Si les centres hospitaliers de Dax et de Villefranche-sur-Saône ont récemment été pris pour cible avec certaines de ces conséquences^[2], ce qui est également le cas tout récemment du centre hospitalier de Saint Gaudens^[3], il faut rappeler que, parfois, les conséquences peuvent être fatales. C'est ainsi que pour la première fois, en septembre 2020, les autorités allemandes ont reconnu qu'une patiente était décédée à la suite d'une cyberattaque ayant paralysé le fonctionnement de la clinique de Düsseldorf où elle était hospitalisée^[4]. Son transfert vers un autre hôpital rendu nécessaire pour l'opérer en urgence n'aura pas suffi pour lui sauver la vie. Si les poursuites pour homicide involontaire ont finalement été abandonnées, faute d'avoir pu établir que la cyberattaque ait pu jouer un rôle décisif dans le décès de la patiente, il n'en demeure pas moins que la paralysie d'un établissement de santé en raison d'une cyberattaque expose la vie des patients et la responsabilité de ceux qui sont amenés à prendre les décisions médicales ou structurelles face à une telle situation d'urgence.

Les cyberattaques sont en pleine expansion depuis plusieurs années et la menace est internationalisée. On estime à près de 500 millions le nombre de consommateurs victimes de cybercriminalité dans le monde^[5]. En France, plus de 19 millions de personnes ont été ciblées en 2019 tandis qu'en 2020, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) estime que les attaques par rançongiciel ont été multipliées par quatre^[6]. Contrairement à une idée reçue, ce ne sont pas seulement les grandes entreprises industrielles qui sont visées. Ainsi, en 2020, près de 20% des victimes d'attaques par rançongiciel étaient des collectivités territoriales, mettant ainsi en péril l'exercice de leurs missions de service public. Le secteur de la santé est devenu une cible conséquente puisque les établissements de santé en France (publics ou privés) représentent 11 % des victimes accompagnées par l'ANSSI pour la seule année 2020^[7]. L'Agence recense actuellement « une tentative d'attaque par semaine sur des infrastructures de la chaîne hospitalière »^[8]. Le phénomène est mondial et s'est drastiquement accru en 2020. C'est ainsi qu'on estime à plus de 500% la hausse des cyberattaques dans le monde contre les établissements de santé alors qu'ils sont entrés en première ligne contre la pandémie du Covid^[9].

 Le phénomène des cyberattaques n'est pas nouveau. En 2016, déjà, un centre médical situé en Californie avait fait l'objet d'une cyberattaque paralysant l'infrastructure en exigeant le paiement d'une rançon de 3,5 millions de dollars pour la débloquer^[10]C'est ensuite une retentissante cyberattaque mondiale en 2017, dénommée Wannacry, qui a touché un tiers des établissements de la National Health Service britannique et a engendré un coût d'environ 100 millions de livres sterling, auxquels se sont ajoutés 500.000 livres sterling en frais de consultants informatiques et la déprogrammation de 19.000 rendez-vous de patients^[11]. En 2019, ce serait près de 764 établissements de santé qui auraient été pris pour cibles^[12], comme le fût le CHU de Rouen^[13]. Pour 2020, parmi les cyberattaques notables, il suffit de rappeler celle qui a touché en septembre la chaîne d'hôpitaux américains Universal Health Services, rendant inaccessible les systèmes informatiques de dizaines de ses établissements^[14].

Tandis que le périmètre des données de santé s'est accru de façon exponentielle depuis des années, la pandémie du Covid a fortement accentué le phénomène des cyberattaques, les établissements de santé étant notoirement exposés comme le dernier rempart à l'hécatombe (et donc leur blocage les plaçant dans des situations critiques) et le développement massif du télétravail fragilisant la sécurité des systèmes d'information. Cette crise a également permis une prise de conscience de la valeur des données de santé (ou de la valeur du blocage de leur accès pour les hôpitaux), devenues lucratives pour les criminels. Loin d'être un épiphénomène, il est important que les établissements de santé prennent conscience des enjeux que soulèvent ces cyberattaques afin de connaître les réponses qu'il faut apporter aux menaces qu'elles constituent.

Enjeux des cyberattaques des hôpitaux

Les effets dévastateurs des cyberattaques sur la prise en charge des patients, sur le fonctionnement même des hôpitaux ou sur la protection des données médicales sont réels. Il est nécessaire d'avoir une meilleure connaissance du risque que ces attaques représentent et de l'ampleur des systèmes et données qui sont exposés.

