Ce qui rend les hôpitaux si exposés et si fragiles

Stratégiquement, les impacts des cyberattaques visant les hôpitaux sont très visibles et relayés, car ces derniers sont des infrastructures critiques. S’y attaquer permet d’exercer une grande pression,  indépendamment des motivations sous-jacentes des cybercriminels.

Tactiquement, la nature, la volumétrie et la diversité des données traitées, qui plus est dans un environnement structurellement ouvert, font des hôpitaux des cibles attractives. Les derniers « cyberraids » visant des hôpitaux européens ont montré un grand potentiel de monétisation des données médicales dérobées.

Opérationnellement, les moyens d’attaque utilisés par les cybercriminels sont peu sophistiqués technologiquement parlant. Il s’agit d’approches « classiques » ciblant les utilisateurs/trices finaux/ales ou encore les équipements biomédicaux, fréquemment concernés par des vulnérabilités connues de longue date.

Quelle devrait être la réponse des hôpitaux face à ces menaces cyber ?

Stratégiquement, il est nécessaire que la cybersécurité soit traitée en tant que sujet prioritaire à tous les niveaux décisionnels. Assigner des responsabilités s’avère insuffisant, si celles-ci ne sont pas accompagnées par des mesures concrètes et cohérentes en matière de ressources mises à disposition.

Tactiquement, il est crucial que l’ensemble des collaborateurs/trices soit imprégnés de la culture cybersécuritaire et formés dans ce sens. Partir du principe que […la cybersécurité est l’affaire d’un groupe d’experts…] est une erreur ; chacun-e, et cela à tous les niveaux, doit être en mesure de comprendre la portée et les impacts de ses actions sur la sécurité et la protection des données.

Opérationnellement, il est urgent que les mesures déployées par le biais des dispositifs techniques soient accompagnées par un renforcement des processus organisationnels et opérationnels existants. Ceux-ci doivent être complétés par des procédures de contrôle et de remise en question récurrents, car le sujet doit être pris en compte dans la durée. Considérer les mesures de sécurité comme des contraintes qu’il faut lever dès qu’elles « bousculent » nos habitudes ou dès que l’on cherche à optimiser les coûts d’exploitation peut s’avérer fatal, avec un coût final très élevé.

La FHVI prend le problème à bras-le-corps

Depuis le dernier trimestre de 2020, une fonction dédiée à la cybersécurité, à savoir celle du Responsable Sécurité du Système d’Information (RSSI), a été créée au sein de la FHVI. Ses activités se déploient au sein d’une entité spécifique, à savoir le département « Sécurité et Risques du Système d’Information (SRSI) ». La nouvelle équipe, en cours de constitution, vient compléter les capacités de protection existantes, principalement axées sur la gestion du dispositif technique de sécurité. En phase avec la recommandation du Contrôle Cantonal des Finances (CCF), la mission confiée au RSSI consiste à la mise en place d’un Programme de Sécurité global afin de [… s’assurer de l’analyse et du traitement des cyberrisques au niveau stratégique pour l’ensemble des établissements …]. Le Programme englobe non seulement le renforcement et l’évolution du dispositif technique de sécurité,  mais également la mise en place des aspects de gouvernance, des processus et des procédures de sécurité, des aspects de contrôle, de conformité, de gestion des incidents et de la reprise des activités en cas d’attaque majeure.

Sous l’impulsion du département SRSI, les Directions des hôpitaux membres ont approuvé la « Feuille de route » et la « Politique Générale de la Sécurité du SI (PGSSI)» qui expriment la vision, les principes, les missions et les lignes directrices du Programme de cybersécurité pour les cinq prochaines années. Par conséquent, il convient désormais :

STRATÉGIQUEMENT

De consacrer l’énergie, les ressources et les compétences nécessaires pour réussir la mise en œuvre du Programme selon les objectifs exprimés dans la « Feuille de route » et la PGSSI. Cela doit être le fruit d’un effort commun FHVI – hôpitaux membres pour permettre :  

• de monter en maturité graduellement tout en tenant compte des contraintes et des besoins métier;
• de faire face à la menace globale et de fournir une réponse cohérente et holistique dans un contexte ouvert et interconnecté.

TACTIQUEMENT

De capitaliser sur les capacités de protection, les moyens de formation et de sensibilisation mis à disposition de manière systématique et pour chaque collaborateur/trice (côté établissements), tout en fixant des objectifs précis et pragmatiques en matière d’évolution du dispositif (côté FHVI).

