GOUVERNANCE, SENSIBILISATION, STANDARDISATION ET INTEROPÉRABILITÉ ;

LES PILIERS DU SYSTÈME DE SANTÉ CYBER RÉSILIENT DE DEMAIN

Un regard croisé :

  • Jean-Noël de Galzain, fondateur & CEO of WALLIX
  • Philippe Loudenot, (ex Ministère de la Santé) membre du CESIN

 

« La cybersécurité n’est pas une affaire de DSI c’est une affaire de gouvernance. » – citation de Philippe Loudenot en février 2020 pour TIC Santé
Philippe Loudenot : Quel est le niveau de maturité des dirigeants des hôpitaux par rapport à cette approche de la cybersécurité ?

Nous n’y sommes pas encore, il reste encore du travail. Sur les 3000 établissements de santé de France, le niveau de maturité varie d’un établissement à l’autre. Cependant, la prise de conscience est là, résultante directe des cyberattaques majeures qui ont secoué le secteur de la Santé ces derniers temps. On pense notamment au CHU de Rouen, victime d’un rançongiciel en novembre de l’année dernière qui a provoqué un arrêt général des équipements touchant à l’informatique, mais aussi aux ascenseurs, à l’imagerie médicale, aux systèmes d’analyses… Preuve que la cybersécurité ne concerne pas uniquement la DSI mais bien tous les métiers de l’hôpital. Tout est désormais interconnecté et des pans entiers de l’hôpital sont « numérico-dépendants ». L’hôpital de demain se veut numérique. On ne peut plus penser la cybersécurité en silo. Le plus gros risque qui pèse sur l’hôpital c’est le suraccident. Vous imaginez si l’incendie de l’usine de Lubrizol avait eu lieu en même temps que la cyberattaque du CHU de Rouen ? Ou si une cyberattaque de cette même ampleur touchait un de nos hôpitaux en ce moment, en pleine crise sanitaire ? La cybersécurité doit être appréhendée de manière globale.

Jean-Noël de Galzain : Que pensez-vous de cette approche ?

Avoir une approche de la cybersécurité autre que la gouvernance amène inévitablement à laisser des failles de cybersécurité béantes dans le système d’information de l’hôpital. Les équipes IT sont déjà ultra sollicitées pour maintenir l’informatique opérationnel et sécurisé et il n’y a malheureusement pas assez de ressources pour avoir une approche dans le détail. Il faut penser gouvernance pour la sécurisation de l’infrastructure informatique globale, pour la gestion des identités numériques des utilisateurs qui se connectent au système d’information de l’hôpital et la protection des données. C’est la clé pour un système d’information résilient aux cyberattaques.

Lorsque l’on résonne en termes d’impact, il est évident que les dirigeants ont le devoir d’assurer le maintien du système d’information en état de marche. Les enjeux peuvent être létaux comme cela a été le cas à Düsseldorf, il y a quelques semaines. Le système d’admission de la clinique est tombé en panne à cause d’une cyberattaque empêchant la prise en charge d’un patient atteint de la Covid-19 qui est décédé pendant son transfert dans une autre clinique de la ville. Ne pas intégrer la cybersécurité dans la gouvernance de l’hôpital c’est mettre potentiellement des vies en danger et les dirigeants doivent prendre conscience qu’il en est de leur responsabilité.

L’ENISA, l’agence européenne pour la cybersécurité, a sorti un guide de cybersécurité à destination des hôpitaux européens sorti en février 2020. Ce guide fournit des recommandations et des bonnes pratiques afin d’inclure les problématiques de cybersécurité dans les processus d’acquisition d’équipements des hôpitaux.

Jean-Noël de Galzain : Qu’est-ce que vous pensez de cette initiative ? Quand on connait votre combat pour la création d’un espace numérique européen de confiance, est-ce qu’elle n’arrive pas trop tard ? Demain, peut-on ou même doit-on envisager une gestion/standardisation de la cybersécurité de la santé au niveau européen ?