Connaissance du risque

Les cyberattaques susceptibles d'être portées contre les hôpitaux sont de nature et d'effets très variables. Pour une meilleure connaissance du risque, il parait ici nécessaire de présenter les principaux moyens qu'elles emploient et leurs effets^[15].

L'attaque par déni de service. Une attaque par déni de service consiste à rendre indisponible la page d'un site internet, en la saturant de demandes simultanées afin de paralyser son fonctionnement. C'est ainsi que l'AP-HP a subi le 22 mars 2020 une attaque par déni de service sur deux de ses adresses Internet sans atteindre ses infrastructures. Afin d'éviter une propagation, le prestataire a dû restreindre les accès internet, et bloquer l'accès externe à la messagerie, à Skype ainsi qu'aux applications de l'AP-HP. Tous les accès hors Europe ont été bloqués, ce qui a permis d'arrêter l'attaque et de redémarrer progressivement les accès internet^[16].

L'attaque par défiguration du site Internet. Parfois, la cyberattaque consiste à modifier l'affichage de la page web officielle d'une structure afin d'insérer des messages politiques, humoristiques ou haineux. Si ces attaques par défiguration de sites démontrent une vulnérabilité dans la protection du site internet, les conséquences sont néanmoins bénignes et aisées à arrêter. A ce jour, les hôpitaux ne semblent pas faire l'objet de telles attaques, à la différence des sites de certaines entreprises ou collectivités locales sans conséquence autre que symbolique.

Le rançongiciel. Les cyberattaques qui emportent des conséquences les plus préjudiciables pour les hôpitaux sont celles qui utilisent un rançongiciel. Il s'agit pour le hackeur d'insérer un logiciel malveillant sur le réseau d'information qui, une fois installé, chiffre les données pour les rendre inaccessibles. La clef de déchiffrement n'est envoyée qu'à la condition de verser une rançon, souvent exigée en bitcoins pour éviter de tracer le versement et remonter aux hackeurs. Le logiciel malveillant peut être installé lors du téléchargement d'une pièce jointe infestée, par une usurpation des codes d'accès^[17] ou lors de l'insertion d'une clef usb préalablement contaminée à cette fin, sans que l'utilisateur ne s'en rende compte ni même n'ait conscience de participer à une telle attaque. Les cyberattaques lancées en 2021 contre les hôpitaux de Dax et de Villefranche-sur-Saône ont précisément été portées par le déploiement du virus RYUK via un logiciel malveillant qui a bloqué l'accès aux données, exigeant alors une rançon pour fournir la clef de déchiffrement. Afin de limiter la propagation du virus, il a été nécessaire de « compartimenter le parc informatique »^[18] des établissements, de déconnecter immédiatement les postes de travail, hormis ceux du standard des urgences et de couper l'ensemble de la téléphonie. Les centres hospitaliers sont alors passés en procédures dites dégradées avec un retour au suivi manuscrit des patients et une réorientation des urgences vers d'autres centres hospitaliers pour la prise en charge des patients. Il a ensuite été nécessaire de restaurer l'intégrité de l'ensemble du réseau, ce qui est particulièrement délicat concernant le noyau central du système d'information.

Vol de données. Il faut préciser qu'avec ce type d'attaques par rançongiciel, il n'y a normalement pas de perte de données mais seulement une impossibilité d'y accéder. A proprement parler, il ne s'agit pas d'un vol de données. La situation est donc différente de la cyberattaque lancée contre des laboratoires d'analyse en 2021 qui a permis aux hackeurs de dérober les données de plus de 500.000 patients afin de les vendre ensuite sur le Darknet : coordonnées, numéro de sécurité sociale, groupe sanguin, médecin traitant, mutuelle, traitements médicamenteux, pathologie, etc.^[19]. La mise en vente de ces données sur des forum intéresse les acquéreurs notamment pour organiser des usurpations complètes d'identité, des reventes à des fins criminelles voire une meilleure connaissance des pathologies d'une clientèle. Cette affaire a été retentissante car les données dérobées ont finalement été mises en ligne publiquement et gratuitement à la suite d'un désaccord entre les pirates, exposant ainsi les données personnelles sensibles des patients.

