Cybersécurité : le point sur les solutions UniHA et C.A.I.H

En 2022, selon le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT), 588 cyberattaques ont visé des établissements de santé. Face à cette augmentation spectaculaire ces dernières années, le renforcement de la sécurité des systèmes d’information de santé est un enjeu majeur. On recense aujourd’hui qu’environ 50% des exercices de crise cyber réalisés dans les établissements de santé sont guidés par des solutions C.A.I.H. Guillaume Deraedt, Adjoint au Délégué Général en charge de la stratégie digitale et Régis Kaminski, Acheteur C.A.I.H, décryptent la notion de cybersécurité et font le point sur les offres UniHA et C.A.I.H pour prémunir les hôpitaux face à ces risques.

Quels sont les enjeux majeurs de cybersécurité pour les hôpitaux ?

Guillaume Deraedt :
Je pense qu’il faut rappeler avant tout, que pour les établissements de santé, l’enjeu primordial est d’assurer la continuité des soins car il y a un risque de black-out total de l’hôpital.
Ensuite, on identifie un enjeu concernant la confidentialité des données à caractère personnel des patients et du personnel.
Plus généralement, c’est la sécurité de prise en charge des patients qui est en jeu ainsi que l’exhaustivité des informations dont les professionnels de santé ont besoin.
Enfin, il existe également un risque financier non négligeable. Lorsque l’hôpital n’est plus en mesure de réaliser ses activités, il n’est plus financé.

Régis Kaminski :
Les directives européennes obligent les hôpitaux à mettre en place des dispositifs de sécurité et aujourd’hui tout cela a un coût. L’enjeu financier en dehors du risque patient, c’est aussi de maitriser les dépenses et de rationnaliser les coûts.

En quelques mots, en quoi consiste une cyber-attaque dans un hôpital ?

GD : Une cyber-attaque vient perturber une partie ou la totalité des systèmes d’information. Concrètement, cela peut se traduire, par exemple, par un écran noir en admission et l’impossibilité de vérifier qu’il s’agit de la bonne personne, de consulter son motif de consultation. Lorsque les dispositifs biomédicaux sont touchés, la conséquence peut être l’arrêt total des activités du laboratoire ou l’absence d’imagerie. Une autre illustration serait par exemple l’impossibilité de dispenser les traitements aux patients en raison d’une impossibilité d’accéder aux prescriptions.

Les cas les plus graves sont ceux où l’hôpital ne s’est pas doté de procédure de fonctionnement en mode dégradé.
C’est pourquoi il est essentiel de mettre en place des politiques de prévention pour assurer une continuité d’activité en cas de panne des systèmes d’information. Par exemple, la première conséquence d’une cyber-attaque peut se traduire par l’interruption des communications mail, téléphone, de l’accès à Internet mais aussi de l’accès aux annuaires internes. C’est pourquoi il est important d’anticiper l’organisation à mettre en place en fonction de la nature de la cyber-attaque pour permettre à l’hôpital de continuer à fonctionner.

Dans ces situations, il faut se concentrer sur l’essentiel : les urgences vitales, la continuité des soins des personnes hospitalisées. Il faut également avoir beaucoup de réactivité pour les traitements des patients atteints de maladies longues et récurrentes comme les hormonothérapies par exemple. Les consultations programmées ou les interventions qui peuvent être reprogrammées sans préjudice pour les patients ne seront pas prioritaires.

RK : En définitive, ce qu’il faut se représenter en cas de cyber-attaque à l’hôpital, c’est que l’on n’a plus accès à rien, on ne peut pas allumer son ordinateur. C’est pourquoi il faut agir en amont et définir comment on va anticiper l’attaque car elle finira par survenir tôt ou tard.
Pendant longtemps on a entendu dire que les hackeurs attaquaient au hasard, mais ce n’est pas forcément vrai. Les données de santé sont extrêmement précieuses et les hackeurs ont compris qu’il y a de l’argent à se faire, peu importe si cela peut entrainer le décès de certains patients.

De quels types d’attaques parle-t-on lorsqu’on évoque la cybersécurité ?

GD : L’attaque la plus courante c’est le chantage contre une rançon. C’est ce que l’on appelle une attaque par rançongiciel (ou « ransomware » en anglais). Ce sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. La conséquence principale de ce type d’attaque au sein d’un établissement hospitalier c’est l’exfiltration des données pour la revente sur le darkweb et donc la confiscation de toutes les données de l’hôpital par chiffrement, c’est-à-dire que l’hôpital perd son patrimoine informationnel. Néanmoins, en matière de cybersécurité, il existe de nombreuses techniques de sauvegarde sophistiquées permettant de restaurer les données qui auraient été chiffrées afin de limiter la perte.

Comment l’offre UniHA / C.A.I.H permet-elle aux hôpitaux de se prémunir contre ces risques ?

GD : Il existe quatre thématiques pour limiter les risques : la prévention, la défense, la sensibilisation et la réponse à incidents. L’offre UniHA / C.A.I.H embrasse ces quatre thématiques.

RK : On a pris le parti de ne pas découper l’offre en fonction des thématiques ci-dessus en l’adressant dans des marchés globaux.
Nous avons mis en place le marché SOC managé qui a été élaboré afin de répondre à la question suivante : « Comment les hôpitaux peuvent-ils faire face à toutes les nouvelles formes d’attaques sans ressource supplémentaire ? »

Avec ce marché, nous apportons une réponse globale sur une durée de quatre ans permettant de réaliser la cartographie du système d’information, mais également de mettre en place des mécaniques de prévention et tout ce qui est système de détection des attaques, sans ressource supplémentaire.

