Interview de Jean-Sylvain Chavanne, responsable de la sécurité des systèmes d’information du CHU de Brest
Le récent vol des données de santé de 500 000 patients a mis en avant l’importance du risque cyber dans nos structures de soins. Comment cela est-il arrivé ? S’agit-il d’une fragilité de leur part ?
Avec la numérisation des services de soins, le nombre d’intermédiaires étant amenés à traiter des données de santé a très largement augmenté. Il est donc plus difficile de s’assurer que l’ensemble de la chaîne est sécurisé. C’est pourquoi les réglementations actuelles (RGPD comme HDS) prennent en compte cette dimension par la co-responsabilité notamment. Mais force est de constater que cela n’est pas toujours appliqué comme cela devrait l’être par les différents acteurs (établissements de santé, laboratoires, prestataires numériques, éditeurs de solutions logicielles, hébergeurs, etc.).
En parallèle, il faut comprendre que les briques numériques qui composent nos systèmes d’information sont complexes. Une simple erreur de paramétrage peut induire un vol de données conséquent. La lutte est déséquilibrée : les attaquants n’ont besoin que d’une faille pour attaquer un système, alors que la défense doit couvrir quant à elle l’ensemble d’un périmètre complexe.
C’est pourquoi les établissements qui traitent des données de santé doivent avoir une gouvernance centralisée de la donnée. C’est le seul moyen permettant d’identifier les propriétaires de la donnée, les sous-traitants concernés et de faire appliquer les mesures de cybersécurité qui sont proportionnelles à la typologie des données de santé concernées.
On assiste à une recrudescence de ce genre d’attaques depuis que les hôpitaux américains et leurs assurances jouent le jeu des hackers en payant les rançons. Cela a créé une forte incitation à l’attaque et a multiplié les tentatives malveillantes.
Les données de santé sont le moteur de la médecine du XXIe siècle. Quelle utilité peuvent-elles avoir pour les hackers ? Quelle utilisation potentielle peut en être faite par la suite ?
Les données de santé sont d’abord utiles pour les professionnels de santé. Elles permettent une meilleure prise en charge des patients et un meilleur suivi par les praticiens. Il faut également avoir conscience que les données numériques se développent dans de nouveaux domaines comme les dispositifs médicaux implantables (DMI) par exemple. La modification des informations de ces équipements de santé peut avoir un impact direct sur la santé des patients. C’est pourquoi, la santé est un domaine dans lequel on doit avoir une absolue confiance.
Or, les hackers vont utiliser cette confiance pour détourner la finalité de la donnée de santé. Pour la quasi-majorité, ils sont animés d’une pensée purement vénale. Ils souhaitent obtenir le plus de gains financiers possible et le domaine de la santé est un moyen qui malheureusement se prête bien à cet objectif. C’est ce qui est est arrivé au Centre Hospitalier de Dax ou au Groupement Hospitalier de Villefranche-sur-Saône en février dernier.
D’abord les données de santé se vendent sur les différents réseaux cybercriminels. Mais elles sont aussi bien vendues à des hackers opportunistes qui vont utiliser la base de données pour réaliser des campagnes de phishing grossières auprès des patients pour leur demander de l’argent en se faisant passer pour un laboratoire par exemple. Pire encore, ces données sont également vendues à des hackers plus professionnels qui ciblent le secteur des établissements de santé.
Ainsi, on peut imaginer que les médecins prescripteurs présents dans la base de données de santé peuvent être la cible de campagne de phishing avec une usurpation d’identité des patients visant à introduire un rançongiciel sur les systèmes d’information des centres hospitaliers par exemple.
La période que nous vivons aura consacré l’importance de la cybersécurité. Jugez-vous qu’il y ait une réelle prise de conscience en la matière ? Les particuliers, les entreprises et les administrations ont-ils la culture cyber nécessaire pour adopter une bonne hygiène numérique ?
La cybersécurité est l’affaire de tous. C’est un adage qui commence à être connu et reconnu. Mais cela ne suffit pas. Après avoir pris conscience de l’importance de la sécurité numérique de nos organisations et administrations, on doit passer à la phase suivante : l’action.
