Quand les établissements de santé prennent soin de… leur cybersécurité

En plein été, alors que beaucoup pensent aux vacances, les hackers sont, eux, sur le pied de guerre. Le reste de l’année aussi d’ailleurs. Mais c’est bien au cœur de l’été 2021 que le centre hospitalier d’Arles a fait l’objet d’une cyberattaque...

Outre la potentielle fuite des données de santé occasionnée, cet incident malveillant a eu de lourdes conséquences financières pour l’établissement. 300 000 euros de prestations d’assistance à maîtrise d’ouvrage et d’œuvre, 20 000 euros d’heures supplémentaires pour les personnels de l’informatique, 15 000 euros pour le recrutement d’un CDD additionnel ; sans oublier le temps passé à ressaisir plus de 40 000 actes dans le système d’information hospitalier (soit environ 200 jours - hommes) et à recoder plus de 4 000 séjours PMSI : la facture fut salée !
On comprend mieux pourquoi la souscription d’une « assurance cyber » compte parmi les mesures adoptées par l’établissement hospitalier pour assurer la protection de ses données de santé.

L’exemple arlésien n’est malheureusement pas isolé. La clinique de l’Anjou, le centre hospitalier de Dax, le groupement hospitalier de Dordogne, l’hôpital Nord-Ouest de Villefranche-sur-Saône, le centre de lutte contre le cancer François-Baclesse à Caen, le laboratoire Cerba ou encore la polyclinique Bordeaux Nord en savent quelque chose. Ces établissements, eux aussi, ont enregistré un incident lié à un rançongiciel.

Renforcement des cyberattaques avec la crise épidémique...

Derrière ce terme issu de la contraction des mots « rançon » et « logiciel », il faut voir un malware (un virus) capable de paralyser entièrement un réseau informatique dans le but de percevoir une rançon. Résultats : mi-novembre 2021, rien que pour le secteur sanitaire, on recensait 47 cyberattaques avec rançongiciel « réussies » sur un total de 349 incidents de sécurité1. « L’équivalent de l’année dernière alors qu’il reste encore un mois et demi jusqu’au 31 décembre », prévient-on à l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

En 2018, le chiffre d’une trentaine de cyberattaques était déjà exceptionnel. Une progression constante qui justifie l’annonce, le 18 novembre dernier, lors d’un colloque sur la cybersécurité organisé par l’Agence du Numérique de Santé, que l’on présente comme le fonctionnaire de la sécurité des systèmes d’information des ministères chargés des affaires sociales, de la mise en place de l’Observatoire permanent de la sécurité des systèmes d’information des établissements de santé (Opssies).

Déjà en février 2021, le président de la République, Emmanuel Macron, annonçait un plan de renforcement de la sécurité numérique des hôpitaux. C’est dire si la situation inquiète au sommet de l’État et pousse à passer à l’action. D’autant plus que si la crise de la Covid-19 a donné un coup d’accélérateur à la santé numérique, elle a aussi exposé, plus encore, bon nombre d’établissements de santé et mis en lumière les failles de leur système d’information. Des failles qui affectent notamment les systèmes Exchange (messagerie), les accès VPN ou encore les identifiants de comptes...

Le risque d’un parcours de soins dégradé

Le premier à tirer la sonnette d’alarme, et ce depuis longtemps, n’est autre que l’actuel directeur de l’ANSSI , Guillaume Poupard :

« Cela fait un moment que l’on discute avec les différentes autorités parce que les protections n’étaient pas suffisantes. La vérité, c’est que les hôpitaux ne croyaient pas trop à la menace, donc au moment des arbitrages budgétaires, ils préféraient faire d’autres investissements. Je comprends. Je ne critique pas. Entre-temps, il y a eu la Covid et toutes ces vagues de rançongiciels. Aujourd’hui, tout le monde sait que ce n’est pas seulement un délire de l’ANSSI. Chacun doit agir en conséquence et prendre ses responsabilités. »

Ce discours, il l’a exposé du 7 au 9 septembre dernier, lors du Forum international de la cybersécurité, la grand’messe des experts en la matière. Le leitmotiv : « La meilleure défense, c’est la défense ! ».

