Plan cyber, des moyens encore insuffisants

La guerre entre la Russie et l'Ukraine a mis le monde entier en alerte dans le secteur du numérique. Fin décembre 2021, début 2022, une cyberattaque russe via un DDOS touche le ministère de la Défense ukrainien et les deux principales banques du pays. Plusieurs millions de données d'Ukrainiens deviennent accessibles sur le dark web, mais les hôpitaux du pays ne sont pas attaqués.

Fin février, la tension monte d'un cran, témoigne Christine Dugoin Clément, chercheuse pour la chaire Risques. Une alerte est lancée par l'Agence américaine de cybersécurité sur un nouveau malware du même type que Wannacry en 2017-2018 en Ukraine. En même temps, des hackers annoncent avoir récupéré des fichiers de Conti suite à l'attaque d'un ransomware, y compris sur les hôpitaux.

Pour autant, cette ébullition numérique venant de l'étranger a-t-elle eu des répercussions sur les hôpitaux français déjà victimes d'attaques dévastatrices en 2021 (voir notre dossier) ? Selon Emmanuel Sohier (Cert Santé*), « il n'y a pas eu de spécificités dans l'activité malveillante par rapport à cet événement », ni, selon ce service qui recense toutes les activités malveillantes des établissements de santé, d'attaques de même ampleur en 2022 qu'en 2021 (voir notre encadré sur l'Observatoire des déclarations d'incidents en 2021). Certes, depuis quelques mois, témoigne cet expert, il existe des campagnes d'activité de groupes de hackers identifiés comme venant de Russie, mais pas plus.

Phishing en hypercroissance

Ce n'est pas l'avis d'une autre experte, Nesrine Benyahia (fondatrice de la start-up Dr Data) qui explique le contexte de tension dû aux cyberattaques. Certes, il s'était aggravé suite à la pandémie, mais la situation s'est encore dégradée depuis le début du conflit. « Les opérations de phishing et de malveillance sont en hypercroissance chez nos clients notamment pour des traitements du quotidien telle que la gestion de la mutuelle ou des tickets restau qui contiennent des données personnelles du personnel, l'ANSSI a d’ailleurs confirmé en mars dernier la croissance des cyberattaques dues au conflit. » Cette société a pour mission d'assurer la veille cyber et de réaliser un travail d'anticipation. Et de déplorer : « On a beau avoir mis ceinture, bretelles et parachute : quand les hackers veulent rentrer, ils le font. » Et l'experte, sans citer d'établissement, pointe la fragilité des établissements de santé dans toutes leurs spécificités (structure, architecture, ressources humaines).

D'autres experts très impliqués comme Guillaume Deraedt, RSSI dans le GHT de la Côté d'Opale, mettent en avant la vigilance augmentée depuis le début de cette guerre, avec « des scans de vulnérabilité à distance qui peuvent venir de l'Est et un accompagnement particulièrement accru de l'Anssi et des ARS qui véhiculent rapidement des identifications de nouveaux vecteurs de risque afin d'être en mesure de les contourner ».

L'Anssi, en la personne de son patron Guillaume Poupard (bientôt remplacé) témoignait sur son compte LinkedIn de la surveillance de la cyberactivité par son organisme comme le lait sur le feu : « Les tensions internationales actuelles, notamment entre la Russie et l'Ukraine, peuvent parfois s'accompagner d'effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n'a pour l'instant été détectée, l'ANSSI suit néanmoins la situation de près. »

Electrochoc

En fait, les attaques de 2021 ont représenté une prise de conscience brutale pour le secteur. Selon Pierre Yves Antier (Relyens), la recrudescence de ces attaques est due à trois facteurs : l'accélération des usages numériques, l'augmentation de la surface d'exposition qui s'en est suivie et la menace en tant que telle qui s'est concrétisée et a réveillé les esprits. « Ce qu'il s'est passé lors du premier confinement en avril 2020 a mis en lumière l'importance pour les établissements de santé de sécuriser leurs data. Beaucoup d'audits ont alors été réalisés. Les deux ou trois établissements paralysés par l'attaque pendant des semaines ont représenté un électrochoc », témoigne Nicolas Baudelot, cofondateur de Medicalib. Cette start-up créée en 2017 a développé une plateforme de mise en relation entre patients et professionnels de santé à domicile qui a été hackée sévèrement le 23 mars 2020 du fait de son partenariat avec l'AP-HP. En effet, elle a été une victime collatérale d'une attaque colossale sur l'AP-HP qui avait les outils pour bien résister. Depuis cet événement, la start-up est montée en puissance en qualité de cybersécurité.