Il convient également d’instaurer des pratiques et des processus de collaboration raisonnés et multilatéraux, pas uniquement entre les équipes SI (FHVI – Hôpitaux membres), mais aussi avec les équipes des Directions et des cadres métier afin de répondre efficacement aux menaces cyber ciblant, particulièrement dans notre secteur, les collaborateurs/trices (utilisateurs/trices finaux/ales).

OPÉRATIONNELLEMENT

De revoir, voire d’établir de nouvelles procédures et processus opérationnels pour décliner les objectifs et les prérogatives sécuritaires sur le terrain et renforcer la dimension cybersécurité au sein des hôpitaux.

Pour faire face aux menaces et aux risques cyber, compte tenu du contexte et des particularités de notre domaine, entre autres celles liées à la prolifération des équipements biomédicaux connectés, il convient également de renforcer sans tarder les capacités de prévention et de détection par le biais de compétences internes qui s’appuient sur des solutions d’analyse et d’alerte automatiques. Ces dernières doivent être capables de déceler et interpréter les signaux d’attaque faibles.

La triste actualité des dernières semaines prouve que les cyberattaques sont de véritables armes de guerre. Elles précèdent souvent l’utilisation d’autres moyens conventionnels dans le but d’affaiblir leur cible. Dans ce contexte, la maxime de Thycidide, historien grec de l’antiquité, prend tout son sens, quand il exprime le fait que l’épaisseur du rempart compte moins que la volonté de le défendre.

On parle de plus en plus de cybersécurité, cyber-risque ou cyberattaque. Que signifie ce préfixe et quels sont les particularités de ce cyberespace ?

Prof. Solange Ghernaouti : Le cyberespace est l’ensemble des systèmes d’information interconnectés et reliés entre eux par des réseaux pour offrir des services informatiques qui permettent notamment la réalisation de services à distance et le transfert d’informations. Il est basé sur des technologies, des données, des services mais aussi sur des humains qui utilisent, conçoivent et mettent en œuvre ces technologies et ces services. Cette ouverture des systèmes à l’échelle mondiale permet de communiquer n’importe quand et avec n’importe qui, mais crée de facto une exposition à des risques structurels. Il existe de nombreux types de vulnérabilité qui peuvent être exploités à des fins criminels. D’où ces cyber-risques qui sont inhérents à la façon dont sont conçus nos systèmes informatiques et auxquels la cybersécurité a pour objectif de répondre le plus efficacement possible en prenant en compte l’analyse des risques. La cybersécurité est plus que la sécurité informatique puisqu’elle intègre cette problématique de gestion des risques pour un environnement particulier et pour des activités particulières. La sécurité informatique, elle, recouvre toutes les techniques qui permettent de mettre en œuvre des fonctions de sécurité pour assurer la disponibilité des systèmes, l’intégrité des ressources et la confidentialité de certains échanges ou de certaines données. Le point de départ d’une démarche de sécurité est ainsi de connaître les valeurs de ces données, de savoir pourquoi on veut les protéger et contre quoi. C’est lorsqu’on a pu évaluer les risques que l’on peut ensuite mettre en place les mesures de sécurité permettant de diminuer la survenue d’incidents qui porteraient atteinte à ces valeurs.

La pandémie de Covid-19 a multiplié les connexions à distance en lien avec le télétravail. Quel impact cela a-t-il en termes de cybersécurité ?

Prof. Solange Ghernaouti : Avant d’aller vers cette ouverture généralisée, on aurait pu se poser la question de savoir si nos systèmes d’information étaient préparés pour supporter ces flux de données supplémentaires et ces nouvelles activités. Au vu de la recrudescence des cyberattaques qui ont profité de cet environnement vulnérable, il faut croire que ce n’était pas le cas pour toutes les organisations qui ont certainement sous-estimé ou ignoré les vulnérabilités liées à ces nouveaux outils, qu’il s’agisse de la conception des environnements (logiciels, matériel) ou des défauts d’organisation autour de la gestion de la sécurité. Plus on aura d’usages et de flux de données, plus on aura de vulnérabilités si on ne met pas les risques sous contrôle.

Patrick Zwahlen : J’ajouterai que le télétravail n’a pas toujours été bien vécu, certain-es collaborateurs/trices s’étant parfois senti-es démuni-es face à l’outil informatique. Dans un contexte de mise en place extrêmement rapide et parfois sur la base de l’infrastructure privée, il a été plus difficile de mettre en œuvre les mesures de protection nécessaires.