Il n’est jamais trop tard pour de telles initiatives. Il faut savoir que l’ENISA est une organisation assez récente (2004) et se positionne sur beaucoup de sujets. Elle traite des grands enjeux technologiques comme cybersécurité, la 5G, l’Internet des Objets, ou encore l’hébergement de données. Elle a d’ailleurs déjà mis en place l’an dernier le Cybersecurity Act et n’est donc pas en reste en matière d’actions concrètes. Que cette initiative soit utile ou non pour les praticiens de santé, là n’est pas la question, il faut de toute façon que l’on envisage à moyen terme des standards du numérique au niveau européen, qui ne soient pas ceux du Cloud Act. Cette « pompe à données » mise en place depuis des années par les GAFAM, qui siphonne systématiquement les données des patients pour en faire ensuite un commerce. Nous, acteurs de la cybersécurité, il est de notre devoir de faire en sorte que nos établissements de santé disposent d’un espace numérique de confiance pour y mettre ces données, les plus personnelles et les plus précieuses qui existent, pour ensuite utiliser des algorithmes qui seront les nôtres, afin de faire avancer la recherche et de concevoir des vaccins le plus rapidement possible. Travailler avec l’ENISA c’est aller vers cette standardisation du numérique dont nous avons besoin aujourd’hui.

Comment est ce qu’on arrive à la standardisation du numérique ? Cela passe par l’interopérabilité. Nous devons nous fédérer pour faire en sorte que nos solutions travaillent ensemble pour s’adapter aux besoins des responsables métier de la santé mais aussi de tout secteur confondu. C’est de ce constat que sont nés le Comité Stratégique de Filière ou le projet GAIA-X, le méta-cloud européen, qui ont pour vocation de créer un véritable écosystème du numérique européen de confiance, capable aussi de s’adapter aux géants américains, pour permettre une massification du numérique fiable et sure.

Philippe Loudenot : Qu’est-ce que vous pensez de cette initiative ? Est-ce que vous pensez que ce guide va être suivi par les hôpitaux français ? Sont-ils à l’écoute d’organismes européens comme l’ENISA ? Demain, peut-on ou même doit-on envisager une gestion/standardisation de la cybersécurité de la santé au niveau européen ?

C’est une excellente initiative. Même si ce guide n’est pas encore très répandu parmi les hôpitaux français, il a le mérite d’exister et nous en faisons la promotion. Il rejoint la feuille de route du numérique en santé de L’Agence du Numérique en Santé (ANS) et la Délégation du Numérique en Santé (DNS) avec comme objectif principal, la mise en place d’une gouvernance entre les 3000 établissements de santé dans le but de standardiser les usages du numérique et les process de cybersécurité, ce qui peut être très challengeant dans un Ministère non régalien.

Le souhait aujourd’hui c’est même d’aller plus loin que l’ENISA dans la standardisation dont le périmètre du guide s’arrête à l’infrastructure informatique. Ce dont le secteur de la santé a besoin c’est une standardisation des processus. Comme pour les voitures qui doivent passer le contrôle technique, les équipements numériques des hôpitaux devraient passer toutes les N années des contrôles de sécurité. On se retrouve donc avec des dispositifs qui parfois ont plus de 20 ans, faute de moyens. Sauf que, un système d’information obsolète est très vulnérable et en cas de cyberattaque les conséquences financières seront bien plus importantes que de le mettre à niveau avec le minimum de sécurité requis. La cybersécurité doit être perçue comme un vecteur de performance et non un centre de coûts.

Dans la même veine, la Food and Drug Administration (FDA) aux États-Unis fait dans le biomédical des signalements sur les dispositifs qui pourraient être vulnérables aux cyberattaques. En France, dans une moindre mesure, nous avons Cyberveille Santé qui a pour but d’accompagner les constructeurs de dispositifs médicaux, mais aussi de gestion d’énergie, d’ascenseur et de tout équipement connecté de l’hôpital, pour qui la cybersécurité n’est pas leur cœur de métier, en proposant des prérequis. C’est ce qu’on appelle la cybersécurité « by design », c’est-à-dire dès la conception.

Quand on voit que beaucoup de cyberattaques à destination des hôpitaux viennent du phishing. On pense notamment au CHU de Montpellier en mars 2019, plus de 600 ordinateurs ont été infectés. En cause : une petite négligence d’un employé du CHU qui avait cliqué sur un lien malveillant dans un e-mail d’hameçonnage.

