L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a révélé qu'au total 27 centres hospitaliers avaient été ciblés en 2020. L'activité des pirates s'étant largement accélérée au cours des dernières semaines puisqu'en 2021, l'ANSSI dénombre d'ores et déjà une attaque par semaine. Les centres hospitaliers de Dax ou encore de Villefranche-sur-Saône en ont fait les frais.

L'État français vient donc d'annoncer un important plan d'investissement pour renforcer la cybersécurité des hôpitaux et centres hospitaliers français. Le 19 février, le président Emmanuel Macron a lui-même déclaré que 350 millions d'euros seraient investis au travers du Ségur de la santé. Après des vagues de cyberattaques sans précédents subies par nos centres hospitaliers, déjà largement sous tension du fait de la pandémie, la réaction étatique sur le plan cyber sécuritaire se devait d'être à la hauteur, et elle semble l'être... du moins financièrement car les contours du plan restent à définir.

A ce jour, quelques éléments concrets de ce plan d'investissement ont été révélés : l'État a nommé trois prestataires spécialisés en services de cybersécurité pour réaliser des audits et accompagner les hôpitaux dans leur démarche, et exprimé plusieurs conditions à son investissement renforcé, notamment la nécessité pour les hôpitaux d'attribuer 5% à 10 % de leurs budgets IT au volet cybersécurité.

A l'instar de l'usine 4.0, l'hôpital s'est modernisé...

Le parallèle entre l'hôpital et l'usine n'est pas anodin. L'usine a engagé il y a quelques années une nouvelle révolution - appelée l'usine/industrie 4.0 et présentée comme la 4ème grande révolution industrielle - qui s'est traduite par l'intégration d'un grand nombre de technologies numériques dans les processus de fabrication. Dans les faits, ce sont des technologies de big data, d'objets connectés, de Cloud, de capteurs et automates intelligents, etc. qui ont pris place un peu partout dans l'usine, pour permettre à l'usine de produire plus, plus efficacement, d'être plus « verte », de rationaliser ses coûts, etc. Plus communément, on parle de transformation numérique ou de digitalisation.

Cette transition a aussi été vécue au sein des hôpitaux, car l'hôpital n'est pas simplement un centre de soins, il est aussi aujourd'hui géré comme une entreprise. Et avec la tendance au rapprochement des hôpitaux dans des centres hospitaliers de plus en plus grands et centralisés, l'hôpital d'aujourd'hui ressemble plus à une usine 4.0, avec plusieurs sites qu'à un hôpital local d'antan.

Cette modernisation se traduit concrètement par l'intégration massive du numérique et du tout connecté : le dossier patient totalement informatisé (DPI) et stocké dans le Cloud, le matériel d'imagerie médicale, la robotique médicale ou même la gestion des bâtiments sont connectés. C'est bien moins connu, mais un docteur du centre hospitalier de Dax, nous a appris dans un témoignage que l'un des impacts de la cyberattaque subie récemment avait rendu impossible la stérilisation du matériel médical « car tous les automates sont commandés par ordinateurs avec traçabilité pour pouvoir sortir les boîtes ». En d'autres termes, même la gestion des boîtes stérilisées repose sur l'informatique. Et en l'occurrence, dans ce cas il était donc possible d'opérer mais sans boîtes stérilisées.

... et il est devenu vulnérable

Le problème, encore plus vrai dans le secteur hospitalier, que dans le secteur industriel, c'est que cette modernisation - cette transformation numérique à marche forcée - s'est faite sans que l'on se préoccupe suffisamment de la cybersécurité. Et le résultat est une très grande vulnérabilité aux cyberattaques, que des pirates sans aucun sens moral s'empressent de lancer au moment où l'hôpital est rendu encore plus vulnérable par la gestion de la pandémie.

Les annonces faites par le Emmanuel Macron sur l'amélioration du niveau de cybersécurité des hôpitaux, en mettant l'accent sur la sensibilisation et l'hygiène de base est un bon point de départ, qui doit s'inscrire dans une démarche globale. La sécurité du réseau doit intégrer la bureautique traditionnelle (IT) et le réseau plus industriel (OT) qui inclut les objets connectés (IoT) et les objets connectés industriels (IIoT). Car seuls l'investissement dans des solutions tels des antivirus, et les efforts en matière de sensibilisation (à l'échelle d'un hôpital avec un personnel aussi hétéroclite, la tâche reste ardue) ne permettront pas de protéger l'ensemble du périmètre.

Des équipements médicaux sous tension

Les cyberattaquants sont des criminels comme les autres. Ils ne s'arrêtent pas à une porte fermée. Ils essaient de rentrer par les fenêtres, et ainsi de suite. S'ils viennent à cibler les gros équipements médicaux, les scanners IRM, les pompes à insuline, les automates de toutes sortes (de gestion de la stérilisation, etc.) cela mettrait directement des vies en danger. Nous avons déjà vu des démonstrations et des alertes sur ces équipements dans le passé. Cela peut donc devenir réalité. Et avec l'augmentation des dispositifs IoT, de la robotique, et très prochainement de la connectivité 5G, les vulnérabilités seront encore plus nombreuses.

Sécuriser les réseaux est autrement plus complexe que sécuriser des postes de travail et des fichiers, d'autant que les équipements médicaux utilisent des protocoles de communication divers et parfois rares. Cela signifie que les systèmes industriels ont besoin de solutions de cybersécurité spécifiques et bien entendu d'experts spécialisés. Il est crucial que ces éléments soient pris en compte dans la réflexion actuelle autour de la cybersécurité des hôpitaux.