C'est une attaque sans précédent qui a frappé mi-mai le service public de santé britannique (NHS). Alors qu'Outre-Manche, le virus informatique WannaCry faisait régner le cyberchaos (encadré), provoquant une vive polémique sur la sécurité chez nos voisins anglais, les 2 800 établissements de santé publics et privés français sont passés cette fois à travers les gouttes, ou presque.
Seuls trois hôpitaux, dont celui d'Issoire (Puy-de-Dôme) ont indiqué au ministère de la Santé avoir été infectés. « Il leur a fallu reparamétrer quelques machines mais aucun n'a constaté un impact sur la prise en charge des patients », précise Philippe Loudenot, chargé de la sécurité des systèmes d’information (SI) pour les ministères sociaux. Selon plusieurs sources, aucune victime n'est à déplorer parmi les CHU. Heureux hasard ou défense en béton armé ? Les experts contactés par le « Quotidien » avancent plusieurs raisons.
Pas de fonctionnaires « hackers » à l'hôpital
La douloureuse expérience française en matière de défaillance informatique a, semble-t-il, joué en faveur des hôpitaux français. Au début des années 2000, l'affaire dite des surirradiés d'Épinal (à la suite d'une erreur de programmation dans le système de planification de traitement) a provoqué une première prise de conscience sur la nécessité de renforcer la sécurité des réseaux à tous les étages. En 2008, nouvelle piqûre de rappel : un virus similaire au WannaCry a semé la panique dans les services informatiques.
Même si le niveau de protection est loin d'être optimal (lire aussi page 3), les hôpitaux français auraient appris de leurs erreurs. Sensibilisés, ils restreignent le terrain de jeu des pirates en mettant à jour leur parc informatique et les logiciels – les patches permettant de corriger les failles découvertes –, en procédant régulièrement à des sauvegardes, en changeant les mots de passe, etc. Le plan Hôpital numérique contient un volet sur la politique de sécurité des établissements.
La gouvernance est une autre explication. Alors que le NHS britannique est très centralisé, donc plus exposé en cas d'attaque massive, l'autonomisation des hôpitaux français, gestionnaires de leur propre sécurité informatique, a joué sur le confinement du virus. « Un hacker ne cible jamais un hôpital en soi, précise par ailleurs Cyrille Politi, conseiller transition numérique de la Fédération hospitalière de France (FHF). L'agression est souvent le résultat d'une faille humaine involontaire, comme lorsqu'un agent ouvre au travail un e-mail personnel contenant une pièce jointe infectée. Il n'y a pas de bataillons de fonctionnaires hackers prêt à en découdre avec leur employeur pour cause de gel du point d'indice ! »
Les données patients, une cible sensible
Les tentatives d'intrusion informatique dans le système de santé sont pourtant monnaie courante. En 2016, le ministère de la Santé a recensé 1 341 déclarations d'attaques subies par le secteur (hôpitaux, cabinets de ville, EHPAD, etc.).
La majorité des attaques sont des cryptovirus qui bloquent l'accès aux données de santé et réclament une rançon en échange de leur libération. Ainsi, l'hôpital du Mans et ses 3 000 postes informatiques ont dû riposter à cinq reprises l'an dernier. Temps pour éradiquer le virus le plus virulent : 15 jours. Aucune rançon n'aurait été payée, la légère perte de données constatée n'empêchant pas l'établissement de tourner. Aux États-Unis, en février 2016, un établissement californien paralysé pendant une semaine avait payé une rançon de 17 000 dollars pour récupérer les données de ses patients (les pirates réclamaient un virement de 3,4 millions de dollars en bitcoins…).
GHT, l'effet domino ?
Si les experts s'accordent à saluer la relative solidité du système informatique hospitalier tricolore, ils ne versent pas dans l'angélisme. C'est un fait : entre le matériel biomédical (scanner, pacemaker, IRM, etc.) dépendant des référentiels de sécurité des fournisseurs, les services techniques partagés (photocopieurs multifonctions), les dispositifs de sécurité (caméras de surveillance connectées) ou encore la biologie, les points d'infection potentielle ne manquent pas. Et il suffit de bloquer l'accès à des informations médicales essentielles pour perturber le fonctionnement d'un service ou d'un établissement. « Les hackers s'attaquent à la disponibilité des données et non à leur véracité ou à leur confidentialité, analyse Cédric Cartau, responsable de la sécurité des systèmes d'information au CHU de Nantes. Rendre une donnée indisponible, c'est une chose. Compromettre la nature d'un groupe sanguin ou dévoiler l'identité d'un patient, c'est encore plus grave. »
En matière de protection, le manque de moyens est pointé du doigt. Les hôpitaux ne consacrent que 2 % de leur budget à leur division informatique, une enveloppe cannibalisée par la maintenance des machines. Dans ce contexte, la réforme des groupements hospitaliers de territoire (GHT), qui va accroître encore l'interconnexion des systèmes d’information, fait craindre un effet domino en cas d'attaque massive.
Deux textes attendus pourraient renforcer la sécurité. À compter du 1er octobre 2017, les hôpitaux seront dans l'obligation de déclarer les incidents graves de sécurité de leurs systèmes d’information. Plus incitative, la réforme européenne de protection des données personnelles pourra infliger aux établissements désinvoltes une sanction financière à hauteur de 2 à 4 % du chiffre d'affaires. Les hôpitaux ont jusqu'à mai 2018 pour se mettre en ordre de marche.
À l’AP-HM, dans l’attente du procès d’un psychiatre accusé de viols
Le texte sur la fin de vie examiné à l'Assemblée à partir de fin janvier
Soumission chimique : l’Ordre des médecins réclame un meilleur remboursement des tests et des analyses de dépistage
Dans les coulisses d'un navire de l'ONG Mercy Ships