Philippe Loudenot : Que font les hôpitaux pour la sensibilisation de leurs employés à la cybersécurité ?

C’est en effet un sujet important mais il est nécessaire d’adapter les messages de sensibilisation à la cible. En effet, chaque acteur de l’écosystème de santé (employés, professionnels de santé, directions hospitalières…) a une vision différente de la structure pour laquelle ils travaillent. Il faut donc bien prendre en compte les difficultés métier de chacun.

Dans un monde idéal, nous serions sensibilisés à la cybersécurité dès l’école primaire. Il y aurait des formations cybersécurité dans les programmes des écoles de médecine et surtout dans les cursus à destination des futurs dirigeants d’hôpitaux ou l’on apprendrait que le risque cyber est aussi important que le risque financier ou humain, d’autant plus que le risque cyber est catalyseur d’un autre risque : le suraccident dont on parlait précédemment.

Concrètement à date on peut compter sur les actions Cybermalveillance.gouv pour porter la cybersécurité au plus grand nombre. Dans le monde hospitalier, peu de temps avant la crise sanitaire, nous avions lancé la campagne de sensibilisation « Tous cyber vigilants » freinée avec l’arrivée de la Covid-19. A mon sens, le plus efficace et le plus concret à date ce sont les exercices de gestion de cybercrise qui permettent de simuler des pannes complètes d’équipements numériques et de tester les plans blancs des établissements de santé.

Jean-Noël de Galzain : Peut-on palier à l’erreur humaine avec des technologies ?

Oui c’est possible mais il faut tout de même garder en tête que le risque 0 n’existe pas et qu’un outil numérique ne remplacera jamais l’Humain, particulièrement dans le monde de la santé, où chaque patient est particulier. C’est l’expérience du professionnel de santé qui a un moment donné va permettre de prendre une décision.

Pour protéger le système d’information d’un hôpital, il est essentiel d’avoir des solutions de gestion des mots de passe, de protection des accès aux données et de gouvernance des identités mais pour maximiser le niveau de sécurité, il faut que l’utilisateur de ces solutions soit sensibilisé et formé.

Comme le dit Philippe il est en effet important d’avoir une éducation populaire à la cybersécurité dès le plus jeune âge pour pallier aux erreurs humaines qui nous font défaut aujourd’hui. Dans le Comité Stratégique de Filière nous l’avons bien compris et nous avons d’ores et déjà fait des propositions en ce sens au Ministère de l’Éducation pour avoir des formations cybersécurité de l’école, en passant par le collège, jusqu’aux études post bac. Ces propositions sont en bonne voie et nous espérons en voir la concrétisation rapidement.

Comment les hôpitaux se sont-ils préparés à l’arrivée du confinement avec notamment la mise en place de nouveaux usages comme le télétravail, la téléconsultation, etc. ; autant de nouvelles portes d’entrée pour les hackers ?

Philippe Loudenot : Sur 3000 établissements de santé, certains étaient mieux préparés que d’autres mais on peut dire que personne n’était réellement prêt. Par contre, nous avons assisté à un élan de « cybersolidarité ». Des éditeurs de cybersécurité nous ont spontanément proposé leurs solutions pour nous aider à sécuriser rapidement le télétravail ou de renforcer la détection de cyberattaques par exemple. Je tiens particulièrement à les remercier, c’est un phénomène auquel je ne m’attendais pas.

Je voudrais également souligner que la vague de cyberattaques n’a pas été aussi dramatique qu’on peut le lire dans la presse. Dorénavant, les établissements de santé sont obligés de déclarer leurs incidents de sécurité et la presse s’en empare car c’est un sujet qui fait peur. Certes, à Düsseldorf c’est terrible ce qu’il s’est passé mais l’attaque d’ampleur WannaCry aurait fait entre 600 et 900 morts d’après les chercheurs en cybersécurité. Sauf qu’à l’époque, c’est passé inaperçu. Le bilan à date sur nos hôpitaux français est donc plutôt positif et ceux qui ont été touchés, comme l’AP-HP par exemple, ne signifie pas qu’ils sont mauvais, bien au contraire. Le rançongiciel dont a été victime l’AP-HP a été très bien maîtrisé. Cependant, ils ont eu l’obligation légale de le déclarer et l’effet « gros titres » a permis de renforcer la prise de conscience de certains directeurs hospitaliers.

