Publications

Etablissements de santé : entre sensibilité et insécurité des données personnelles

Publié le 7 juin 2021

400. C’est le nombre de cyberattaques que peuvent subir chaque jour les établissements de santé en France comme en témoigne Hélène Lherbette, responsable des services numériques du Centre hospitalier de Narbonne. Fort heureusement, la plupart de ces attaques ne franchissent pas les mesures de sécurité mises en œuvre. En revanche, il suffit que l’une d’entre elles passe entre les mailles du filet pour que des hôpitaux à l’image, cette année, de ceux des villes de Dax, Narbonne ou Villefranche-sur-Saône soient en grande difficulté.

Au cours de la dernière décennie, la cybermenace pesant sur le secteur de la santé s’est considérablement accrue, tout comme la sophistication des cyberattaques. Les professionnels et le gouvernement reconnaissent tous deux cette nouvelle ère. Pour chaque amélioration apportée par l’automatisation, l’interopérabilité et l’analyse des données, la vulnérabilité aux cyberattaques malveillantes augmente également.

Les cyberattaques sont particulièrement préoccupantes pour le secteur de la santé, car elles peuvent menacer directement non seulement la sécurité des systèmes et des informations, mais aussi la santé et la sécurité des patients.

D’après Cédric O, Secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques, « il y a eu 27 attaques majeures d’hôpitaux en 2020, il y en a une par semaine depuis 2021 ».

L’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, explique dans un communiqué de presse du 17 décembre 2020 que « le nombre de cyberattaques a explosé : le nombre de victimes de cyberattaques a été multiplié par quatre » entre 2018 2019. Plus particulièrement, « pendant la pandémie de la Covid-19, le nombre d’attaques opérées à travers le monde contre des hôpitaux a grimpé en flèche » explique Saif Abed, ancien médecin devenu consultant en cybersécurité.

 

1. Pourquoi le secteur hospitalier est-il particulièrement visé ?

De manière générale, les attaques réussissent en raison :

  1. De vulnérabilités techniques (systèmes et applications qui ne sont pas à jour, cloisonnement insuffisant des systèmes et réseaux, absence de séparation des usages) ;
  2. D’un manque de détection et de réaction (absence de surveillance des systèmes d’information, absence de préparation à la remédiation d’incidents et à la gestion de crise) ;
  3. D’une mauvaise gouvernance (politique de gestion des mots de passe insuffisante, laxisme dans la gestion des droits d’accès, absence d’anticipation des menaces, télétravail non contrôlé) ;
  4. D’une faible sensibilisation (sensibilisation et maturité insuffisante des utilisateurs, engagement financier insuffisant, manque de sensibilisation des comex).

Cependant, si plusieurs raisons peuvent expliquer la multiplication des attaques par rançongiciels qui ciblent les Centres hospitaliers, CHU, cliniques et autres établissements de santé, le manque de moyens et la pandémie de la Covid 19 en sont les principales.

1) Un manque de moyens

Les établissements de santé manquent souvent de moyens pour déployer des défenses de cybersécurité coûteuses. Le ministère des Solidarités et de la santé souligne dans son Atlas des systèmes d’informations hospitaliers que moins de 2% du budget total des établissements de santé est consacré à la cyber défense.

Vincent Trély, président de l’Association pour la sécurité des systèmes d’information de santé, soutient d’ailleurs que « les hôpitaux sont des cibles privilégiées pour les cybercriminels parce qu’il devient plus compliqué d’attaquer des banques ou des industries de pointe, qui ont mis des millions dans la sécurité ».

2) La pandémie de la Covid-19

Les établissements de santé sont des « proies faciles » pour Frédéric Valletoux, le président de la Fédération hospitalière de France, plus particulièrement pendant la pandémie de la Covid-19, la priorité n’étant pas à la protection des fichiers et informations détenus.

L’idée est d’accroître la pression sur les établissements de santé qui, de peur d’être paralysés alors que les vagues de malades affluent, cèderait plus facilement au chantage et à la rançon.

2. Quels sont les risques encourus ?

1) Le chiffrement des données et des informations relatives aux patients

Le rançongiciel est une traduction du mot anglais « ransomware », contraction de « rançon » et « logiciel ». Schématiquement, un ransomware correspond à deux choses : un vecteur qui permet d’entrer dans un système d’information (une pièce jointe dans un email) et une charge malveillante (le virus qui est caché dans la pièce jointe).

Que cela soit par une attaque d’opportunité – une pièce jointe frauduleuse envoyée dans un mail à un très grand nombre de destinataires – ou par une attaque ciblée, le but est d’infecter l’ensemble du système d’information de l’hôpital afin de paralyser in fine tous les ordinateurs.