Si ces attaques sont réprimées pénalement ^[20] , la principale difficulté demeure l'identification des auteurs de ces cyberattaques. En fonction de leurs moyens, les traces laissées lors de ces attaques dans les systèmes seront plus ou moins faciles à déceler et à remonter jusqu'aux hackeurs. Et ce d'autant plus que les cybercriminels évoluent essentiellement sur le Darknet et se sont internationalisés. Des opérations d'enquête et d'arrestation sont entreprises, parfois avec succès. Ce fut le cas avec le démantèlement d'une nébuleuse de hackeurs, essentiellement situés en Ukraine, rendu possible grâce à une coopération internationale des forces de l'ordre spécialisées en cybercriminalité ^[21] . Néanmoins la rapidité des cyberattaques, les faibles indices laissés dans la plupart des cas, les multiples intermédiaires utilisés à travers le monde pour la propagation de l'attaque - parfois à leur insu - rendent difficiles l'interruption de l'attaque et l'arrestation des auteurs. Internet ne connaissant pas les frontières, ni la répartition de compétences entre les Etats concernés ou celle de leurs enquêteurs, les cybercriminels ont bien compris l'intérêt d'utiliser ce moyen pour porter les attaques contre leurs cibles. Et ce d'autant que le mouvement de dématérialisation des données de santé et leur partage entre services s'est fortement accru ces dernières années, augmentant de fait leur valeur.

Ampleur des systèmes et données de santé dématérialisées

Le risque de cyberattaque doit être mesuré en fonction de l'augmentation exponentielle du périmètre des données de santé (et des données détenues par les établissements de santé de façon générale : données logistiques, incluant les commandes de médicament par exemple ; données comptables...) et des échanges entre acteurs du secteur sanitaire, médico-social et social, et même, désormais, tournés vers les collectivités territoriales par exemple.

Les grands mouvements de dématérialisation sont bien connus. Ils concernent le développement du dossier médical partagé, le dossier pharmaceutique, la création de la plateforme Health Data Hub ou encore le programme E-Parcours, visant à permettre l'accès des professionnels à un bouquet de services numériques de coordination sur le parcours de santé du patient. Ils s'inscrivent dans des projets d'investissement publics pour accompagner, voire « accélérer », le « virage numérique » de l'hôpital, à l'instar, en 2019, du projet Hop'En^[22] (pour « Hôpital numérique ouvert sur son environnement ») inscrit dans le programme « Ma Santé 2022 »^[23].

L'on pourrait également citer, dans le fonctionnement quotidien de l'hôpital, la dématérialisation des procédures de passation des marchés publics, ainsi que la dématérialisation de certaines démarches ressources humaines, à l'instar de la gestion dématérialisée du dossier administratif de l'agent dans certains établissements de santé, qui concourent à cet accroissement des données détenues par les hôpitaux mais également à leur échange avec des tiers.

Dernièrement, le Ministre de la santé, Olivier Véran, a annoncé dans le cadre du Ségur de la santé qu'un budget de 1, 4 milliards d'euros sur trois ans serait consacré à « combler le retard » du numérique en santé.

Il existe ainsi une volonté d'« accélérer » ou de « rattraper » le retard, disons, tous azimuts. Cette volonté passe à la fois par l'augmentation des données collectées puis par leur échange décloisonné entre les acteurs. Elle impose d'engager des mouvements complexes, et onéreux, de convergence des logiciels utilisés par les établissements publics de santé et d'interopérabilité de leurs systèmes d'informations.

Ce partage de données doit permettre de favoriser la cohérence des parcours de santé. L'on sait aujourd'hui qu'il s'agit d'un enjeu de santé publique majeur : notre système sanitaire et médico-social est structuré de façon hétéroclite par des acteurs sanitaires publics ou privés, des acteurs médico-sociaux, également publics ou privés, sous la tutelle d'établissements publics (à l'instar des ARS bien sûr) ou de collectivités territoriales (les départements notamment), ou indépendants (les professionnels libéraux notamment). Outre les statuts, ce sont aussi les missions qui sont prises en charge par des acteurs pluriels : le médecin de ville ; le laboratoire de biologie médicale ; le Centre de lutte contre le cancer (CLCC) ; l'hôpital ; l'EHPAD ; les caisses de sécurité sociale et la CNAM ; les mutuelles...

Le parcours du patient impose d'échanger des informations sur celui-ci pour coordonner pertinemment son suivi. Cela est d'autant plus vrai que les parcours sont complexes et l'on pense ici, par exemple, à l'échange d'informations dans le cadre des dispositifs d'appui à la coordination (les DAC).

