Cyberattaques : hôpitaux privés et publics, le pire est-il à venir ?

L’année 2023 est à marquer d’une pierre noire, tant les cyberattaques ayant ciblé les hôpitaux français ont été nombreuses et lourdes de conséquences : clinique Ramsay Santé (Toulouse et Lyon), centre hospitalier de Brest, centre hospitalier de Rennes, hôpitaux de Vittel et Neufchâteau dans les Vosges… Nous aurions pu espérer une année 2024 plus clémente, comptant sur le bon sens des établissements et des autorités pour renforcer ou mettre à jour les outils de cybersécurité.

Hélas, les cyberattaques menées cette année mettent en lumière non seulement un manque de moyens financiers et technologiques, mais aussi la trop grande interdépendance de toute la chaîne de soins de santé.

Les hôpitaux et cliniques, publics ou privés, travaillent avec une nébuleuse de prestataires dépendants les uns des autres. Cette dépendance est comparable à des coureurs qui se passeraient un témoin en relais. Le coureur qui reçoit le témoin hérite en même temps de l’avance ou retard de ses coéquipiers.

La cyberattaque ayant touché le système d’information de Change Healthcare/Optum aux États-Unis, le 21 février 2024, illustre parfaitement cette interdépendance. Cette cyberattaque a eu pour effet de paralyser les hôpitaux du territoire nord-américain et plusieurs entreprises travaillant avec ces établissements, perturbant les soins et le traitement des demandes de remboursement.

À bien y regarder, l’interconnexion des différentes composantes du parcours de soins ressemble beaucoup à une infrastructure informatique de type « cœur et réseau ». Au lieu de cibler chacun des prestataires, les hackeurs s’attaquent donc à ces hubs (cœurs) qui se déploient dans des centaines d’organisations et causent plus de ravages et avec une plus grande efficacité.

Le secteur de la santé ne semble pas avoir pris la mesure de l’environnement de menace cyber dans lequel il évolue désormais. Il ne s’agit plus seulement de soigner les malades, mais de reconnaitre la gestion de la surface d’attaque comme un point d’attention majeur face aux cyberattaques. Pour rappel, la gestion de la surface d’attaque (ASM) se réfère à un contrôle et une sécurisation de tous les points d’entrée où une entité non autorisée pourrait essayer de s’introduire. Cette gestion de la surface d’attaque implique l’identification, la surveillance et la réduction de ces vulnérabilités.

Nous l’aurons compris, la trop grande interdépendance et le nombre de prestataires dans la chaîne des soins de santé fragilise et accroît le périmètre de leur surface d’attaque. Pourquoi les prendre pour cibles ? Ils ont souvent accès à de vastes quantités de données sensibles (dossiers médicaux, informations d’assurance et de paiement…), sans toujours disposer des outils de cybersécurité ou mesurer l’ampleur des risques. La cyberattaque d’un hôpital va maintenant bien au-delà des simples perturbations opérationnelles : la compromission des données patients peut avoir des conséquences pour la vie privée des personnes, leur sécurité financière et même personnelle.

Faut-il s’étonner aujourd’hui encore de la recrudescence de ces cyberattaques ? Nous aurions tort selon un récent rapport d’Armis, The State of Cyberwarfare. D’après cette enquête menée en Angleterre, aux États-Unis, en France et en Allemagne auprès de 1003 professionnels de l’informatique et de la cybersécurité, le secteur de la santé s’appuie encore sur des technologies obsolètes, avec 12 % du secteur utilisant encore des systèmes d’exploitation en fin de support (EoS).

Notons aussi que ce type de cyberattaque n’est jamais mené par hasard. Il survient souvent après l’annonce d’un partenariat ou d’une acquisition. Ce moment peut être perçu comme opportun par les cyberattaquants car il s’agit d’une période de réorganisation et de refonte des systèmes.

Lors du salon SantExpo qui se tenait du 21 au 23 mai 2024 à Paris, plusieurs conférences ont été l’occasion d’affirmer que les hôpitaux français manquent cruellement de moyens face aux cyberattaques. L’opportunité aussi de rappeler que des solutions existent et qu’il s’agirait de ne pas subir. Comment ? En ayant une visibilité sur chaque appareil connecté au réseau de l’hôpital, pour identifier et atténuer les vulnérabilités.

Nous l’avons dit, une gestion robuste de l’exposition cyber est non négociable. Les hôpitaux et organisations de santé doivent élargir leur champ de visibilité à l’ensemble de leur écosystème de dispositifs et de services supports, pour mener des évaluations holistiques des risques – en particulier des systèmes qui permettent directement le fonctionnement des services de soins, qu’il s’agisse d’un hôpital, d’une clinique ou d’un service ambulatoire.

En France, comme ailleurs, des progrès sont possibles. Les organisations peuvent trouver un soutien dans le plan stratégique de lutte contre les cyberattaques, annoncé en décembre 2023 par l’État. Une première tranche de financement de plus de 230 M€ est allouée jusqu’en 2024, pour un montant qui pourrait atteindre jusqu’à 750 M€ en 2027, indiquent plusieurs sources.

Aux États-Unis, les hôpitaux peuvent compter sur le plan stratégique du Conseil de coordination du secteur de la santé, le HIC-SP. Il juge d’ailleurs préoccupant l’état de la cybersécurité dans le secteur de la santé.

Mais toutes ces améliorations ne seront possibles qu’à la condition d’adopter des technologies de protection proactives et d’avoir compris que nous sommes désormais dans un état de menace cyber perpétuel.