L’étape suivante est le chiffrement de l’ensemble des données se trouvant sur le réseau : dossiers patients, mails, accès aux outils connectés, etc.

Les services hospitaliers tendent à être de plus en plus numérisés. Si le système d’information est paralysé en raison d’une attaque, c’est toute l’activité hospitalière qui est impactée.

Dès lors, pour un établissement de santé, le risque principal est la vie des patients. Les opérations prévues ne peuvent plus avoir lieu, les médecins recevant des patients en consultations n’ont plus accès aux dossiers patients dématérialisés.

Toutefois, il est à noter que le rançongiciel n’est pas la seule menace. La totalité du spectre de la menace cyber est plus importante. Dans l’ordre croissant des risques, existent également :

  1. Les défigurations de sites internet qui ne sont pas très sophistiquées et généralement peu importantes ;
  2. Les dénis de services (DDOS) qui correspondent à des avalanches de flux pouvant paralyser des systèmes d’information ;
  3. Les attaques astucieuses (ingénierie sociale) ;
  4. Les exfiltrations et divulgations de données ;
  5. Les destructions et neutralisations de données ;
  6. Les attaques avancées (APT) via lesquelles le hacker se maintient pendant des mois voire des années dans un système d’information avec une grande discrétion.

2) La paralysie totale des outils médicaux connectés

Selon Charles Blanc Rolin, responsable de la sécurité des systèmes d’information (RSSI) du Centre hospitalier de Moulins-Yzeure interrogé par les journalistes de France Télévisions, les hackers sont capables de prendre le contrôle à distance des objets connectés se trouvant dans la chambre des patients. C’est le cas des moniteurs qui affichent les données vitales d’un patient admis dans un établissement de santé mais également des pacemakers par exemple. Il est possible de modifier l’affichage du rythme cardiaque et faire penser au médecin que le patient va bien alors que ce n’est pas du tout le cas.

De même, les stations d’anesthésie sont hyper connectées et donc hyper vulnérables. C’est également le cas des machines de radiologie et des IRM qui sont des machines entièrement connectées et donc potentiellement inaccessibles en cas d’attaque par ransomware.

3) La divulgation en ligne des données volées

Il s’agit d’un argument fréquemment utilisé par les attaquants. Afin que l’établissement de santé cède et paie la rançon, les hackers menacent de mettre en ligne les données auxquelles ils ont pu accéder grâce au virus informatique déposé sur l’un des ordinateurs de l’établissement.

Les pirates peuvent, par exemple, s’introduire dans le système d’un établissement de santé par l’envoi d’un mail frauduleux qu’un agent ouvre par négligence. Les hackers peuvent alors consulter les derniers examens réalisés. « On a accès au nom des patients, à leur date de naissance, au type d’examen, et à la date de l’examen », explique Charles Blanc Rolin.

Le risque pour les patients n’est plus tant la mise en jeu de leur santé, mais plutôt les conséquences collatérales que de pareilles révélations pourraient avoir. A titre d’illustration, si des données de santé venaient à être divulguées, les patients atteints de certaines maladies pourraient subir des discriminations (au travail, dans leur famille) ou encore voir leurs chances d’accéder aux crédits immobiliers s’amenuiser.

3. Quelles solutions pour prévenir la survenance de ces risques ?

Avant toute chose, il convient de sauvegarder l’ensemble de ses fichiers pour éviter d’être pris en otage par les attaquants. A ce titre, la règle « 3-2-1 » peut être pertinente pour assurer une sauvegarde efficace de vos données :

3 : vous devez conserver au minimum trois copies de vos données et informations.
2 : les fichiers doivent être sauvegardés sur deux types de supports différents comme les disques durs externes ou le cloud.
1 : une de vos trois sauvegardes doit se trouver à l’extérieur de votre établissement.

Outre la sauvegarde, instaurer une charte informatique et une politique des systèmes d’informations à la disposition de l’ensemble des employés. Le but est d’informer ces derniers sur ces sujets. La CNIL recommande de sensibiliser le personnel aux risques de sécurité. Des formations peuvent dès lors s’avérer pertinentes pour informer le personnel sur les risques et mesures à suivre.

myDPO, un outil créé par DPO Consulting, permet notamment de sensibiliser les équipes des établissements de santé grâce à des supports e-learning spécifiques au secteur de la santé élaborés par des consultants en protection des données personnelles. Des formations personnalisées et adaptées peuvent également être proposées au personnel.

Le télétravail accentue les risques de cyberattaques. D’après Jérôme Notin, Directeur général de cybermalveillance.gouv.fr, le confinement a conduit les collectivités à ouvrir des accès sans les mesures de sécurités adéquates. Dès lors, des bonnes pratiques doivent être diffusées au sein de l’établissement comme la fermeture des sessions en cas d’inactivité.

