Face aux hackers, hôpitaux et cliniques organisent la contre-offensive

Publié le 14/06/2024

Article réservé aux abonnés

En 2023, près de 500 hôpitaux et cliniques ont subi des cyberattaques, pour moitié d’origine malveillante. La riposte s’organise mais des moyens pérennes manquent.

Le nombre d’incidents liés à la menace des rançongiciels a augmenté de 10 % en 2023

L’hôpital a beau ne pas être une entreprise comme les autres, elle n’en reste pas moins une victime privilégiée des hackers, gourmands en données de santé. De part sa « digitalisation et ses plateformes interconnectées, il offre une vaste surface de vulnérabilité », a confirmé Élodie Chaudron, directrice de programme à l’Agence du numérique en santé (ANS) à l’occasion d’une table ronde consacrée au sujet lors du congrès SantExpo, qui s’est tenu fin mai à Paris.

En 2023, 467 structures de santé ont déclaré 581 cyber-incidents, dont 50 % étaient d’origine malveillante, indique le dernier rapport du Cert Santé, service d’appui à la gestion des cybermenaces 24 h/24 et 7 j/7, qui accompagne les établissements de santé et les centres de radiothérapie. « Le nombre d’incidents est stable mais les incidents majeurs, comme celui qu’a connu l’hôpital de Versailles [en décembre 2022, obligeant à des transferts et des déprogrammations en masse, NDLR] ont diminué de 2 % », rappelle Emmanuel Sohier, responsable du Cert Santé.

Dans un tiers des signalements, les établissements sont passés en mode dégradé ou ont interrompu la prise en charge des patients

Des attaques extrêmes

La menace des rançongiciels est toutefois la plus importante en 2023 en termes d’impact sur le système d’information. Le nombre d’incidents liés à cette menace fut en hausse de 10 % par rapport à 2022. Plus de la majorité des incidents sont déclarés par les structures publiques (56 %). Chiffre significatif de l’ampleur du phénomène : un tiers des signalements (35 %) indique qu’hôpitaux et cliniques ont été contraints de passer en mode dégradé ou d’interrompre la prise en charge des patients. Mais, et c’est un autre pourcentage intéressant, seuls 25 % de ces incidents ont une origine malveillante. Les causes principales sont plutôt à rechercher du côté de la perte de lien télécom, d’un bug ou d’un dysfonctionnement de l’infrastructure.

Reste que les pirates, lorsqu’ils ont décidé d’être malintentionnés, le sont franchement. L’année dernière, 17 attaques ont eu un impact important voire extrême sur le système d’information des établissements visés.

Pour contrer les hackers, le gouvernement a lancé fin 2023 le programme Care (Cybersécurité accélération et résilience des établissements), qui doit s’étendre sur cinq ans. Objectif : permettre aux structures de santé de se préparer et de s’organiser en amont afin de pouvoir affronter les cyberattaques lorsqu’elles se déclarent. Parallèlement, une aide financière aux établissements de 230 millions d’euros a été sanctuarisée pour la période 2023-2024. « La possibilité d’octroyer des financements donne un coup d’accélérateur dans une dynamique de résilience aux cyberattaques », se satisfait Élodie Chaudron, tout en espérant pérenniser dans un second temps le coup de pouce obtenu.

Quels moyens pour se défendre ?

Car la question des moyens accordés aux établissements pour se défendre contre les hackers est bien le nerf de la guerre. Secrétaire général en charge du numérique à la Fédération de l’hospitalisation privée (FHP), Bertrand Sommier confirme que les établissements, « dans le public, comme dans le privé », fonctionnent « beaucoup sur de l’autofinancement ». Et d’ajouter : « Sans financement pérenne, comment assure-t-on dans nos structures la soutenabilité de l’ensemble des enjeux auxquels nous sommes confrontés sur le numérique et la cybersécurité ? »

De fait, en matière de cybersécurité, une marge de progression importante existe. Le rapport Enisa des cybermenaces concernant le secteur de la santé juge que seules 27 % des structures au sens large (hôpitaux, laboratoires, mutuelles, labos, industries pharmaceutiques, etc.) disposent d'un programme de protection contre les rançongiciels. 40 % des établissements ne disposent d’aucun programme de sensibilisation à la sécurité pour leur personnel et 46 % n’ont jamais effectué d’analyse des risques informatiques. « Or tous les acteurs doivent être embarqués, insiste Bertrand Sommier. Aucune demi-mesure n’est possible, il est inenvisageable que subsistent des mal lotis parmi les hôpitaux et cliniques. »

Les choses bougent mais cela prend du temps. Le premier appel à financement du programme Care a été publié au Journal Officiel le 18 mars 2024. Dans cette quête d’une armure virtuelle, l’ANS privilégie une « logique de transformation et d’accompagnement » qui ambitionne de responsabiliser les acteurs. « Il n’est pas question de les couver », conclut Élodie Chaudron. Mais bien de les guider pour riposter. Car, en santé, ce sont les patients et les professionnels de santé qui sont percutés au premier chef par les cyberattaques. L’enjeu va alors bien au-delà d’une simple panne.

Albane Cousin