L’action demande des efforts financiers mais aussi et surtout humains. Octroyer des budgets à la sécurité numérique pour déployer des outils de sécurité est une bonne chose, mais elle ne sera optimale que s’il y a des collaborateurs pour prévenir, surveiller, analyser et traiter les incidents de sécurité. Cette notion est un point critique, car la cybersécurité manque de main d’œuvre. Malgré le développement des formations initiales et continues, le secteur est en besoin.
Pour y remédier, il faut tout d’abord axer les formations sur des collaborateurs des directions des systèmes d’information, tout en formant obligatoirement tous les collaborateurs aux premiers gestes de la cybersécurité pour que les pratiques continuent d’évoluer vers des réflexes plus sûrs.
Ensuite, il faut développer des politiques financières plus attractives dans le secteur public. Augmenter les budgets pour financer le recrutement d’ETP à des niveaux cohérents par rapport aux salaires pratiqués dans le secteur privé (qui lui aussi est en sous-effectif) est essentiel pour conjurer cette carence en compétences.
Enfin, il faut repenser le mécanisme de formation continue pour former les agents à des domaines spécifiques à la cybersécurité tout en assurant une montée en compétences.
Le partage des données de santé dépend de la confiance des patients dans les organismes collecteurs. Comment protéger au mieux nos structures de santé des attaques extérieures pour garantir un risque nul ou minime ? Faut-il un système totalement centralisé ou au contraire décentraliser un maximum ?
Comme je l’ai dit, il faut des moyens financiers pour obtenir des outils et des moyens humains nécessaires afin de mettre en place ces protections et ces procédures, mais également pour pouvoir faire appel à des compétences extérieures à travers des sociétés de conseils et de services qui sont spécialisées dans ces sujets pointus. En revanche, il faut savoir que nous ne pourrons pas atteindre le risque nul, mais notre objectif est de le réduire au maximum. Et pour les risques résiduels, nous devons avoir les capacités d’agir rapidement pour identifier l’incident et le contenir le plus rapidement possible.
Enfin, je souhaite pointer le fait que nous sommes de plus en plus accompagnés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui est un service du Premier ministre. Cette agence nous accompagne en nous fournissant un cadre et une documentation essentielle pour être à l’état de l’art en matière de cybersécurité. A cela il faut ajouter l’Agence du Numérique en Santé (ANS) qui possède une cellule d’accompagnement pour les établissements de santé. Cette cellule assure un rôle de veille et d’alerte efficace et nous accompagne par l’intermédiaire d’audits afin de s’assurer que nous ne sommes pas vulnérables à des attaques externes.
Pour ce qui concerne la centralisation, je dirai qu’il faut la privilégier au maximum. Pour assurer la sécurité d’un système informatique, il faut le maîtriser. Ainsi, au niveau d’un établissement, la centralisation apparaît comme la meilleure solution. L’idéal serait même de pouvoir centraliser les process tout en déployant des opérateurs qui puissent agir localement et résoudre certaines solutions problématiques en accord avec les process établis.
Pour assurer la « coordination de ces centralisations » au niveau national, l’ANS pourrait jouer un rôle d’accompagnement des process cyber, à travers la création d’un observatoire dédié. Ce dernier aura alors comme mission de faire remonter au jour le jour, les bonnes pratiques locales selon les tailles et les natures des établissements, pour tenter d’harmoniser les gouvernances de la donnée au sein des différentes structures de santé.
Les récentes annonces du Président de la République en la matière devraient nous permettre de relever ce défi, à condition que nous parvenions à recruter les profils aux compétences idoines.
Diplômé de l’EGE et de l’ITESCIA, Jean-Sylvain Chavanne est le responsable de la sécurité des systèmes d’information du CHRU de Brest et du GHT de Bretagne Occidentale (10 000 agents). Anciennement chargé de mission puis cadre à l’ANSSI, il animé de nombreuses conférences sur la sécurité informatique à l’université Paris-Dauphine et Ecole de Guerre Economique.