La sécurité du système d’information : une affaire compliquée d’informaticiens. Vraiment ?
Par Alain Mainar, Consultant senior CG2 Conseil
Depuis quelques années, les cyberattaques font régulièrement la une des médias. Rançongiciels, « hameçonnages », fuites de données… telles sont les redoutables menaces auxquelles les acteurs économiques font aujourd’hui face au quotidien, en progression de près de 20% par an, et dont le coût est estimé à 12 M€ par an dans le secteur de la santé.
Parmi les cibles potentielles visées par les cybercriminels, les établissements de santé occupent une place de choix. Le développement des usages des systèmes d’information au sein des hôpitaux depuis plusieurs années ne s’est pas toujours accompagné d’un effort proportionnel en matière de sécurité, ni de formation des utilisateurs à la cybersécurité. Or, la dématérialisation progressive des dossiers patients rend leurs informations de plus en plus attractives (un dossier se négocie autour de 30$ au marché noir), a fortiori lorsque les patients sont des personnalités connues. Ainsi, en 2018, le dossier médical du Premier Ministre Singapourien était-il entre autres volé, avant une fuite 6 mois plus tard de 15000 dossiers de patients. Cette même année, les dossiers médicaux de la moitié de la population norvégienne subissait le même sort…
Dans d’autres cas, c’est tout le système d’information d’un établissement qui se trouve paralysé, les données ayant été chiffrées par un rançongiciel. La solution pour retrouver l’accès aux données ? Payer une rançon, souvent élevée, en échange d’une clé de déchiffrement. En aout 2019, 120 établissements du groupe Ramsay faisaient l’objet d’une telle attaque, et plus récemment, fin 2019, le CHU de Rouen était très fortement perturbé dans son fonctionnement pendant plus de 48 heures.
Le point commun à ces situations est-il forcément à rechercher du côté de la technique ? Si les moyens technologiques de protection d’un hôpital, à jour et maîtrisés par les équipes informatiques, sont indéniablement un aspect important d’un système global de management de la sécurité, la maturité des individus (utilisateurs ou collaborateurs de la DSI), souvent en première ligne face à une cyberattaque, est primordiale.
Bien souvent par ignorance des conséquences, parfois par négligence, les utilisateurs adoptent des comportements à risques potentiellement lourds de conséquences.
Quel médecin, quel soignant, quelle secrétaire médicale n’a pas un jour partagé ses identifiants avec des collègues ? Et combien de fois retrouve-t-on comptes et mots de passe inscrits sous les claviers ou sur les écrans des postes de soins, souvent trop simples et trop rarement renouvelés ? Combien de postes ne sont pas verrouillés en cas d’inutilisation ?
Quel professionnel de santé n’échange pas avec ses confrères, ne serait-ce qu’occasionnellement, des données de patients nominatives par des moyens non sécurisés, tels qu’un simple mail ?
Parfois, les attaques sont subtiles. Dans un établissement de santé, une utilisatrice reçoit un mail provenant apparemment d’un médecin avec qui elle a travaillé pendant plusieurs années. Le message l’invite à cliquer sur un lien pour télécharger un dossier de patient. Cette action réalisée, un cryptovirus est immédiatement téléchargé sur son poste, qui commence à chiffrer les documents du poste de travail. Vingt mille comptes rendus d’imagerie sont ainsi perdus en quelques secondes. Les conséquences resteront limitées, l’utilisatrice ayant le réflexe salutaire d’arrêter sa machine en raison de son comportement anormal… Encore à ce jour, les emails compromis sont le premier vecteur d’attaque des entreprises.
Il existe encore aujourd’hui des bases de données médicales partagées sur internet, peu sécurisées, et cependant créées par les médecins dans le légitime souci de faciliter la prise en charge partagée de patients. En 2019, aux Etats-Unis, 5 millions de patients ont été concernés, et certains experts estiment aujourd’hui à près de 1 milliard les données médicales facilement accessibles sur le Web. Rappelons à ce sujet qu’en 2017 un praticien hospitalier a été condamné en France pour avoir créé et exploité pendant 3 ans une base de données de dossiers patients librement consultables depuis internet par défaut de sécurisation.
Ces différentes situations illustrent à quel point un effort tout particulier de formation et d’accompagnement des équipes hospitalières devrait être consenti par les Directions des établissements, par exemple par des mises en situation concrètes des utilisateurs. Dans une vaste majorité des cas, c’est l’utilisateur qui seul devant son écran fera pencher ou pas le risque du bon côté de la balance. Encore faut-il qu’il ait été mis en situation d’être le premier « maillon fort » de la chaîne de gestion du risque, en le rendant acteur responsable de la sécurité, conscient des enjeux.
Ce dispositif d’accompagnement, in fine devrait s’inscrire dans un Système de Management de la Sécurité (SMSI) institutionnel clair, notamment sur ses enjeux et objectifs, porté au plus haut niveau, et partagé entre tous les acteurs médicaux et non médicaux de l’établissement.
Pour un partage opérationnel, nous avons quelques pratiques simples qui permettent aux personnels d’un hôpital d’expérimenter les attaques décrites plus haut. Après ces expérimentations, les comportements changent….