Pourquoi les utilisateurs ne prennent conscience de l'impact sévère d'une attaque qu'après sa survenue. Nicolas Baudelot compare avec une assurance automobile. « Pour la sécurité informatique, vous vous assurez au tiers et dans la majorité des cas, cela suffira pour la grande majorité des attaques. Et survient une attaque plus forte, de meilleure facture qui va vous planter et vous coûter pas mal d'argent, de temps et d'image. Après cet événement, vous prendrez une protection plus importante. » Selon Emmanuel Sohier, les acteurs sont toujours en train de tenir un compromis. « Le renforcement de la sécurité peut entraîner des contraintes pour les utilisateurs. Un niveau de sécurité acceptable à un instant T ne le sera peut-être plus un an après et sera alors insuffisant au regard de l’évolution de la menace et des usages. Il faut sans cesse réinterroger la gestion des risques. » Quant à Olivier Eyries (Saporo), il indique que « « les hôpitaux qui ne se sont pas fait hacker ont un score de résistance aux attaques faible tandis que ceux qui l'ont été atteignent maintenant des scores de résistance hauts après avoir opéré une refonte complète de leur système d'information ».

Plan cyber

Dans tous les cas, le nerf de la guerre, l'argent, semble primer. Face à ces attaques d'ampleur en 2021, le gouvernement a annoncé un grand plan de cybersécurité en février 2021 estimé à 1 milliard d'euros, dont 720 millions de financement public, avec l'objectif de doubler les effectifs de la filière d'ici à 2025. Résultats, est accordée aux établissements volontaires une enveloppe de 70% de subvention à hauteur de 140 000 euros contre un engagement de 40 000 euros d'investissement par l'hôpital (soit un budget total de 180 000 euros).

Dans l'ensemble, la plupart des acteurs sont satisfaits de ces subventions. Pour Frédéric Descamps (Advens), cela « a permis de mettre le pied à l'étrier d'un grand nombre d'établissements de santé ». Pour lui comme pour Guillaume Deraedt, l'inquiétude porte sur la pérennisation de ces budgets. Selon le RSSI, « ces fonds ont amorcé la pompe, outillé, structuré, et donné aux acteurs la possibilité d'anticiper au moins sur la partie système d'information essentiels (SIE) ».

Dans la nuance, Cyrille Politi (FHF) se demande si ce plan est à la hauteur, dans la durée et dans la structuration. Se référant au hacking de la base de l'assurance maladie (500 000 patients) survenue en mars 2022, le représentant de la fédération hospitalière pose la problématique de la sécurisation globale d'une chaîne définie par le niveau de sécurité de son maillon le plus faible : « Il ne suffit pas de massifier. Si vous le faites, vous devenez plus intéressant pour un hacker. » Alors que tous les établissements supports de GHT ont été depuis ces attaques tous désignés opérateurs de services essentiels (NDLR, ce qui n'était pas le cas lors de notre dernière enquête il y a un an], Cyrille Politi s'interroge sur les moyens qui vont leur être attribués « pour revoir leur architecture de système d'information afin d'être les locomotives sur les territoires qu'ils doivent couvrir ».

Très faible attractivité à l'hôpital

Comment faire donc pour maintenir ou améliorer cette sécurité dans le temps ?, explique Laure Deroche (Advens) qui évoque le manque de ressources humaines : « Même si les hôpitaux ont des budgets dédiés, ils ont beaucoup de mal à recruter. Alors que la cybersécurité explose, on manque de compétences partout sur ce marché très tendu. » Et de mentionner les grilles de salaire des établissements de santé bien inférieures à celles du marché qui viennent aggraver la pénurie de compétences. Dans le privé et en particulier dans les grands groupes américains ou dans les sociétés de services, les salaires sont trois à quatre fois supérieurs à ceux du public.

Selon Olivier Eyries, « le RSSI est un métier difficile, car il doit discuter avec son supérieur hiérarchique qui est souvent un directeur d'établissement à l'origine médecin et qui, au mieux, a des connaissances limitées en matière de sécurité informatique ». Selon Guillaume Deraedt, les profils de RSSI sont rares, diplômés et onéreux, pire pas forcément bien budgétés : « Ce sont souvent des ingénieurs seniors qui doivent prendre du temps pour prendre leur place en tant que RSSI. »

Pour autant, la volonté serait présente chez les pouvoirs publics, selon Cyrille Politi. Le ministère de la Santé a élaboré une grille de rémunération des contractuels dans les métiers du SI. Il a aussi engagé des discussions sur une revalorisation des grilles d'ingénieurs de fonctionnaires. Tous les sujets de revalorisation, de formation, de l'ingéniérie, mais aussi de l'expertise dans la e-santé sont les sujets à traiter en priorité.

Au-delà des ressources rares en expertise, un grand nombre d'acteurs s'interroge sur la pérennisation de ces subventions. Car les enjeux pour l'hôpital sont multiples et énormes : entre manque de maturité, difficulté à maintenir la production de soins, choix stratégiques à opérer pour les directeurs, soutien fort de l'ANSSI et de l'Etat, le retard en cybersécurité serait encore loin d'être rattrapé. Quelles solutions trouver pour combler le manque d'argent et de personnel, sinon à travailler en bonne intelligence et en mutualisant les compétences ?

* Le Computer Emergency Response Team a remplacé en avril 2021 la cellule d'accompagnement cybersécurité des structures de santé (ACSS) de l'Agence du numérique en santé (ANS).