Dès le début 2022, les médias ont relaté sept cas de cyberattaques significatives dans le domaine médical en Suisse. Cela signifie-t-il que les établissements de santé sont moins bien armés que d’autres infrastructures critiques ?

Prof. Solange Ghernaouti : Depuis 2017, on assiste à une montée en puissance des acteurs criminels qui portent atteinte à des infrastructures critiques, y compris les établissements de santé (ndlr : avec un environnement caractérisé par l’ouverture des systèmes et l’interconnexion) qui n’étaient peut-être pas suffisamment préparés à appréhender ce risque avec cette ampleur et à cette échelle. Or, sécurité informatique et sécurité des patient-es sont étroitement liés. Il faut à présent que les soignant-es comprennent que la qualité des soins qu’ils vont délivrer dépend aussi de la qualité de la sécurité informatique, car leur métier dépend de plus en plus de l’environnement informatique (dossier médical du patient, terminaux médicaux connectés sur des périphériques, …) dont les vulnérabilités peuvent être exploitées. Il doit aussi y avoir une prise de conscience que la sécurité informatique demande une appropriation de la culture de cybersécurité nécessaire dans toutes les applications métiers, mais aussi des budgets et des ressources. Il faut également que les fournisseurs de solutions informatiques soient responsables de la qualité et de la sécurité des outils qu’ils mettent à disposition. Or, pour le moment, c’est souvent sur l’utilisateur final que repose cette responsabilité.

Quels types d’appareils / de données sont généralement visés en cas de cyberattaques des établissements sanitaires ?

Patrick Zwahlen : Il faut d’abord connaître l’attaquant. Dans la majeure partie des cas, il s’agit de grands groupes extrêmement bien organisés qui se sont construits en profitant de la valorisation des crypto-monnaies. Ils en veulent ainsi principalement à notre argent. Cela se matérialise sous la forme d’une double extorsion avec une première demande (rançon) pour remettre l’outil informatique en état de fonctionner, ce qui peut toucher, dans un hôpital, des plateformes métiers ou des équipements médicaux. Une seconde étape consiste à demander une rançon pour que des données volées – médicales, juridiques ou financières – ne soient pas divulguées sur le darknet. Le mode opératoire de ces organisations est bien huilé et implique qu’elles passent du temps dans le réseau informatique de leur cible, ce qui ouvre aussi de nouvelles approches de défense pour les piéger à ce moment-là.

Quelles peuvent être les conséquences pour un hôpital ?

Patrick Zwahlen : Je ne pense pas que l’attaquant a actuellement les connaissances pour s’attaquer à des plateformes métiers spécifiques. Par contre on a, dans la majorité des cas, une indisponibilité totale de l’outil informatique classique (bureautique). Les conséquences seront fonction de la dépendance de l’informatique médicale par rapport à cette informatique classique. Cela peut ralentir drastiquement ou reporter des opérations avec des conséquences parfois fâcheuses pour la santé des patient-es. Les conséquences sont aussi financières en cas de paiement de rançon, ce que l’ensemble de la branche et les autorités déconseillent vivement ! Le facteur temps, beaucoup plus important dans un hôpital, pourrait malgré tout encourager un tel versement.

Prof. Solange Ghernaouti : Les conséquences financières sont aussi liées au dégât d’image et de réputation, et à la perte de confiance des patient-es envers cette infrastructure où des données hautement sensibles aurait pu être diffusées. Au lieu d’investir dans des paiements de rançons, il faut impérativement que ces infrastructures montent en puissance en termes de prévention, de protection et de gestion des risques avec un budget et une organisation adéquats. La lutte contre la cybercriminalité doit aussi être renforcée par des actions en justice et de police remarquables et remarquées.

Les pratiques de sécurité et les équipements numériques des institutions suisses, et plus spécifiquement des hôpitaux suisses, sont-ils à la hauteur de la menace ?

Prof. Solange Ghernaouti : La réponse est dans le nombre de cyberattaques et de défauts de sécurité rapportés. D’où l’importance d’avoir une obligation de report d’incidents graves et d’envergure liés à la cybersécurité (ndlr : un projet de loi proposé par le Conseil fédéral va dans ce sens). Si nous n’avons pas une vision globale et réelle de ce qui se passe d’un canton à un autre, il sera difficile de dégager, au niveau de la Confédération, les moyens nécessaires pour appréhender cette problématique. Les établissements financiers et bancaires l’ont bien compris. Il faut maintenant que les responsables des hôpitaux comprennent que cette information liée au mode de fonctionnement de l’hôpital, mais aussi aux patient-es, est critique et fondamentale. Le risque informatique est un risque structurel qu’il faut traiter à ce niveau. Les criminels n’ont pas de limite et vont chercher de l’argent là où il y en a. De manière générale, ces infrastructures n’ont pas le niveau de sécurité suffisant au regard de l’interconnexion des systèmes qu’elles proposent.

