Encore de nouvelles mesures. Mercredi, les ministres Gérald Darmanin (Intérieur), François Braun (Santé) et Jean-Noël Barrot (Numérique) se sont réunis pour discuter de la cybersécurité des hôpitaux avec « l'ensemble des services mobilisés et les principales fédérations hospitalières ». Le rassemblement intervient à la suite de deux cyberattaques dévastatrices, contre le centre hospitalier de Versailles au début du mois et contre le CHU de Corbeil-Essonnes en août.

A l'issue de la réunion, le gouvernement a présenté un « vaste plan de préparation aux incidents cyber », afin que les établissements de santé victimes réagissent plus efficacement. Du côté du club RSSI Santé, qui regroupe les responsables de la sécurité des systèmes d'information (RSSI) de dizaines d'hôpitaux, ce nouveau plan laisse un goût d'inachevé. En effet, si les experts saluent les nombreux investissements récents, ils attendent avant tout de nouvelles politiques de recrutement et de ressources humaines. « Les RSSI ont une très bonne vision des trous de sécurité de leurs systèmes d'information, mais nous n'avons pas forcément les moyens humains pour les combler », résume Jean-Sylvain Chavanne, RSSI au CHU de Brest et membre du club.

Un dispositif de plus sur une pile déjà fournie

Trois mesures principales se dégagent du nouveau plan du gouvernement :

• 100% des établissements de santé devront effectuer un exercice de crise avant 2024, et même avant mai 2023 pour les établissements prioritaires.
• Un « plan blanc numérique » sera diffusé courant 2023 aux établissements de santé. Elaboré dès le début de l'année par la Direction générale de l'offre des soins (DGOS, membre du ministère de la Santé), il a pour objectif de donner aux hôpitaux les premiers réflexes à adopter en cas de cyberattaque réussie, de l'activation d'une cellule de crise à la projection des conséquences de l'attaque.
• Enfin, le gouvernement a créé une task force [un groupe de travail, ndlr] composé de « l'ensemble des autorités compétentes ». Il aura pour mission de bâtir d'ici à mars 2023 un nouveau projet de plan cyber « massif » pour les quatre prochaines années.

Ce nouveau plan s'ajoute à une pile de dispositifs déjà bien fournis, preuve de l'implication croissante du pouvoir public sur le sujet depuis 2021. Emmanuel Macron avait déjà insisté sur la situation des hôpitaux lors de l'annonce de son plan d'investissement de 1 milliard d'euros début 2021 dans le secteur de la cybersécurité, dans la foulée des attaques au rançongiciel réussies contre les centres hospitaliers de Dax et de Villefranche-sur-Saône. Le gouvernement a aussi investi 25 millions d'euros ces deux dernières années pour faire accompagner par l'Anssi les «150 plus grands hôpitaux » (sur plus de 3.000 établissements, dont 1.300 publics) qualifiés d'importance vitale, dans le cadre d'un plan de sécurisation. Après l'attaque réussie contre le CHU de Corbeilles-Essonnes, il y a quelques semaines, Jean-Noël Barrot a annoncé l'injection de 20 millions d'euros supplémentaires pour « doubler » le nombre de bénéficiaires de cet accompagnement.

Côté investissements, le plan France Relance a débloqué 136 millions d'euros sous la forme d'appels à projets, qui ont permis à des centres hospitaliers de financer leurs nouveaux outils de cybersécurité. Le Ségur de la Santé présenté en 2021 prévoyait aussi une enveloppe pour la sécurité des systèmes d'information, qui n'a pas été précisée. Mais pour Pierre-Antoine Errard, RSSI au GHU Paris psychiatrie et neuroscience, cette politique commence à toucher ses limites : « le gouvernement débloque des fonds pour financer des outils de sécurité, ce qui est une bonne chose. Mais si nous n'avons personne pour opérer les logiciels, les millions d'euros d'investissements importent peu et notre niveau de sécurité va stagner », met-il en garde.

« Nous avons accès à des outils modernes, mais sans personne pour les opérer, nous ne les utiliserons qu'à 10% de leurs capacités. De plus, en tant que RSSI, nous avons la position facile de donneur d'ordre, mais nous ne pouvons pas agir tout seul, il faut derrière une DSI [direction des systèmes d'information, ndlr] capable de mettre en place les changements nécessaires », abonde Jean-Sylvain Chavanne, du CHU de Brest. Et pour cause : les logiciels de cybersécurité font avant tout de la détection. Par exemple, un EDR analyse ce qu'il se passe sur la machine où il est installé, tandis qu'un NDR analyse les flux de données au niveau du réseau. Ces outils envoient des alertes sous forme de rapport lorsqu'ils détectent des comportements anormaux, et ils intègrent certaines mesures de protection automatique de court terme, comme la mise en quarantaine de fichiers. Mais il est nécessaire d'avoir des techniciens humains pour trier les alertes, et déclencher d'éventuelles procédures de remédiation. Autrement dit, lors de la détection des signes d'une attaque rançongiciel, l'intervention humaine reste indispensable.

