L’industrie française de la cybersécurité n’est pas près d’oublier ce mois de novembre 2019. Pour la première fois dans l’Hexagone, un établissement de santé a été victime d’une cyberattaque d’une envergure telle qu’il a été obligé de réorienter les patients qui ne sont pas dans une situation d’urgence vers d’autres établissements, et cela pendant plusieurs jours1.
Alors que les équipes informatiques du CHU de Rouen et celles de l’ANSSI continuent d’œuvrer jour et nuit pour remettre en marche l’ensemble du système d’information, il serait facile de se rassurer en considérant cette attaque majeure comme un incident isolé. Si nous nous donnons la peine d’analyser la situation, il y a pourtant beaucoup d’enseignements à tirer de cette crise. Le premier est que nous sommes pleinement entrés dans l’ère des ransomwares ciblés et sophistiqués, pilotés par des criminels chevronnés. Il nous faut donc agir en conséquence et adapter nos outils de prévention. Le second est l’extrême vulnérabilité des établissements de santé face aux cyber menaces.
Que nous consultions pour un rhume saisonnier ou pour une pathologie plus grave, notre parcours de patient est facilité à chaque étape par les outils numériques, volontairement ou non. Nous prenons rendez-vous sur Doctolib, les résultats de nos examens d’imagerie médicale sont stockés numériquement, certains appareils médicaux sont connectés et la cohérence du parcours de soin est garantie, ou le sera bientôt, par notre Dossier Médical Partagé. Cela représente une somme colossale de données sensibles qui ne pouvait pas manquer d’attirer les cyber criminels.
La donnée de santé, une cible de choix
350 euros2. C’est le prix de vente d’un dossier médical sur le marché noir numérique, soit 2,5 fois plus que la moyenne mondiale des autres documents. Et nous savons par l’attaque du CHU de Rouen qu’un cyber criminel peut espérer empocher 300 000 euros de rançon en attaquant un établissement entier. Il n’y a donc rien de surprenant à ce que les attaques informatiques visant des données médicales soient plus nombreuses. Entre 2017 et 2018, elles ont été multipliées par trois3.
Conscients de la menace, les professionnels de la sécurité informatique opérant dans le secteur de la santé se mobilisent depuis plusieurs mois mais le combat paraît bien inégal. Il ne faut qu’un individu et quelques milliers d’euros, parfois moins, pour lancer une cyberattaque de complexité moyenne. En revanche, les ressources humaines et financières nécessaires à la protection des 3 000 établissements et milliers de professionnels de santé que compte la France est un défi d’une toute autre ampleur. Un défi qui ne peut pas se gagner sans l’adhésion pleine et entière des professionnels de santé.
La bonne nouvelle, c’est qu’ils en ont parfaitement conscience. Amenés à manipuler quotidiennement les données patients, les professionnels de santé sont 70 %4 à se déclarer concernés par les questions de cybersécurité et de protection de la vie privée. Ce pourcentage est extrêmement encourageant et confirme le succès des campagnes de sensibilisation nationales menées auprès de cette population.
Malheureusement, l’adoption des bonnes pratiques reste encore très faible. La cybersécurité, et l’informatique en général, n’est en effet pas la mission première des établissements qui allouent une large partie des ressources dont ils disposent aux soins. En conséquence, 55 % des professionnels de santé estiment ne pas disposer des moyens nécessaires pour garantir efficacement la sécurité et la confidentialité des données numériques, évoquant le manque de formation, de moyens financiers et de temps. Plus préoccupant encore, seuls 20 % des professionnels de santé protègent l’ensemble des appareils qu’ils utilisent pour manipuler les données des patients.
Adopter les bonnes pratiques, ensemble
Il est temps que tous les acteurs impliqués dans la production de la donnée de santé agissent et adoptent les fondamentaux de la cyber sécurité. Ils doivent suivre une feuille de route claire, ambitieuse et réaliste, valable pour l’ensemble du secteur.
La première étape consiste à maintenir les efforts de sensibilisation. Il est primordial de proposer des outils et programmes permettant non seulement la formation régulière et récurrente, mais aussi le contrôle des connaissances et leur mise en application. Il est indispensable que chaque acteur, au niveau individuel et quelles que soient ses responsabilités, ait le réflexe de n’utiliser que des appareils et logiciels sûrs, mis à niveau systématiquement.
La sécurité informatique ne doit pas non plus se résumer à l’achat d’une solution de sécurité ; ce n’est que l’une des nombreuses étapes de toute stratégie transformationnelle. Chaque structure a des besoins spécifiques en fonction de sa taille, ses outils et son fonctionnement. C’est particulièrement vrai dans le secteur de la santé, qui regroupe aussi bien des praticiens de ville isolés que des grands groupes hospitaliers et qui connaît d’importantes disparités budgétaires d’un acteur à l’autre.
La mise en place de tels outils et de stratégies de cybersécurité efficaces nécessite la collaboration de l’ensemble des institutions et celle de nombreuses fonctions professionnelles, de la DSI aux RH en passant par les comités d’administration. L’objectif est d’intensifier l’interopérabilité des systèmes d’information en santé, ce qui conduira à les rendre plus sûrs.
Conscient de ces enjeux, le gouvernement a d’ores et déjà impulsé des changements et annoncé une feuille de route ambitieuse. Le 25 avril 2019, Agnès Buzyn, ministre des Solidarités et de la Santé, et Cédric O, secrétaire d’État chargé du numérique, ont présenté leur programme en matière de numérique en santé, défini dans le cadre de la stratégie de transformation du système de santé : Ma Santé 2022. En filigrane, le futur numérique du secteur de la santé se construit autour de 3 maîtres mots : sécurité, interopérabilité et complémentarité.
Dans la course à l’évolution numérique, la protection des données de santé se présente comme un relais. L’administration et la sécurisation de ces données sensibles éparses ne doivent être qu’un obstacle périodique à dominer, et non un état de fait dont l’on doit se satisfaire.
1 Frappé par une cyberattaque massive, le CHU de Rouen forcé de tourner sans ordinateurs, Le Monde, 18 novembre 2019
2 Ponemon Institute : 2017 Cost of a Data Breach Study Global Overview
3 Protenus 2019 Barometer
4 Etude YouGov pour Kaspersky réalisée en juillet 2019 auprès de 1002 professionnels de santé français, « Protection des données de santé : du curatif au préventif »