Comment un hôpital peut-il concrètement améliorer sa défense face à une cyberattaque ?

Patrick Zwahlen : Le premier défi pour le responsable de la sécurité est d’avoir une vue d’ensemble du réseau et des outils connectés pour cartographier toutes ces plateformes très spécifiques utilisées par une partie seulement du personnel et gérées souvent par une petite équipe. Il faut aussi prendre le temps nécessaire pour réfléchir à la meilleure manière d’augmenter la sécurité dans une partie de l’environnement avec un minimum de « frottement » auprès du personnel souvent sous pression. Jusqu’à présent, beaucoup d’incidents ont été discutés afin de mieux comprendre leur mode opératoire. Cela permet de mettre en place des stratégies de simulation d’attaques théorique avec des tests d’intrusion. Finalement, on possède toute une panoplie de mesures techniques à mettre en place au bon moment et au bon endroit. Il faut aussi montrer plus d’intransigeance avec les partenaires qui offrent des plateformes pour qu’ils assurent la bonne santé de ces équipements sur le long terme.

Comment former et sensibiliser le personnel d’un hôpital à ce type de menaces ?

Patrick Zwahlen : La sensibilisation du personnel est cruciale. Un projet de sensibilisation doit être amené par la direction et pas seulement par le service informatique. Il faut trouver un juste équilibre entre le temps que l’on sollicite auprès des collaborateurs/trices pour les former à la problématique et la pertinence des solutions que l’on va amener pour améliorer la sécurité, par exemple avec des approches ludiques.

Prof. Solange Ghernaouti : Si on demande un effort supplémentaire au personnel pour acquérir ces compétences, il faut aussi qu’il soit en capacité or il est souvent en sous-effectif. Il faut donc créer un environnement favorable à l’expression d’une attitude de cybersécurité possible avec des procédures et des moyens cohérents. C’est un vrai défi ! Bientôt, on ne pourra plus prodiguer de soins si l’on n’a pas l’informatique. C’est donc une question de vie ou de mort, et c’est ce niveau de criticité qu’il faut intégrer au plus haut dans la hiérarchie. Si on ne veut pas mettre les moyens nécessaires dans la sécurité informatique, il faut être prêt à se passer de l’outil informatique. Le risque informatique est un catalyseur de risques, il est transversal et à la base de tous les risques. Les budgets doivent être à la hauteur de ces risques !

La défense numérique des institutions publiques ou d’intérêt public est-elle en fin de compte l’affaire de nos dirigeants politiques ou des institutions elles-mêmes ?

Prof. Solange Ghernaouti : Il y a plusieurs niveaux à appréhender. Quand on fait de la sécurité informatique, la responsabilité relève de l’individu ou de l’organisation. Une structure hospitalière, une entreprise ou une banque doit être en mesure de se défendre avec toute une panoplie de moyens relevant de la cybersécurité. Si l’on parle de sûreté ou de défense des intérêts publics, on est sur un plan plutôt militaire. Ce type de réaction au niveau national pourrait peut-être intervenir en cas d’attaques massives sur les infrastructures critiques du pays.

Qu’est-ce qu’un directeur d’hôpital craint le plus en cas de cyberattaque ?

Rodolphe Rouillon : Pour rappel, la prise en charge de nos patient-es repose aujourd’hui sur toute une série d’applicatifs et d’informations dont le système, au sein d’un hôpital, est toujours complexe. Certains appareillages dépendent clairement du réseau informatique. Ainsi, ce que je redoute le plus en cas de cyberattaque, c’est la perte immédiate de fonctionnalités, pouvant diminuer voire empêcher la qualité de prise en charge de nos patient-es. Ceci est en lien avec les spécificités d’une activité hospitalière. Dans un deuxième temps, ma crainte réside dans la perte d’informations – par exemple liées au contenu du dossier patient informatisé – et au temps nécessaire à leur récupération afin de pouvoir prendre en charge de manière adéquate le/la patient-e.

Avez-vous déjà fait l’expérience, en tant que manager, d’une cyberattaque à l’Hôpital intercantonal de la Broye (HIB) ou ailleurs ?