Pas question donc pour l’ANSSI de se lancer dans une épuisante chasse aux cybercriminels. Plutôt qu’une posture agressive à l’image de la stratégie adoptée aux États-Unis, l’agence d’État préfère travailler à consolider les protections des systèmes d’information des institutions publiques, à commencer par celles des collectivités territoriales et établissements de soins. Car tous en sont convaincus : le secteur sanitaire constitue une cible privilégiée pour les hackers dont le raisonnement est simple : les victimes paieront car c’est (presque) une question de vie ou de mort, du moins de préservation de la qualité des soins !
En effet, si les structures de soins ne parviennent pas à relancer leur système informatique (dont certains liés à des dispositifs médicaux) au plus vite, ils peuvent tout simplement mettre à mal la santé de leurs patients !

Une réponse de proximité via les CERT

En bon chef de file de la sécurité informatique nationale, l’ANSSI s’est appuyée sur une directive sécurité des réseaux informatiques pour avancer différentes mesures correctives. Elle a qualifié une centaine d’hôpitaux « d’opérateurs de services essentiels » (OSE), un statut qui les soumet à des obligations de sécurité renforcées (ex. notifier à l’ANSSI tout incident de sécurité, accepter les audits et les contrôles, etc.).

Avec ce discours directif, l’agence nationale modifie sa posture d’accompagnement des établissements de santé. Une manière de leur faire accepter des exigences de sécurité plus élevées. « On a fait ce qu’on n’avait jamais fait jusque-là : on a pris les établissements tous ensemble et on leur a expliqué. On a fait témoigner des établissements qui ont été victimes, et d’autres qui s’étaient déjà engagés dans une logique d’OSE », expliquait Guillaume Poupard (toujours lors de cet événement).

D’ailleurs, l’ANSSI ne s’est pas arrêtée aux mots. Elle s’est aussi donnée les moyens d’agir concrètement, forte d’une enveloppe de 136 millions d’euros reçue dans le cadre du Plan de relance. « 60 millions destinés aux collectivités territoriales qui ont découvert leurs faiblesses en matière de sécurité. 25 millions d'euros aux établissements hospitaliers, dont les vagues successives et récentes de ransomware ont justement montré les faiblesses. Ça peut paraître léger, mais ça permet d’amorcer et de faire des audits de sécurité, afin de savoir ce qu’il reste à faire », conclut le directeur de l’ANSSI.

Pour être pleinement efficace, cette approche devra surtout démontrer sa capacité à prendre en compte les enjeux locaux. La proximité et la réactivité sont l’une des clés de la défense numérique. l’ANSSI l’a bien compris et met en place, dans cette logique, des CERT (Computer Emergency Response Team) régionaux financés à hauteur d’un million d'euros chacun. « Cela ne va pas payer le CERT pendant 10 ans. Il faut voir ce soutien comme un starter. L'idée est de lancer les CERT, de former les personnels, et de les associer avec les différents secteurs » ajoutait Guillaume Poupard. À terme, tout un réseau de CERT sera mis en place.

Une véritable toile d’araignée pour mieux répondre aux différentes victimes et faire rempart aux cyberattaques.

« Investir pour assurer sa sécurité numérique n’est jamais vain »

La digitalisation des échanges d’informations est-elle compatible avec leur sécurisation ? Question essentielle s’il en est, à l’heure où l’interaction numérique est quotidienne pour nombre d’individus à titre personnel mais aussi professionnel. Les industriels de santé font bien sûr partie des acteurs pour qui la sécurité numérique est, plus que jamais, un enjeu majeur de productivité, d’efficience et d’image.
Cibles privilégiés des hackers au regard des données dont ils sont les détenteurs, au même titre que d’autres industriels de la pharma et de la e-santé, les laboratoires pharmaceutiques multiplient les initiatives pour renforcer la sécurité numérique de leurs installations.

