Un secteur fragile et dont la surface d’exposition aux menaces augmente

Aujourd’hui c’est une évidence, le secteur de la santé n’est pas exclu des menaces cyber des hackers, même s’il n’est pas visé spécifiquement. En 2018, les principales cyberattaques que l’AP-HP a subies sont des campagnes de phishing où certains de nos utilisateurs cliquent sur des liens et donnent leur mot de passe.

Les risques augmentent pour trois raisons

L’augmentation des risques est aussi par l’augmentation de notre surface d’attaque pour trois raisons principales. Tout d’abord, la croissance rapide (+30 % en 3 ans, pour arriver à plus de 60 000) de notre nombre d’utilisateurs due au déploiement d’applications métiers. Ensuite, la persistance de très nombreuses (plus de 900 à l’AP-HP) applications métiers mal protégées et des éditeurs qui ne mettent pas en place les mesures élémentaires de sécurité.

Enfin, de plus en plus d’appareils médicaux (équipements d’imagerie radio, IRM, ou d’analyse d’hématologie, génétique, ...) ou d’équipements pour les bâtiments (caméras de surveillance, ascenseur, installations électriques …) sont maintenant connectés au réseau pour remonter des informations et assurer la maintenance préventive de ces équipements. Ils fonctionnent souvent avec des systèmes d’exploitation obsolètes ou non mis à jour régulièrement par leur fabricant.

Des vecteurs d'attaque variés

Les données sont ainsi disséminées aux quatre coins dans nos systèmes, des réseaux d’appareils de surveillance, dans des terminaux mobiles, des portails web, utilisés par les professionnels, les partenaires, les patients, les tiers mainteneurs. Les vecteurs d’attaques sont donc variés ; les multiples points d’accès humains et non humains interagissent et sont au cœur de nos processus métiers. Notre contexte est ainsi vulnérable et les dangers pèsent sur nos systèmes et nos données, qu’il s’agisse d’actions malveillantes ou provoquées par des erreurs humaines.

Par ailleurs, les acteurs de la santé sont naturellement dans une relation de confiance, préoccupés par l’optimisation des soins aux patients; ils n’hésitent pas, dans ce cadre,, à s’orienter vers l’open-collaboration et l’intelligence artificielle ; les solutions bourgeonnent à grande vitesse, des applications en Cloud aux appareils compatibles avec l’internet des objets (IoT) à la télémédecine, et elles exigent toutes l’utilisation de données sensibles combinées (identité, numéro INSEE, adresse et diagnostics des patients, numéro RPPS des professionnels, ...).

Il faut arriver à protéger le système sans trop contraindre nos professionnels dans leur quotidien, en tirant des leçons des incidents constatés, et en s’appuyant aussi sur les orientations prises dans d’autres domaines tels que l‘industrie.

Des mesures prises mais qui restent insuffisantes

Nous ne pouvons prendre des risques de ne pas nous protéger. Ni pour nos professionnels, d’avoir une indisponibilité de leurs outils métiers, qui engendrerait une perte de chance pour les patients, Ni pour nos patients, de savoir leurs données accessibles à des tiers non autorisés.

Le monde de la santé, en particulier les hôpitaux, est bien sensibilisé aux risques et aux nécessités de protection de son écosystème. Cette prise de conscience a été renforcée par la régulation assurée par les pouvoirs publics, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et le Ministère.

Ces dernières années ont vu la mise en place de nombreuses obligations; citons en particulier la Politique de Sécurité des Systèmes d’Informations (PSSI-MCAS), l’homologation de sécurité des échanges entre usagers et administrations, la certification pour l’hébergement des données de santé (HDS), la directive NIS qui étend les obligations de sécurité et de notification d’incidents aux opérateurs de services essentiels (OSE), la loi de programmation militaire (LPM) ; en plus du RGPD (règlement général de protection des données) qui renforce ces dispositions. Ce sont beaucoup de réglementations, pas toujours cohérentes et dont la mise en œuvre demande des investissements importants.

Des tests d'intrusion réguliers

Nous avons déterminé avec l’ANSSI, un plan d’actions d’amélioration de notre sécurité informatique et nous pratiquons régulièrement des tests d’intrusion pour repérer nos faiblesses. Mais toutes ces mesures techniques sont inutiles si nos professionnels ne sont pas sensibilisés et ne font pas attention à leur utilisation de l’informatique. Quand nous avons imposé en 2017 un durcissement des mots de passe et leur changement régulier, nous craignions des réactions négatives de la part de nos professionnelles, mais elles ont été marginales.

Une étude récente d’IBM montre que le secteur de la santé est moins attaqué que d’autres secteurs comme les banques (1% contre 16 %), met beaucoup moins de temps à détecter une attaque (55 jours contre 197 jours) mais prend 1037 jours contre 69 jours dans les autres secteurs pour contenir ces brèches de sécurité. Pour les responsables du DHS (Department of Health and Human services) du Minnesota, qui ont subi une récente attaque, le manque de compétences et de moyens humains, explique ces délais trop importants. Je partage cette analyse et il est indispensable que les DSI des établissements de santé puissent en parallèle du développement de nos SI recruter des professionnels de la sécurité informatique et investir dans des systèmes de détection automatisée.