Deux médecins libéraux ont été condamnés le 7 décembre 2020 pour défaut de chiffrement des ordinateurs portables personnels. Or, la CNIL précise qu’« en l’absence de chiffrement, les données médicales contenues dans le disque dur sont lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé ».

Les accès doivent en outre être restreints au strict nécessaire (tous les employés ne doivent pas avoir accès à tous les dossiers mais uniquement aux dossiers de leurs patients) et les mots de passe doivent être régulièrement modifiés.

Le 26 octobre 2020, l’autorité de contrôle italienne a sanctionné à hauteur de 20 000 euros une clinique n’ayant pas instauré de restriction d’accès aux dossiers patients de telle sorte que ces derniers étaient librement accessibles.

De même, l’autorité de contrôle norvégienne a sanctionné d’une amende de 6 440 euros le 22 octobre 2020 un hôpital pour avoir ne pas avoir mis en place un système de sécurité pour l’accès aux dossiers des patients. Ainsi, 118 employés y avaient accès sans en avoir besoin. Qui plus est, ces données étaient stockées au-delà de la limite légale.

Une sanction pécuniaire de 400 000 euros a été prononcée le 17 juillet 2018 à l’encontre d’un hôpital portugais pour défaut de gestion des accès au système d’information : les médecins avaient accès à l’ensemble des dossiers patients quelle que soit leur spécialité.

La mise en place de restriction des créations des mots de passe est également recommandée par la CNIL. De préférence, les mots de passe doivent contenir :

  • Au minimum 8 caractères ;
  • 1 chiffre ;
  • 1 majuscule ;
  • 1 minuscule ; et
  • 1 caractère spécial ou signe de ponctuation.

A titre d’illustration, le 8 décembre 2020 la CNIL a sanctionné une société à hauteur de 20 000 euros car celle-ci « n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile ».

En guise d’alternative aux mots de passes longs et complexe, l’utilisation de gestionnaire de mot de passe peut être intéressante. Un gestionnaire de mots de passe permet de constituer une base de données de mots de passe chiffrée par un unique mot de passe « maître » dont la sécurité a pu être vérifiée. Cela vous permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres. Les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient à votre place.

Il existe des solutions reconnues pour leur sécurité telles que Keepass évalué et recommandé par l’ANSSI, Zenyway ou encore Passwordsafe.

Des audits de sécurité du site internet mais également des tests d’intrusion (ou « pain test ») peuvent être réalisés afin détecter les failles de sécurité et les vulnérabilités de l’établissement.

La CNIL a condamné à hauteur de 150 000 et 75 000 euros le 27 janvier 2021 un responsable de traitement et un sous-traitant ayant subi des attaques par « credential stuffing » (ou bourrage d’identifiant). L’autorité a estimé que les sociétés avaient « tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées ».

Enfin, l’autorité de contrôle Suédoise a condamné le 3 décembre 2020 sept hôpitaux pour un montant total de plus de quatre millions d’euros. L’autorité avait alors constaté des mesures de sécurité insuffisantes compte tenu de la sensibilité des données traitées.

4. Comment réagir en cas d’attaque ?

Il est possible de décliner en six étapes la gestion d’une cyberattaque :

  1. Préparer la cyberattaqueavec l’adoption de procédures rédigées par le RSSI en lien avec le Délégué à la protection des données et d’une organisation de travail adéquates pour gérer un incident de sécurité ;
  2. Identifier la survenue de l’incident et analyser la situation ;
  3. Cloisonner l’attaque pour la mettre sous contrôle et éviter que le problème ne se propage ;
  4. Eradiquer les causes de l’incident ;
  5. Restaurer le système pour permettre un retour à la normale ;
  6. Analyser la façon dont a été géré l’incident pour améliorer la procédure.

Vous pouvez également vous rapprocher de l’ANSSI qui pourra vous accompagner dans la remise en état de votre système d’information.

Par ailleurs, le Règlement Général sur la Protection des Données impose l’envoi d’une notification à la CNIL dans un délai de 72 heures maximum en cas de violation de données présentant un risque pour les personnes concernées (patients notamment).

S’il s’avère que le risque est grave pour celles-ci, vous devrez les avertir de l’attaque et du risque pour leurs données personnelles au plus vite, et ce, individuellement ou publiquement.

Toutefois, l’ensemble des agences de sécurité recommandent de ne pas payer la rançon : vous ne serez pas certains de récupérer l’intégralité des fichiers malgré le paiement. En outre, en payant la rançon, c’est tout l’écosystème cyber malveillant qui serait financé. La politique de la France est donc ne pas céder aux demandes de rançons.

 

– Gabriel Privat