Le Plan Blanc Numérique annoncé par le gouvernement en décembre avait pour but de doter tous les établissements de soins français de « réflexes et pratiques à adopter si un incident cyber survient ». En dépit d’une feuille de route bien définie, la question du nécessaire renforcement de la sécurité des systèmes d’information, porte d’entrée de toutes cyberattaques, reste à aborder.
Plan Blanc Numérique, est-ce vraiment ce dont nos hôpitaux ont besoin ?
Qu’ont en commun l'hôpital de Saint-Dizier et Vitry-le-François, le centre hospitalier de Corbeil-Essonnes ou encore l’hôpital André-Mignot de Versailles ? Ils font partie de la liste des 11 hôpitaux visés par une cyberattaque en 2022. Parmi elles, seules deux ont pu être déjouées. Pris pour cible par des cyberattaquants qui ignorent pour la plupart les réalités économiques du système de santé français, ils restent plus exposés que peuvent l’être d’autres industries1 à des cyberattaques pouvant entraîner pertes de données, interruptions de services et vol d'informations sensibles, en plus de se voir régulièrement réclamer des rançons.
Gérer la crise plutôt que d’agir en préventif
En fournissant des lignes directrices pour la gestion des incidents cyber dans son Plan Blanc Numérique, le gouvernement aspire à ce que les professionnels de santé soient mieux préparés en cas de cyberattaques. L’idée est simple : renforcer la cohérence et l'efficacité de la réponse des établissements de soins afin de réduire perturbations et coûts en cas d’attaque. Rien à opposer à cette idée sur le fond si ce n’est qu’elle ne prend pas forcément en compte la réalité du terrain : les ressources humaines et financières du secteur sont limitées et quand on est occupé à soigner ou sauver des vies, la cybersécurité n’est pas toujours une priorité.
L’enveloppe de 10 millions d’euros que le gouvernement se propose d’engager concerne actuellement la réalisation d’un exercice de crise cyber par ailleurs annuel dans les établissements de santé. Chaque établissement se voyant alloué une enveloppe allant de 4 000 à 10 000 euros conditionnée à son niveau de maturité en termes de cybersécurité. On est en droit de demander si cette enveloppe peut raisonnablement suffire préparer un hôpital comme la Pitié Salpétrière qui emploie plus 95 000 personnes en cas de cyberattaque. Il va sans dire que l’homme, aussi bien formé qu’il soit, reste par ailleurs faillible. Tout particulièrement dans un contexte où d’autres priorités – réelles ou perçues – prennent le dessus. Que dire également du fait que le paysage des menaces n’a jamais été aussi complexe et évolué aussi rapidement qu’aujourd’hui. Sans ressources humaines et matérielles supplémentaires dédiées à la cybersécurité au quotidien, comment peut-on envisager protéger optimalement tout un secteur ?
Faire de la cybersécurité une priorité absolue
Une importante déconnexion entre les professionnels de la cybersécurité et les cadres dirigeants existe aujourd’hui dans nos organisations. Près de quatre cyber-professionnels sur 102 affirment que leur direction n'accorde pas suffisamment d'attention à la sécurité informatique et que celle-ci est traitée comme une simple "case à cocher". Pour assurer une cybersécurité efficace, il est pourtant fondamental que cette dernière soit perçue comme centrale au bon fonctionnement des organisations. Il est également important que les entreprises investissent efficacement dans la prévention, en mettant en place des mesures de sécurité proactives pour réduire les risques d’attaques, et pas seulement dans la résolution d’incident ou la gestion de crise. Ces investissements doivent bien sûr inclure la mise en place d’interfaces de protection des données et de surveillance en temps réel des systèmes d'information et ne pas oublier la formation en continu des ressources à la sécurité informatique.
Un autre problème de taille auquel font face nos organisations en matière de cybersécurité est celui des systèmes d’information souvent vieillissants et dont les mises à jour système se font rares. Nombre de cyberattaquants opèrent en utilisant des failles de sécurité datant pour certaines de 2018 sur des logiciels d’usage parfois courant. La mise à niveau régulière des systèmes reste une façon efficace de d’améliorer la cyber protection des organisations. En attendant que ce geste devienne un réflexe pour tous, le besoin d’un certain leadership pour en forcer l’adoption continue de se faire sentir.
1 Au quatrième trimestre 2022, la santé fut l’industrie le plus touchée par des attaques de ransomwares.
Source: The Threat Report, February 2023, Trellix Advanced Research Center