Nesrine Benyahia, docteur en droit, présidente et co-fondatrice de DrData SAS

Com­bi­en d’établissements de san­té ont-ils été vic­times de cyber­at­taques ?
Le secteur de san­té est la cible de 11 % des attaques infor­ma­tiques. Il se trou­ve dans le top 3 des secteurs vic­times de vio­la­tion des don­nées or les étab­lisse­ments de san­té sont des opéra­teurs de ser­vice essen­tiels.

En 2020, nous avons comp­té 27 attaques d’établissement de san­té et 369 acci­dents déclarés.  Les hackeurs priv­ilégient les moments où l’organisation est la plus vul­nérable, quand les équipes sont occupées à autre chose, que les ser­vices infor­ma­tiques sont davan­tage ouverts, quand vous gérez déjà une crise… à laque­lle s’ajoute celle-ci. Depuis le début de l’année 2021, une attaque a lieu par semaine. La majorité des vio­la­tions sont d’origine externe mais elles peu­vent être aus­si d’origine interne soit à l’initiative de per­son­nes malveil­lantes, soit être acci­den­telles. Elles sont par­fois mas­sives, par­fois ciblées sur une région. Plus que les don­nées ban­caires, les don­nées de san­té ont une forte valeur sur le dark web. Un dossier médi­cal est reven­du entre 300 et 3 000 dol­lars, des don­nées mas­sives sont alors achetées pour ali­menter des bases de don­nées non licites.

Au niveau mon­di­al, le coût des vio­la­tions de don­nées s’élève à presque 4 mil­lions de dol­lars dont 7 mil­lions pour le secteur de la san­té. La durée moyenne d’une vio­la­tion qui n’est pas maîtrisée dès le départ s’élève en moyenne à 280 jours, puis une année est ensuite néces­saire pour remet­tre tout à sa place, selon les études récentes pub­liées.

Faut-il dévelop­per une démarche d’hygiène infor­ma­tique ?

Les étab­lisse­ments de san­té ont une forte dépen­dance au numérique et ne savent plus tra­vailler en mode papi­er, ce sont donc des organ­i­sa­tions frag­iles. En Alle­magne, un patient est décédé des con­séquences d’une cyber­at­taque. Les dom­mages sont des pertes de don­nées, des pertes finan­cières mais aus­si des dom­mages cor­porels inclu­ant des décès. Les inci­dents con­cer­nent un accès illégitime aux don­nées, une atteinte à leur intégrité, ou leur dis­pari­tion qui est un préju­dice aus­si pour les patients qui peu­vent faire des actions sur ce point depuis 2018 sur la base d’une action de groupe.

L’hygiène infor­ma­tique est essen­tielle. Sur le ter­rain, nous con­sta­tons des man­que­ments aux règles de sécu­rité sou­vent induits par l’urgence liée au quo­ti­di­en des pro­fes­sion­nels de san­té ou à un manque de vig­i­lance. L’origine de l’incident peut égale­ment provenir d’une mau­vaise manip­u­la­tion, d’une nég­li­gence ou d’une faute d’un prestataire. D’où l’intérêt de maîtris­er les sous-trai­tants, les édi­teurs de logi­ciels et de con­trac­tu­alis­er avec eux con­for­mé­ment au RGPD, ain­si que de super­vis­er les traite­ments de don­nées per­son­nelles.

Quels sont les grands principes pour se pré­mu­nir d’une cyber­at­taque ?

Le risque 0 n’existe pas et vous ne serez jamais prêts à 100 % le moment où cela arrive. Toute­fois, pour s’en pré­mu­nir et prévenir le risque, il faut compter sur l’engagement de la direc­tion sur ce sujet, dis­pos­er d’une gou­ver­nance claire et d’un bud­get.

La pre­mière ques­tion à se pos­er est : dis­posez-vous d’une car­togra­phie des flux ? D’où vien­nent les don­nées des patients et du per­son­nel, où par­tent-elles, avec qui, par quels moyens ? Ensuite, il faut met­tre en place des plans de sauve­g­arde extérieure tous les jours, de chiffr­er les don­nées pour vous per­me­t­tre de récupér­er vos don­nées assez rapi­de­ment et de faire des restau­ra­tions. Ce sont des plans appelés de ges­tion de désas­tre qui com­pren­nent les réac­tions à avoir et les actions préven­tives à met­tre en place. Qui fait quoi ? Il faut réfléchir et agir vite.

Quelles sont les mesures à adopter, puis com­ment pour­suiv­re en mode dégradé, ain­si con­serv­er un strict min­i­mum de papi­er sous clef s’avère utile dans cer­tains cas. Iden­ti­fi­er l’origine de l’attaque est essen­tiel pour éviter de réduire le risque de revivre la crise. L’incident déclaré, il est impor­tant de le qual­i­fi­er dans les 72 heures : en con­naître les orig­ines, l’impact, les inci­dences, etc. L’incident con­cerne-t-il la con­fi­den­tial­ité, l’intégrité des don­nées ou leur sup­pres­sion ? Avec le bon con­trat, le sous-trai­tant éventuelle­ment con­cerné par la vio­la­tion de don­nées per­son­nelles doit vous don­ner les élé­ments sous les 24/48h max­i­mum. Selon l’attaque, une noti­fi­ca­tion doit être faite à la CNIL, et aux patients si le risque est élevé, et une plainte au com­mis­sari­at évidem­ment déposée par l’établissement.

Il ne faut pas avoir peur de par­tir d’une feuille blanche, et avoir comme objec­tif de trou­ver des solu­tions peu com­pliquées mais qui s’appliquent. Vous con­nais­sez mieux que per­son­ne votre étab­lisse­ment, ain­si que vos équipes.

Il s’agira égale­ment de dis­pos­er d’un ser­vice infor­ma­tique régulière­ment for­mé, d’un délégué à la pro­tec­tion des don­nées disponible, et de dis­pos­er d’une cyberas­sur­ance en étant atten­tifs aux garanties, comme celle de dis­pos­er d’une aide tech­nique dans les 2 heures. Et surtout, ne pas céder au paiement de rançon.

Les lignes direc­tri­ces vous sont don­nées par l’ENISA, l’agence de l’Union européenne pour la cyber­sécu­rité, qui détaille les process à met­tre en place et le niveau de vig­i­lance à avoir (Pro­cure­ment Guide­lines for Cyber­se­cu­ri­ty in Hos­pi­tals, Feb­ru­ary 2020).

Des aides exis­tent, 350 mil­lions d’euros sont prévus en France pour financer le ren­force­ment de la cyber­sécu­rité des struc­tures de san­té dont 25 mil­lions pour réalis­er des audits. Les ressources se déploient au niveau nation­al, notam­ment par la dynamique des agences con­cernées, telles que l’ANSSI, l’ANS par exem­ple.