Galères de recrutements

Mais une fois le constat du manque de personnel posé sur la table, les difficultés du recrutement apparaissent. Les directeurs et directrices d'hôpitaux doivent composer avec des budgets serrés et ils doivent parfois décider entre ouvrir un poste d'ingénieur en cybersécurité ou des postes de personnel soignant. « Le choix à faire n'est pas enviable : le citoyen préfère-t-il se faire soigner ou protéger ses données personnelles ? », interroge Pierre-Antoine Errard.

Pire : même quand des postes s'ouvrent, le casse-tête n'est pas fini. Dans le secteur de la cybersécurité, les salaires de la fonction publique peinent à concurrencer ceux du privé, souvent bien plus élevés. Et puisque les hôpitaux se confrontent comme le reste du marché au manque important de main d'œuvre du secteur, à la fois au niveau des cadres qu'à celui des techniciens, ils font face à un manque de candidats compétents. La politique d'investissement du gouvernement a pour objectif de tripler le nombre de professionnels de la cybersécurité, mais cette projection s'échelonne sur plusieurs années.

Pour remédier à la situation à court terme, le club RSSI Santé avait envoyé une lettre ouverte avec ses propositions en amont de la réunion interministérielle. « En plus de propositions sur le recrutement, nous avons suggéré la mise en place de vraies politiques RH, notamment sur la mobilité interne. Aujourd'hui, la formation continue n'est pas prise en charge, ce qui empêche par exemple les techniciens qui voudraient devenir ingénieur de monter en compétence », développe Jean-Sylvain Chavanne. Si cet aspect n'est aujourd'hui pas couvert par les politiques publiques, l'expert espère qu'il sera intégré aux discussions de la task force qui vient d'être créée.

Le manque de personnel se traduit dans les chiffres : alors que les études de référence, dont celle du cabinet Gartner, conseillent aux organisations d'allouer plus de 4,3% de leur budget global au fonctionnement de leur système d'information, les hôpitaux y consacrent un ratio deux à trois fois moins important. En 2021, le gouvernement avait annoncé sa volonté de remonter ce ratio à plus de 5%, en faisant de cet effort une condition d'accès aux aides.

Un manque de vision à long terme

« Si on reprend l'historique, les établissements de santé ont été numérisés par à-coups, au rythme des appels à projets », rappelle Jean-Sylvain Chavanne. Mais si les subventions publiques permettent d'acheter de l'équipement informatique, sa maintenance à moyen terme doit ensuite être intégrée au budget de l'hôpital, un point qui fait souvent défaut. En conséquence, le parc informatique des établissements de santé vieillit rapidement et faute de mises à jour, il devient de plus en plus exposé aux cyberattaques. Par exemple, certaines machines et logiciels ne fonctionnent que sur d'anciennes versions de Windows, dont Microsoft ne répare plus les vulnérabilités.

Les équipes de sécurité sont donc contraintes à faire du rafistolage plus que de la réparation. Leur mission est d'autant plus difficile que les hôpitaux doivent être très ouverts vers l'extérieur, ce qui signifie ouvrir des flux de données, et s'exposer encore plus. « Pour éviter que ces situations se répètent, il nous faut une gouvernance sur le long terme plutôt qu'une politique d'appels à projets », demande Jean-Sylvain Chavanne. Justement, la question de la pérennisation des politiques d'aides aux hôpitaux à plusieurs fois été soulignée par Jean-Noël Barrot -qui a pris ses fonctions cet été-, sans être pour l'instant se refléter en mesures concrètes. Mais les objectifs donnés à la task force semblent aller en ce sens.

Dans les faits, le problème des rançongiciels [les logiciels malveillants les plus destructeurs, qui sont au cœur des inquiétudes, ndlr] est très loin d'être limité au secteur de la santé : en volume d'attaques déclarées en France, les hôpitaux arrivent en troisième place après les collectivités territoriales et les PME. En revanche, c'est dans le secteur de la santé que les attaques ont les conséquences les plus impressionnantes, puisqu'elles dépassent la sphère financière pour toucher à la santé des citoyens. En cas d'attaque rançongiciel réussie, les hôpitaux sont contraints de revenir au papier et au crayon pour certaines tâches -qui vont de la planification des rendez-vous jusqu'à des actes médicaux selon l'ampleur des dégâts- et ils transfèrent certains patients vers les établissements voisins. Résultat, la qualité et la disponibilité des soins se dégradent pour les patients, et la facture peut s'élever à plusieurs millions d'euros pour l'hôpital victime.

Il est donc logique que le pouvoir public se saisisse du sujet, mais Pierre-Antoine Errard met en garde sur la multiplication des dispositifs et contraintes imposés aux établissements : « Nous devons déjà composer avec un mille-feuille administratif très lourd de législations, normes et autres circulaires. Quand j'ai refait la PSSI [politique de sécurité des systèmes d'informations, ndlr] de mon établissement, j'ai compté plus de 350 lignes de mesures à appliquer à partir des textes, c'est déraisonnable. Heureusement, quand on enlève les mesures qui font doublon, ce nombre se réduit à 72 lignes, et c'est suffisant. »

François Manens

23 Déc 2022, 14:46

Partager :