Outre cette nécessité, il convient également de constater que le secteur sanitaire et médico-social est de plus en plus structuré autour des coopérations entre les acteurs. Les GHT, bien sûr, mais aussi les GCS, les coopérations conventionnelles ou les partenariats, imposent également d'échanger des données.

A ce stade, il s'agit donc d'un enjeu, d'un impératif et de la nécessité de favoriser la dématérialisation. Mais celle-ci ne peut se faire au détriment de la sécurité sur les données et les systèmes d'information.

C'est là que la menace réside : dans le déséquilibre entre l'accélération du mouvement de dématérialisation et la sécurité des chemins empruntés.

Réponses à la menace de cyberattaques sur les hôpitaux

L'ampleur des conséquences des cyberattaques est telle qu'il est nécessaire d'établir des réponses adéquates. Il ne s'agit pas ici de traiter des solutions informatiques permettant de restaurer un système infecté ou d'arrêter la propagation d'un virus. En revanche il parait important d'adopter une dynamique d'anticipation du risque afin de prévenir la réalisation de cyberattaques et de limiter au maximum leurs effets dévastateurs pour un hôpital. C'est à cette fin qu'un statut juridique protecteur et contraignant a été reconnu aux hôpitaux et que des remèdes existent pour prévenir ces attaques ou leur faire face.

Statut protecteur et obligations des hôpitaux face aux menaces de cyberattaque

Qualification d'« opérateurs de services essentiels». En termes d'abord purement juridiques, les établissements de santé sont soumis à des obligations qui vont au-delà de la seule application du RGPD et ce, en raison de leur statut. Le décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique comprend les établissements de santé, publics ou privés, sous la qualification juridique d'« opérateurs de services essentiels », auxquels s'appliquent les dispositions de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité (les opérateurs visés dans le domaine sanitaire ou médico-social sont les organismes sociaux, les prestataires de soins de santé, les prestataires fournissant un service d'aide médicale d'urgence, ainsi que des opérateurs pharmaceutiques à l'instar des grossistes-répartiteurs pharmaceutiques).

L'article 6 de la loi du 26 février 2018 prévoit que le Premier ministre fixe des règles pour la protection des réseaux et systèmes d'information avec pour objectif de garantir « un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances ».

Cet article impose l'existence de règles de sécurité concernant la gouvernance de la sécurité des réseaux et systèmes d'information ; la protection des réseaux et systèmes d'information ; la défense des réseaux et systèmes d'information ; et la « résilience » des activités.

Il établit également que les opérateurs peuvent se voir imposer le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée. On notera à cet égard, pour y revenir plus après, que les certifications sont particulièrement exigeantes.

Outre les obligations matérielles qui pèsent sur les opérateurs de services essentiels, des obligations à l'égard de l'ANSSI sont également établies. En ce sens, les articles 7 et 8 du décret du 23 mai 2018 imposent aux opérateurs la mise à disposition d'informations à l'égard de l'Agence, lors de leur désignation en qualité d'opérateur de services essentiels, puis ensuite de façon régulière (annuellement). Cette mise à disposition d'informations devient une obligation de déclaration en cas d'incident (article 11 du décret).

Ces informations doivent permettre à l'ANSSI d'exercer ses prérogatives de contrôle, lesquelles trouvent leur fondement dans l'article 8 de la loi du 26 février 2018 : « Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés par le Premier ministre. Le coût des contrôles est à la charge des opérateurs. Les opérateurs sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa du présent article les informations et éléments nécessaires pour réaliser le contrôle, y compris les documents relatifs à leur politique de sécurité et, le cas échéant, les résultats d'audit de sécurité, et leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques. En cas de manquement constaté à l'occasion d'un contrôle, l'autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants de l'opérateur concerné de se conformer, dans un délai qu'elle fixe, aux obligations qui incombent à l'opérateur en vertu du présent chapitre. Le délai est déterminé en tenant compte des conditions de fonctionnement de l'opérateur et des mesures à mettre en oeuvre. »

Le fait que les hôpitaux entrent dans cette catégorie juridique a permis de rehausser le niveau minimum de sécurité des systèmes d'information qui était hétérogène auparavant.