Le groupe Roche consacre non seulement des ressources humaines mais aussi des moyens techniques très importants pour protéger les données et autres informations liées à son activité. Cela témoigne du risque potentiel auquel il est soumis.
Pourquoi l'industrie pharmaceutique est-elle une cible privilégiée par les cybercriminels ? « Tout simplement parce que les données liées à la recherche et au développement, et qui sont collectées lors d’essais cliniques, d’études ou lors des soins, sont des données essentielles à très forte valeur ajoutée » explique Camille Saada, analyste en cybersécurité au sein de ce groupe. Selon lui, on parle souvent de données critiques pour souligner leur potentiel.
Pour résumer, elles sont précieuses et doivent donc être bien protégées : « les hackers sont attirés par l'appât du gain qu’elles représentent. Ils espèrent obtenir des sommes très importantes, des rançons, pour les rendre de nouveau accessibles à leurs propriétaires et ne pas les divulguer à d’autres. Leurs virus sont de plus en plus sophistiqués et performants.
Il est à noter qu'avec la crise épidémique et le recours massif au télétravail, de nouveaux enjeux de sécurité sont apparus avec une véritable explosion des cyberattaques. En 2021, plus de 1 000 tickets d’incidents ont été ouverts (possible fuite de données, détection de fichiers malicieux...). Tous ces incidents sont traités par l’équipe IT security de Roche. 350 ont été classés "malware" (logiciels malveillants) et ont donc nécessité une attention toute particulière. » Pour une entreprise de santé comme Roche, le sujet de la digitalisation et donc la question inhérente de la sécurité des données, est importante. C’est même la priorité !

« Depuis plusieurs années, Roche mise sur une digitalisation croissante des interactions avec les professionnels de santé. Par ailleurs, notre groupe est, à l’heure actuelle, un acteur de pointe de la médecine personnalisée et de la recherche et développement. Par conséquent, dans le cadre de leurs activités au quotidien, nos collaborateurs-experts manipulent des données-patients très personnelles et sensibles, à grande échelle. Nous avons donc à titre individuel et au niveau de l’entité Roche dans son ensemble, une lourde responsabilité quant à la sécurité de ces données que nous exploitons afin d’améliorer le système de santé. La sécurité de l’information est capitale pour notre entreprise, autant pour sa réputation et son image que pour mener à bien ses différents projets. Mettre en place une équipe dédiée à la sécurité numérique répond à ce besoin et apparaissait incontournable. »

Un principe-clé : la réactivité !

Quels profils composent justement cette équipée dédiée ? De quelles compétences s’est doté le groupe Roche pour assurer sa sécurité numérique ? « Nous avons la chance de combiner des expertises complémentaires. L'équipe, qui est rattachée au département "sécurité et confidentialité", se compose essentiellement d'architectes sécurité et d'ingénieurs sécurité. Soit au total 18 personnes réparties sur quatre sites. Ces professionnels sont des experts confirmés qui ont œuvré par le passé dans des secteurs très différents mais où l’enjeu de la sécurité numérique était très important : banque, finances, industrie pharmaceutique, défense etc. Nous intervenons aux côtés des équipes risques, management du risque et gouvernance et agissons pour l'ensemble du groupe Roche. Notre mission est donc d’assurer la protection du système informatique (SI) de l’entreprise en déjouant les attaques, en les analysant et en mettant tout en œuvre pour les anticiper et éviter qu’elles ne se reproduisent. Nous sommes au service de tous les collaborateurs du groupe, 7 jours sur 7, 24 heures sur 24 » poursuit Camille Saada.

