. La santé, c’est vous, c’est moi. On ne parle pas de pertes financières là, mais dans le pire des cas, de pertes humaines ».

Orange Cyberdéfense a renforcé son expertise en se tournant vers l’un des meilleurs connaisseurs du monde de la santé, Christian Anastasy, Président de Persan Conseil, qui intervient dans le domaine de la cybersécurité avec Marie-Noel Convert, présidente de MUSE.,

Christian Anastasy a exercé à la fois au niveau national, comme conseiller technique directeur général de l’ANAP (Agence nationale d’appui à la performance), ou sur le terrain, à la tête de plusieurs organisations de santé publique, associatives et privées. Il confirme le défi : « Aujourd’hui, tout est informatisé, donc tout le monde est concerné. Notre mission, c’est de faire prendre conscience à tous au sein de l’hôpital, médecins, soignants comme directeurs, qu’une attaque cyber a pour conséquence, en rendant impossible l’accès aux données médicales, aux dossiers des patients, d’empêcher une bonne pratique optimale de la médecine. 

Or, la cybersécurité reste encore un épiphénomène au sein des systèmes d’information de santé. Les directeurs de ces systèmes sont généralement des informaticiens, des ingénieurs de très niveau, qui ne parlent pas tout à fait le même langage que celui des directeurs généraux d’organisations de santé lesquels considèrent le risque cyber   comme principalement technique et pas vraiment de leur ressort.  

La sensibilisation stratégique a pour but de souligner que la cybersécurité ne constitue pas seulement un problème technique pour les directeurs des systèmes d’information 
Elle concerne les dossiers des patients et la capacité à bien traiter les données de santé les concernant. À défaut, les médecins étant empêchés d’avoir les bonnes informations au bon moment, les patients peuvent subir des pertes de chance conséquentes...

Cédric M confirme : « L’hôpital, c’est un écosystème extrêmement spécifique, à cause précisément de l’obligation de continuité de l’activité. Tout tourne autour de l’informatique, depuis la gestion des arrivées et départs jusqu’à l’administration des bonnes doses de médicaments aux patients, en passant par la conservation des résultats d’examens... Or, l’informatique n’est toujours pas une priorité. Les équipements médicaux sont très onéreux et ont une durée de vie extrêmement longue, forcément ils deviennent vite obsolètes en termes de sécurisation. L’APHP a pris le virage, mais cela reste un cas à part ».

Pour Christian Anastasy, la bataille est avant tout culturelle : « En France, le budget moyen consacré à l’informatique dans les CHU, c’est de l’ordre de 1,7 à 2% du budget global. Dans certains hôpitaux européens, cette part est de 6% en moyenne, aux États-Unis, c’est 13%. Les médecins et directeurs d’établissement ne sont absolument pas formés. Non pas parce qu’ils sont méprisants, mais simplement parce qu’ils n’ont pas le temps, l’informatique reste une contrainte pour eux. Notre difficulté, c’est d’aider les établissements de santé à franchir ce fossé culturel. La cybersécurité n’est pas une question technique. L’information est au cœur du système de soins : nous défendons avant tout les patients ».

Combat et ambition partagés par la CAIH, le GIP SESAN et Orange Cyberdefense, qui veulent accompagner l’ensemble du personnel soignant. « Car une cyber-attaque, c’est un traumatisme, rappelle Cédric M. Il faut stopper l’hémorragie, limiter l’impact, s’assurer que l’ensemble du personnel, soignant et non soignant, soit correctement accompagné lors de la réponse à la crise ».

Aujourd’hui, médecins et experts cyber vont enfin apprendre à marcher main dans la main, au service du patient.