Qualification d'OIV. Non plus en raison de leur seul statut mais davantage de la nature et de l'ampleur de leur activité, les entités les plus critiques pour la Nation sont considérées comme des opérateurs d'importance vitale. C'est la loi de programmation militaire de 2013 qui va leur permettre de mieux se protéger et d'être soutenus par l'Etat en ce sens, et par l'ANSSI en cas d'attaque informatique. L'origine de cette loi en dit long sur le caractère vital dans le fonctionnement de l'Etat reconnu aux activités concernées. Près de 200 opérateurs publics ou privés intervenants dans les secteurs vitaux de la Nation sont ainsi particulièrement protégés. Cette qualification est hautement contraignante mais, contrepartie de ce premier aspect, elle garantit un rigoureux niveau de protection des données et des systèmes d'informations.

Ces opérateurs interviennent dans les secteurs qualifiés de « secteurs d'importance vitale » aux termes des dispositions de l'article R. 1332-2 du code de la défense, qui vise les activités qui « 1° Ont trait à la production et la distribution de biens ou de services indispensables : a) A la satisfaction des besoins essentiels pour la vie des populations ; b) Ou à l'exercice de l'autorité de l'Etat ; c) Ou au fonctionnement de l'économie ; d) Ou au maintien du potentiel de défense ; e) Ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables ; 2° Ou peuvent présenter un danger grave pour la population. »

La santé a été qualifiée de « secteur d'importance vitale » par l'arrêté du 2 juin 2006 fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs.

Les opérateurs qui sont identifiés en qualité d'opérateur d'importance vitale sont inscrits sur une liste classée confidentielle pour des raisons de sécurité nationale. Il en va ainsi dans le secteur de la santé, même s'il est admis que certains CHU font partie de cette liste. Cette classification ajoute une série d'obligations strictes en conformité avec la stratégie de sécurité des « systèmes d'information d'importance vitale », et notamment une coopération renforcée avec le ministre chargé de la coordination du secteur concerné, l'ANSSI ou le préfet de département et de la zone de défense.

Il s'agit de la qualification juridique la plus rigoureuse, qui ne visent que les opérateurs les plus importants et non chaque établissement. Il convient de s'éloigner un peu du droit, pour en venir à l'analyse de remèdes concrets aux risques de cyberattaques.

Des remèdes diversifiés

A l'heure où les messages de lutte contre la propagation du virus du Covid sont martelés à l'aide de mantras, il apparaît que les remèdes pour se prémunir des cyberattaques peuvent être caractérisés en quatre actions : dissuader, alerter, protéger et prévenir.

Dissuader. Convaincre qu'il est trop coûteux de passer à l'action est un bon moyen pour éviter la réalisation d'une menace. Pour cela, il faut que la sanction de la cyberattaque soit forte et crédible. Bien que la menace soit internationalisée, il faut bien reconnaître que peu d'instruments contraignants internationaux dédiés aux cyberattaques existent alors même qu'une réponse efficace ne peut qu'être transfrontière. C'est que la géopolitique des cyberattaques ne contribue pas à ce que les Etats parviennent à un consensus international pour prohiber fermement toute incursion sur le réseau, la défense des intérêts nationaux exigeant de se réserver la possibilité de le faire. Il existe néanmoins une convention internationale sur la cybercriminalité exigeant des Etats qu'ils incriminent, poursuivent et punissent les auteurs de tels actes^[24] . C'est alors par les droits internes ou des coopérations internationales que les cybercriminels seront sanctionnés. Ainsi, en France, les attaques portées contre les systèmes de traitement automatisé de données sont des infractions sérieusement réprimées. Le fait d'accéder frauduleusement à un tel système est puni de deux ans d'emprisonnement et de 60 000 € d'amende portés à trois ans et 100.000€ d'amende lorsque cela a pour conséquence une altération du système ou des données. Le fait d'entraver le fonctionnement d'un tel système est puni de cinq ans d'emprisonnement et de 150 000 € d'amende, sanctions portées à sept ans d'emprisonnement et à 300 000 € d'amende lorsque le système visé traite des données à caractère personnel mis en oeuvre par l'Etat. Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, détenir, reproduire, transmettre, ou modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende, peines portées à sept ans d'emprisonnement et à 300 000 € d'amende lorsque le système traite des données à caractère personnel mis en oeuvre par l'Etat. Relevons, enfin, que la tentative de commettre de tels délits est puni des mêmes peines^[25].