Prévention ou réaction : quelle stratégie faut-il adopter face aux attaques ? Comme l’explique Camille Saada, le groupe a choisi de combiner les deux !
« Bien entendu, même s’il est impossible de tout prévoir, nous n’attendons pas d’être attaqués pour réagir et envisager des systèmes de défense efficaces. Sur ce principe, notre équipe s'organise autour de deux activités principales : d’une part, gérer les vulnérabilités, ce qui revient à scanner régulièrement le réseau afin de détecter de nouvelles vulnérabilités et de les corriger avant qu'un attaquant ne les exploite de manière malveillante. D’autre part, il nous faut savoir enfiler le costume de pompiers pour éteindre les feux et répondre rapidement et efficacement aux incidents. À chaque déclenchement d'alarme, il nous faut donc investiguer pour identifier l’origine de l’incendie et circonscrire le feu. En d’autres termes : tout mettre en œuvre pour contrôler et résoudre les incidents. Avec un principe-clé : la réactivité ! »

La protection passe aussi par une sensibilisation des collaborateurs. Chaque collaborateur se doit d’appliquer une charte interne.
En plus de son accompagnement pour répondre aux questions, résoudre les problèmes techniques et renforcer les protections, les équipes en charge de la sécurité informatique proposent aussi des guides pratiques que chacun peut s’approprier.

« Sur notre site français, une charte d'information a été rédigée pour informer et sensibiliser les collaborateurs. Le document présente l'utilisation du système d’informations du Groupe, les mesures de sécurité à appliquer et les sanctions en cas de non-respect. Cette charte s'applique à tous les collaborateurs de Roche SAS et de l'institut Roche. Elle se présente sous la forme de questions auxquelles sont apportées des réponses. Parmi les sujets traités : Comment gérer la confidentialité des données ? Quel est le cadre législatif concernant les données en France ? Quel usage général des données personnelles ? Quelles précautions pour la messagerie professionnelle et la communication via les réseaux sociaux ? … » analyse Camille Saada.

Ce dispositif est complété sur le sujet de la protection des données personnelles en particulier des données de santé, par une organisation à la fois globale et locale d’équipes dédiées au respect du Règlement Général sur la Protection des Données (RGPD). En France cela s’incarne dans une Gouvernance de la Data pilotée au sein de la Direction Juridique par le Délégué à la Protection des Données (DPO) et des collaborateurs juristes.

Des hackers payés pour tester les systèmes du groupe

Sur le volet préventif, la démarche est en perpétuelle évolution car elle doit s’adapter. La cybersécurité est, en effet, un éternel jeu du chat et de la souris !
En conséquence, le groupe mène une action continue pour être efficace et à jour des nouvelles formes d’attaques.

« À ce titre, nous réalisons une veille quasi-quotidienne sur la sécurité informatique. Cela va sans dire mais nous travaillons à rendre nos sites web inviolables - même si le risque zéro n’existe pas. Régulièrement, des exercices sont organisés pour évaluer le niveau de sécurité du système informatique. Nous avons même fait le choix, dans une logique de performance, de mandater des sociétés spécialisées pour mettre en œuvre des scénarios de cyberattaques à l’encontre de notre système informatique. Nous souhaitons, à ces occasions, mettre en évidence des vulnérabilités, former et sensibiliser les collaborateurs ou encore travailler nos points de faiblesses. Dans cette logique, depuis 2016, Roche a développé une plateforme virtuelle sur laquelle des hackers et des chercheurs en cybersécurité du monde entier sont invités afin de tester la robustesse des systèmes du groupe », décortique Camille Saada.

Encore faut-il mobiliser lesdits « hackers-testeurs » ?
Au-delà du challenge stimulant intellectuellement et techniquement pour les hackers à tenter de déjouer notre sécurité, ces personnes sont rétribuées financièrement en fonction de l’importance des bugs et faiblesses qu'elles détectent. Et Camille Saada de conclure : « Depuis la création de cette plateforme en 2016, ce sont plusieurs dizaines de milliers de dollars de rétributions qui ont été versées ! La sécurité, ça se paie. Cela peut, à première vue, sembler beaucoup mais ce n’est absolument rien comparé au coût d'une attaque au ransomware qui peut se chiffrer en plusieurs dizaines de millions d’euros. Sans parler de la fuite des dossiers, la perte de confiance de nos partenaires, l’image ternie de l’entreprise… Investir pour sa sécurité n’est jamais vain. »

Prenez soin de votre mot de passe !