Concernant la thématique de la réponse à incidents, le marché SOC prévoit l’intervention de forces rapides : ce sont des ingénieurs qui vont venir pour récupérer des éléments de preuve afin de permettre à l’établissement de porter plainte. Ils vont également conseiller les hôpitaux sur la marche à suivre pour rétablir son système d’information. En effet, les experts en cybersécurité sont rares et la valeur ajoutée du marché SOC c’est vraiment d’externaliser cette expertise afin d’éviter aux établissements de se doter eux-mêmes d’experts en cybersécurité.

Le marché AMOA SSI accompagne les adhérents dans la mise en place de la structure de gouvernance mais également dans la mise en place des dispositifs d’accompagnement et des tests techniques pour tester la viabilité du système d’information.

GD : Aujourd’hui, ces deux marchés sont attribués à des partenaires qui ont reçu des certifications de haut niveau avec des agréments de l’Agence Nationale de Sécurité des Système d’Informations (ANSSI). Nous sommes la première centrale d’achat à mettre à disposition les marchés sur l’ensemble des thématiques citées ci-dessus.

Sur cette base, nous sommes aujourd’hui en étroite collaboration avec l’Agence du Numérique en Santé (ANS) et la Délégation du Numérique en Santé (DNS) pour que l’on arrive, sur les marchés SOC managé et AMOA SSI, à la mise en œuvre d’unités d’œuvres forfaitaires sur les 47 prestations référencées par l’ANS. En effet, l’ANS et la DNS vont subventionner 47 missions types, à travers le programme CARE (Cyber Accélération de la Résilience des Etablissements). Nous déploierons notre offre sur deux missions prioritaires que sont la sécurisation des annuaires et l’exposition du système d’information au risque cyber. Nous intégrerons ces missions prioritaires sous forme d’avenant au marché actuel. Plusieurs millions d’euros seront déployés sur ces deux missions.

RK : Je tiens à ajouter qu’il y a une vraie plus-value à nos marchés. Les plans de subventions ne sont pas attribués sans conditions et on peut dire, même si cela n’est pas écrit tel quel dans les textes, que les solutions françaises ou européennes sont privilégiées dans ce processus d’attribution. Dans le marché SOC, nous avons travaillé avec les prestataires pour proposer des solutions souveraines. Nos adhérents sont attentifs au coût financier de ces solutions et le fait de bénéficier de ces subventions sera un plus indéniable.

Décryptage : UniHA vous accompagne également sur l’assurance contre les risques cyber

En 2022, UniHA a notifié un marché d’accompagnement et d’assurance portant sur la cybersécurité des hôpitaux. Il s’agit du premier marché public de ce type. Cette offre s’adresse principalement aux établissements de santé adhérents UniHA. Le marché a été confié à Relyens, premier assureur hospitalier, en groupement avec Advens, spécialiste du management de la sécurité de l’information.

L’offre proposée par UniHA comprend un contrat d’assurance couvrant les risques cyber, ainsi qu’un diagnostic complet des systèmes d’informations et l’assistance à gestion de crise.

Les solutions de ce marché offrent aux établissements hospitaliers une protection optimale ayant pour principal objectif la sécurité des patients.

Dans un premier temps, cette offre permet aux hôpitaux d’éviter d’être la cible de risque cyber, grâce à la mise en place de mécanismes de prévention. Dans un second temps, ce marché protège les hôpitaux en cas d’attaques avec la mise en place d’une assurance spécifique couvrant les dommages causés sur les actifs de l’établissement mais également les pertes d’exploitation et les dommages causés sur des tiers.

En quoi les équipements biomédicaux sont-ils concernés par ces enjeux de cybersécurité ?

GD : Aujourd’hui, tous les dispositifs utilisés à l’hôpital embarquent de l’informatique et sont interconnectés entre eux. Pour les dispositifs biomédicaux, si le système d’information de l’hôpital est contaminé, il y a de fortes chances qu’ils soient contaminés également. Il est donc nécessaire de mettre en place des solutions technologiques permettant de contrôler les communications entre ces dispositifs biomédicaux et le reste des systèmes d’information.

Pour le biomédical, il existe une contrainte : le marquage CE. Avec cette norme, on ne peut pas installer des logiciels de sécurité sur le dispositif biomédical s’il n’est pas validé en amont par le constructeur. Il n’y a donc pas de mise à jour automatique des dispositifs biomédicaux en raison de la norme CE. La conséquence directe c’est que l’on peut se retrouver avec des dispositifs qui ont plusieurs années et qui peuvent être parfois obsolètes.

Ce que nous proposons pour les dispositifs biomédicaux, à travers notre offre UniHA / C.A.I.H, ce sont des sondes qui vont détecter les technologies embarquées par les dispositifs biomédicaux. Ces sondes vont inventorier toutes les failles de sécurité connues qui peuvent, soit, être corrigées en accord avec le constructeur, soit, qui peuvent être contournées avec des solutions que l’on propose au niveau informatique pour isoler le problème.

Cette solution permet de vérifier toutes les failles qui sont présentes dans les dispositifs biomédicaux et les identifier afin que le fabricant puisse les corriger car les équipes informatiques de l’hôpital ne sont pas autorisées à intervenir en raison du marquage CE.

RK : Aujourd’hui, les solutions que l’on propose sont récentes. Cela se met progressivement en œuvre. La difficulté c’est que les ingénieurs biomédicaux ne sont pas des experts des NTIC. Quand on leur dit qu’il y a des correctifs de sécurité, ce n’est pas facile pour eux de les intégrer. Nos solutions vont donc permettre à des services qui ne travaillent pas habituellement ensemble, de collaborer sur ces dispositifs grâce à leurs compétences complémentaires.

Voir aussi...