Stratégie

Cybersécurité des établissements de santé : il faut poursuivre le traitement

De gauche à droite, Auriane Lemesle, référente régionale cyber du groupement e-santé des Pays de la Loire, Jean-Sylvain Chavanne, RSSI du CHU de Brest, et Christophe Mattler, directeur de projets à la délégation au numérique en santé. (Photo : R.F.)

Durement touchés par une vague d'attaques au début des années 2020, les établissements de santé ont renforcé leur cybersécurité, aidés par des programmes d'État. Mais le chantier est loin d'être terminé, avec des travaux d'ampleur qui restent à mener sur la sécurité des dispositifs biomédicaux et l'authentification.

PublicitéAprès des attaques spectaculaires, comme celles ayant touché l'hôpital de Corbeil-Essonnes en août 2022 ou le CH d'Arles en 2021, l'État a débloqué des moyens pour remonter le niveau général de cybersécurité des établissements, notamment au travers d'un programme baptisé CaRe, annoncé fin 2023 et visant à « accélérer la mise à niveau des systèmes d'information hospitaliers face à l'état de la menace et à renforcer durablement la résilience des structures de soins ». Avec notamment 230 M€ de financement pour 2023 et 2024, et l'ambition de parvenir à un budget total de 750 M€ à l'horizon 2027. Suffisant pour écarter les principales menaces ?

C'est à cette question qu'ont tenté de répondre les intervenants d'une table ronde organisée lors des Universités d'été de la cybersécurité et du cloud de confiance, organisées par Hexatrust le 9 septembre, à Paris. « En interne, sous l'effet des attaques médiatisées ayant touché de nombreux établissements, la culture cyber a bien évolué ces dernières années », souligne d'emblée Jean-Sylvain Chavanne, le RSSI du CHU de Brest. Ce dernier raconte ainsi que, lors de la cyberattaque subie par son établissement en mars 2023, sa direction n'a pas hésité un instant lorsqu'il a réclamé une coupure de tous les accès externes au SI. « De même, au sein des services, les jeunes praticiens sont aujourd'hui plus à l'écoute de nos attentes et sont moteurs dans le changement des pratiques. Cela permet de développer une vision commune, orientée établissement », assure le RSSI. Et de sortir de la sempiternelle opposition entre les praticiens de santé et les responsables de la cybersécurité. « Les retours entre pairs sur les cyberattaques qu'ont connues certains établissements ont été déterminants, assure Christophe Mattler, directeur de projets à la délégation au numérique en santé au sein du ministère du même nom. Ce sont ces retours d'expérience qui ont convaincu les autres établissements qu'il ne s'agissait pas d'un sujet informatique. »

Le risque lié aux industriels et partenaires

Pour autant, beaucoup reste à faire. D'abord, les usages non contrôlés d'outils grand public par les praticiens de santé n'ont pas disparu comme par magie. « Nous agissons sur l'adoption de la messagerie sécurisée de santé (la MSSante avec plus de 800 000 boîtes aux lettres ouvertes selon les chiffres officiels, NDLR). Mais est-ce que cela signifie que les praticiens ont abandonné les autres solutions ? Nous en sommes évidemment moins sûrs », reconnaît Christophe Mattler. Au sein du CHU de Brest, Jean-Sylvain Chavanne tente de s'adapter aux usages réels des praticiens - en particulier l'envoi de photos par téléphone dans des services comme la dermatologie ou la chirurgie plastique - via une app qui dépose ces clichés sur un espace cloud certifié HDS, connecté aux dossiers de santé.

PublicitéLes établissements de santé sont également confrontés à des prestataires et partenaires pas toujours au meilleur niveau en matière de cyber. Or, ceux-ci peuvent constituer autant de portes d'entrée vers le SI des hôpitaux, permettant d'en contourner les protections. « On observe une grande disparité dans l'appropriation du sujet par ces tiers. Heureusement, des leviers réglementaires commencent à se mettre en place », dit Auriane Lemesle, référente régionale cyber du groupement e-santé des Pays de la Loire et secrétaire générale de l'APSSIS (Association pour la sécurité des systèmes d'information de santé). C'est par exemple le cas d'un cahier des charges bâti par l'Association française des ingénieurs biomédicaux (Afib) désormais partagé avec le club des RSSI santé. « Sur la base de ce cahier des charges homogène, nous pouvons analyser les réponses des soumissionnaires avec les métiers, pour rechercher un équilibre entre leurs attentes et nos exigences », dit Jean-Sylvain Chavanne.

Le chantier titanesque de l'authentification

Reste la question des multiples dispositifs médicaux existants, obsolètes voire très obsolètes, sur le plan IT et cyber. « Les industriels concernés disent souvent ne pas être à même de mettre à jour leurs dispositifs. Notamment parce qu'ils ont obtenu un marquage CE lors de la commercialisation de leur solution et ne veulent pas la repasser à chaque mise à jour logicielle, détaille Christophe Mattler. Nous souhaitons donc décorréler le sujet de la cyber et de l'obsolescence technique de celui relatif à la sécurité des patients. Car nous sommes face à des matériels appelés à être en service pendant 10, 15, voire 20 ans. » Une décorrélation qui passera toutefois par une refonte de la procédure européenne.

Mais pour le directeur de projets, le levier le plus efficace pour renforcer la cybersécurité des hôpitaux réside aujourd'hui dans la rationalisation de l'authentification des professionnels de santé. « De nombreux incidents de sécurité sont liés à la divulgation d'informations d'identification, qui permettent à des personnes non autorisées d'accéder à tel ou tel système », souligne-t-il. Un chantier lourd, nécessitant un travail de fond, en raison des multiples mouvements de personnel dans des établissements employant de multiples vacataires, intérimaires ou prestataires. « Durant l'été 2025 par exemple, nous avons enregistré 2500 mouvements de comptes (pour un hôpital employant environ 10 000 personnes, NDLR). Et on parle ici de gestion de profils spécifiques, associés à des limites d'accès pour éviter par exemple les curiosités illégitimes », souligne Jean-Sylvain Chavanne, qui fait de la modernisation de la gestion des identités et des accès une de ses priorités, avec l'ambition de couvrir 100% des usages, après avoir récemment déployé un SIEM permettant de corréler les logs pour y détecter des incidents passant jusqu'alors sous les radars. Via un programme appelé Hospiconnect, Care a fait de la gestion des identités une de ses priorités. 15 premiers établissements ont ainsi été sélectionnés dans le cadre d'un appel à projets de 2024 et bénéficient d'un accompagnement et d'un financement pour leur projet d'IAM.

Si les programmes gouvernementaux ont permis de parer au plus pressé, assurer la cybersécurité des hôpitaux relève en revanche, pour les RSSI, de la course de fond. Comme l'indique Jean-Sylvain Chavanne, « la cyber a été, ces dernières années, financée par à-coups. Mais il faudra maintenir les solutions et le niveau atteint dans la durée. C'est sur ce critère qu'on pourra juger du niveau de maturité du secteur dans les années qui viennent. » Le tout dans un contexte budgétaire difficile pour les établissements de santé, notamment publics.