Philippe Loudenot (FSSI) : « Aucun établissement ni administration de santé n'est à l'abri d'une cyberattaque »

Par

Publié le 29/02/2016

Article réservé aux abonnés

cyberataque
Crédit photo : Philippe Loudenot

LE QUOTIDIEN : Un hôpital de Los Angeles vient de subir une violente cyberattaque, suivie d'une demande de rançon. Le monde de la santé est-il la nouvelle cible des criminels informatiques ?

PHILIPPE LOUDENOT : Ce n'est pas un phénomène nouveau. Aucun établissement ni administration de santé n'est à l'abri. Dans le cas américain, l'impact est toutefois dramatique. Un cryptovirus – un fichier envoyé par e-mail avec un lien sur lequel cliquer – a totalement paralysé l'hôpital. Les patients urgents ont dû être évacués. En France, il n'existe pas de telle affaire.

Peut-on chiffrer le nombre de cyberattaques dans le secteur ?

Cabinets médicaux, EHPAD, centres hospitaliers, CHU… Il n'y a pas de proie privilégiée. Je reçois une à trois alertes par jour. 70 % sont le fait de cryptovirus. Pour le reste, il s'agit d'attaques de sites Internet, avec une recrudescence de virus djihadistes depuis les attentats du 13 novembre 2015.

On compte plus de 1 000 incidents en 2015, mais ce chiffre est à relativiser puisqu'il se fonde sur le volontariat [des déclarations]. Il existe une forme de tabou autour du piratage informatique. Dire qu'on s'est fait "hacker", c'est avouer qu'on est mauvais. Les professionnels craignent pour leur réputation. C'est une erreur de penser ainsi, d'autant que nous anonymisons les informations.

D'où proviennent ces attaques ?

Il peut s'agir d'un désir de nuisance de la part d'un ancien employé mécontent ou d'un individu inconnu de la structure de santé.

La porosité du système numérique peut aussi être en cause. Je vais utiliser une image. Au moment de son achat, une voiture 2 CV est opérationnelle. Aujourd'hui, le même véhicule peut toujours rouler sans entretien régulier... Les systèmes informatiques procèdent de la même logique. Le numérique se renouvelle constamment. L'outil seul ne sert à rien sans les mises à jour, qu'on oublie fréquemment.

Cela dit, un serveur qui tombe en panne se remplace. En revanche, des fichiers infectés parce que les personnels s'échangent leurs mots de passe autour de la machine à café, c'est autrement plus grave. Le mésusage est à l'origine de 80 % des accidents. Par exemple, deux médecins peuvent innocemment déposer le dossier médical d'un patient commun sur un service de stockage et de partage de données en ligne (Dropbox, Google Drive) au lieu d'utiliser un réseau professionnel sécurisé.

Certains vont aussi communiquer leur adresse professionnelle sur des sites qui n'ont rien à voir avec leur métier. Rappelez vous l'affaire Ashley Madison. [En 2015, des hackers avaient rendu public le nom des clients de ce site de rencontres canadien, NDLR]. Avec ce genre de pratiques, les individus peuvent mettre en péril le système de l'établissement !

Comment se protéger ? À quel coût ?

Les directeurs doivent prendre conscience du problème et les professionnels adopter de bonnes pratiques. Le ministère de la Santé a multiplié les actions en ce sens. Le plan Hôpital numérique contient un volet sur la politique de sécurité des établissements. L'ASIP [portail du gouvernement sur la e-santé] propose des référentiels de qualité et l'Agence nationale de la sécurité des systèmes d'information un guide d'hygiène informatique efficace (SSI.gouv.fr). La loi de santé favorise aussi le signalement d'informations.

En fait, la cyberprotection coûte surtout du temps. Le plus important est d'établir une cartographie des systèmes d'information de l'administration, des appareils biomédicaux (pacemaker, IRM, etc.) et des infrastructures. Plus la surface d'attaque est grande, plus il est important de l'inventorier pour prévenir le risque.

Au final, ce sera toujours moins cher pour un établissement de santé d'anticiper l'acte malveillant d'un pirate informatique que d'en subir les conséquences.

Propos recueillis par Anne Bayle-Iniguez