Comment vos clients santé se sont préparés à l’arrivée du confinement ?

Jean-Noël de Galzain : Nous faisons le même constat que Philippe, globalement les hôpitaux ont bien résisté, même si personne n’était vraiment préparé au confinement. Nous avons tous été à égalité face à cette première vague et nous sommes mieux équipés pour la seconde. Tous les hôpitaux qui n’avaient pas assez avancé leur transformation numérique ont dû mettre les bouchées triples pour gérer l’arrivée du confinement. Nous, les éditeurs, nous avons en effet mis à disposition nos solutions, offert des extensions de licence, et étoffé le support jour et nuit pour venir en aide aux hôpitaux en cas de besoin, mais les centrales d’achat hospitalières ont également fait un lourd travail pour proposer très rapidement des catalogues de solutions de cybersécurité pour répondre à l’urgence de la situation. Aujourd’hui, même si nous n’avons pas atteint le niveau de standardisation que nous souhaitons, les hôpitaux peuvent tout de même s’appuyer sur l’ANSSI ou le Label France Cybersécurité pour mettre en place de solutions certifiées et donc sures, rapidement, les yeux fermés.

Je suis également d’accord sur le fait que la moindre cyberattaque à destination d’un hôpital est montée en épingle par la presse. Il faut cependant que ça serve comme lanceur d’alerte sur les risques cyber.

Et demain la cybersécurité post COVID dans les hôpitaux ça sera…

La crise sanitaire a joué un rôle d’accélérateur dans la transformation numérique des hôpitaux. Qu’en est-il de la cybersécurité ? Qu’est-ce que ça va changer concrètement (nouvelle approche, nouveaux outils…) ?

Philippe Loudenot : Il y a encore une marge de progression relativement grande. Les plans de relance vont nous aider à continuer et maintenir la transformation numérique des hôpitaux et les efforts de cybersécurité. D’ailleurs ce ne sont pas uniquement les hôpitaux qui sont touchés par la transformation numérique mais bien tout le système de santé qui représente un véritable continuum, entre le médicaux social, les libéraux, etc. Le plus gros défi sera de faire comprendre aux RSSI qu’il ne suffit pas de se mettre en conformité avec les exigences réglementaires pour faire de la cybersécurité. Une action « one shot » n’est pas suffisante, il faut pérenniser les actions. La mise en conformité doit s’adapter à l’évolution de l’état de l’art. Encore une fois, on peut reprendre l’exemple du contrôle technique pour les voitures. La conformité doit être réévaluée chaque année.

Jean-Noël de Galzain : La 1ère étape après avoir vécu un événement de cette nature c’est de rendre plus proche les différentes composantes de l’écosystème numérique à savoir : les utilisateurs et les industriels de la cybersécurité. Ce rôle va être endossé par l’État au travers de ses plans de relance qui vont permettre d’aboutir sur un numérique plus sûr et plus utile à l’avenir. J’ai notamment pu travailler sur volet cybersécurité du Plan d’Accélération Cyber qui va être annoncé prochainement par le Président de la République. Le Comité Stratégique de Filière va également se mobiliser pour élever de manière globale la gestion des risques dans les établissements de santé.

Ensuite, sur le plus long terme, l’objectif va être la standardisation du numérique et de la cybersécurité.  Sauf que vu l’ampleur de la tâche et les moyens que nous avons, dans une industrie non mature et pourtant vitale, il va falloir être pragmatique. Les hôpitaux vont devoir s’appuyer sur les fournisseurs de solutions de cybersécurité qui vont devenir de véritables partenaires stratégiques pour faire rentrer tous les besoins dans le peu de moyens à disposition.

De nôtre côté, nous allons concentrer nos efforts sur l’interopérabilité pour faciliter l’intégration de nos solutions pour assurer la mise en conformité réglementaire mais aussi réaliser des audits de sécurité en continu. Nous allons faire en sorte que les établissements de santé reprennent la main sur le contrôle de leur système d’information grâce à une approche de la cybersécurité Zero Trust.