J’ai malheureusement déjà subi une cyberattaque dans mon ancienne fonction de directeur des soins à l’HFR (Hôpital fribourgeois). Une ouverture de mail frauduleux a engendré un blocage immédiat du système avec une demande de rançon. Le système a pu être redémarré grâce au backup avec une antériorité de 4 à 6 heures. Les coûts de correction consistant à réinitialiser le système restent importants, sans compter le manque d’accès aux données pendant ce laps de temps. Ce type d’événement a des conséquences en termes de stress et d’inquiétude pour le personnel soignant qui dépend fortement du système d’information, notamment pour l’organisation du transfert d’un patient ou pour l’obtention des résultats de laboratoire. La prise en charge des patients sera ainsi potentiellement altérée lors d’une cyberattaque alors que la mission première d’un hôpital est celle de prendre en charge les patients avec efficacité, performance et bienveillance. A l’HIB, une tentative d’extorsion par hameçonnage ciblé a été déjouée grâce à la vigilance et au signalement immédiat par les collaborateurs concernés.

Quelles mesures de protection avez-vous mises en place à l’HIB pour vous en prémunir ?

Nous bénéficions du support informatique de la FHVI qui assure toute la sécurité et l’infrastructure du réseau avec plusieurs backups, certes pas pour tous les applicatifs, mais les aspects sécuritaires principaux sont honorés. Néanmoins, nous ne sommes pas à l’abri d’une cyberattaque. Quand on utilise l’outil informatique, on induit d’office un risque. Et dans la mécanique actuelle du crime, nous faisons partie des cibles intéressantes. En principe, nous sommes plutôt bien protégés mais le risque zéro n’existe pas. Derrière chaque outil informatique se trouve un être humain qui peut potentiellement ouvrir un mail ou un lien frauduleux.

Bénéficiez-vous d’un plan d’urgence informatique à l’HIB ?

Non, mais nous avons des dispositifs de sécurité qui nous permettent de gérer ces situations. Aujourd’hui, avec le soutien de la FHVI, notre structure est prête à réinitialiser le système complètement. Mais cela demande plusieurs heures de travail, sans garantie de fonctionnalité immédiate.

Quel niveau de confiance mettez-vous dans le dispositif de sécurité en place à l’HIB ? Et si vous deviez améliorer quelque chose ?

J’ai pleine confiance dans notre système. Nous avons des actions définies et coordonnées par le Comité Sécurité de la FHVI, dont notre responsable des Systèmes d’information est membre. Cependant, l’erreur humaine est toujours possible. Quand on doit prendre en compte plusieurs dizaines de mails en même temps, personne n’est à l’abri de cliquer au mauvais endroit ou sur un lien inadapté. Si on devait améliorer cette gestion du risque, il faudrait consentir des investissements importants. C’est bien entendu essentiel mais l’hôpital a d’autres priorités, et notamment la sécurité des patient-es. On ne peut pas surdimensionner une sécurité au détriment des autres. La difficulté pour un responsable d’établissement est donc de trouver ce complexe équilibre entre tous les dispositifs sécuritaires, notamment en termes d’investissement et d’engagement au sein de l’institution.

Considérez-vous que votre personnel est suffisamment sensibilisé aux questions de cybersécurité ?

Au sein d’un établissement de santé, on a affaire à de nombreux/ses professionnel-les de la santé, et je dois reconnaître que la fibre informatique n’est pas présente chez tous/toutes alors qu’ils/elles utilisent l’outil informatique quotidiennement. Dans notre conception, nous souhaitons clairement faire de la prévention – c’est toujours moins coûteux de préparer que de réparer – et cela passe par l’information et la formation. C’est pourquoi nous envoyons régulièrement des messages de rappel, et mettons en place pour l’ensemble du personnel des formations principalement sous forme d’e-learning. Cette démarche est certes répétitive, mais nous devons favoriser tous les dispositifs préventifs si nous souhaitons limiter le risque.

A votre avis, met-on actuellement assez de moyens financiers pour se prémunir de ce type d’attaque dans les hôpitaux, et notamment à l’HIB ?

Certes, une part de notre investissement est pleinement orientée vers ces dispositifs. Toutefois, s’il faut faire des choix, ma priorité sera toujours notre raison d’être, soit la prise en charge des patient-es pour leur bénéfice direct. Mais il est vrai que, comme pour tous les établissements membres de la FHV/FHVI, les investissements de l’HIB consacrés à cette sécurité devront probablement augmenter à l’avenir pour faire face à la multiplication du risque.