Paradoxale. Telle est la situation des mots de passe.
Souvent présentés comme les meilleurs moyens de sécuriser ses données mais aussi, a contrario, comme les portes d’entrée privilégiées des cybercriminels. Autrement dit, en matière de numérique, votre point fort peut aussi être votre point faible. Aussi, « se casser la tête » avant de produire son mot de passe peut s’avérer salvateur.

Face à l’augmentation des cyberattaques et des vols de données personnelles, dont des données de santé, impossible de prendre à la légère la construction de ce code sécurisé permettant d’accéder à nombre de ces données que les administrations, les entreprises mais aussi les personnes à titre individuelles souhaitent garder confidentielles...
Il faut dire que ces séries originales de chiffres, lettres et autres symboles sont au cœur de notre activité numérique : messageries professionnelles et personnelles, comptes bancaires en ligne, réseaux sociaux, sites, applications etc.

Il n’en fallait pas davantage à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) porteuse du Cybermoi/s - déclinaison nationale du Mois européen de la cybersécurité consacrée à la protection des usages numériques - pour partager en octobre dernier toute une série de bonnes pratiques afin de mieux gérer et renforcer ses mots de passe. Des recommandations pour éviter un mot de passe complexe difficilement mémorisable (au point de prendre le risque de l’écrire sur un post-it ou de l’enregistrer dans son téléphone portable) ou au contraire, un mot de passe trop simple et évident...

Au recyclage, préférez l’innovation et la personnalisation !

Contrairement à ce qu’il indique, un mot de passe peut prendre la forme d’une phrase. Plus longue qu’un mot de passe et plus facile à retenir, elle augmentera considérablement la robustesse des accès.
À celles et ceux qui préféreraient un mot de passe sous la forme d’un terme, il convient de veiller à en choisir un long (d’au moins 12 signes) avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Autre précaution à prendre au moment de choisir son mot de passe : évitez les informations personnelles (date de naissance, prénom d’un enfant) facilement accessibles sur les réseaux sociaux. Si opter pour un mot de passe unique pour l’ensemble de ses comptes digitaux prévient du « trou de mémoire », la technique augmente les risques.
Préférez donc un mot de passe unique pour chaque compte, en particulier pour les comptes les plus sensibles.

Et si vous tenez absolument à mémoriser un seul et unique mot de passe, choisissez la solution du gestionnaire de mot de passe sécurisé. Ce coffre-fort de mots de passe, à l’image du logiciel sécurisé et gratuit KeePass - certifié par l’ANSSI - permet de stocker en sécurité tous vos mots de passe différents.

Tout comme les informations qu’il entend sceller, le mot de passe se doit, lui aussi, d’être personnel. Voilà pourquoi, une des premières précautions est de modifier les mots de passe attribués par défaut.
Enfin, parce qu’elle se veut intégrée à une stratégie globale, la sécurité numérique ne se limite pas à la production d’un mot de passe, aussi performant soit-il, mais se conçoit aussi via des mesures complémentaires : sauvegardes régulières des contenus, mise à jour des appareils et logiciels, pratique de la double authentification lorsqu’elle est proposée, non téléchargement de pièces jointes contenues dans un mail provenant d’un expéditeur inconnu…
Utilisez un outil de calcul de robustesse de votre mot de passe proposé par l’ANSSI en cliquant ici.
En savoir plus sur la campagne Cybermoi/s en cliquant ici.

1 - Source : Agence nationale de la sécurité des systèmes d'information (ANSSI)

Citations Guillaume Poupart

• https://www.lemonde.fr/pixels/article/2021/06/10/guillaume-poupard-la-cybercriminalite-a-un-impact-sur-la-securite-nationale_6083552_4408996.html
• https://www.zdnet.fr/actualites/guillaume-poupard-tre-un-operateur-regule-c-est-une-chance-pas-une-charge-39924363.htm
• https://cyberguerre.numerama.com/13210-si-les-hopitaux-se-font-attaquer-cest-parce-que-leur-securite-est-nulle.html

M-FR-00005814 - V 1.0 - Etabli en décembre 2021