Si l'ampleur des sanctions parait dissuasive, encore faut-il que le risque d'être identifié et interpellé soit crédible. La difficulté est réelle. Les services régaliens de l'Etat se sont organisés pour faire face à la menace et coopérer avec leurs homologues étrangers. Dans ce sens, par exemple, la gendarmerie dispose d'un service spécialisé, le centre de lutte contre les criminalités numériques (C3N), créé pour coordonner les investigations liées à la cybercriminalité^[26] tandis que la police nationale dispose d'une sous-direction de lutte contre la cybercriminalité regroupant diverses divisions et l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) ^[27]. Ces services coopèrent avec les autres services de l'Etat (DGSI notamment) et leurs homologues étrangers dans l'identification et la traque des cybercriminels. La législation a évolué pour leur donner les moyens d'agir efficacement, spécialement en exonérant de responsabilité les enquêteurs infiltrant sous pseudonyme les réseaux criminels agissant par la voie des communications électroniques afin de recueillir les preuves nécessaires contre les auteurs de cyberattaques et démanteler ces réseaux^[28] .

Au titre de ces éléments de dissuasion enfin, il convient de rappeler que la politique de la France, imposée à tout acteur, est de ne pas payer les rançons que ce soit en matière terroriste ou en matière de cyberattaque.

Alerter. Face à une cyberattaque, il est urgent d'agir en isolant le virus et protégeant le reste du système afin de préserver les données non infectées au moment de la découverte de l'attaque. Il est dès lors important d'alerter immédiatement les autorités compétentes pour endiguer la propagation et réparer les infrastructures touchées. Si la plate-forme cybermalveillance.gouv.fr a été créée pour assister les victimes d'actes de cybermalveillance, les mettre en relation avec des professionnels en sécurité numérique mais aussi pour informer et anticiper le risque^[29] , elle n'est pas l'interlocuteur opérationnel adéquat pour les établissements de santé. Ceux-ci étant a minima des opérateurs de services essentiels, voire pour certains des opérateurs d'importance vitale^[30] , la réaction doit être immédiate et d'ampleur. C'est pourquoi ils ont l'obligation de notifier à l'ANSSI les incidents de sécurité détectés afin de lui permettre d'apporter une assistance adaptée, d'évaluer rapidement et précisément la menace, d'organiser une réponse collective si nécessaire et d'informer les autres OSE et OIV ainsi que, éventuellement, les Etats partenaires^[31]. Si l'attaque du CHU de Rouen avait souligné certains retards dans la transmission d'alertes et d'éléments techniques sur la menace aux autres CHU^[32], il semblerait désormais que la communication soit quasi immédiate. Ainsi les attaques des centres hospitaliers de Dax ou de Villefranche-sur-Saône ont très rapidement été rendues publiques afin de permettre à tous les établissements de santé de redoubler de vigilance. Afin d'éviter une extension des conséquences de ces attaques, l'ANSSI s'est déployée dès le lendemain de la réalisation de l'attaque afin d'accompagner ces hôpitaux dans l'arrêt de la propagation du virus, la protection des systèmes non atteints puis dans la restauration ou récupération des données saines et la reconstruction des réseaux sécurisés^[33].

Protéger. Pour se prémunir des effets dévastateurs d'une cyberattaque, il est indispensable d'anticiper le risque et de protéger les systèmes d'information ainsi que les données. La protection doit être structurelle en s'appuyant sur la construction d'une architecture sécurisée de l'ensemble du système d'informations. La tâche n'est pas simple dans un lieu aussi ouvert qu'un hôpital où l'ensemble du personnel soignant doit pouvoir accéder aux informations nécessaires au suivi du patient depuis son admission jusqu'à sa sortie et même après. Or chaque connexion au réseau, même interne, est susceptible d'ouvrir une faille dans laquelle une attaque pourra se glisser afin de se propager, immédiatement ou silencieusement pendant plusieurs mois avant d'être déclenchée ou décelée. La vie médicale d'un hôpital nécessite de multiples accès physiques dans l'établissement lui-même et des accès numériques aux données 24h/24 et 7j/7 dans l'intérêt du patient. Ce rappel du caryotype d'un hôpital a de quoi faire blêmir les responsables de la sécurité des systèmes d'information.

Pour s'en tenir aux aspects structurels, il est nécessaire de construire un système sécurisé permettant de dupliquer et compartimenter les données afin d'avoir des sauvegardes saines en temps réel en cas de contamination ou paralysie d'un jeu de données par une cyberattaque. Cela pose la question sensible de l'hébergement des données. L'incendie d'une partie des datacenters d'OVH Cloud en mars 2020 a rappelé, si besoin était, l'importance d'une sécurisation optimale des données et des hébergeurs de données. La législation exige que tout hébergeur de données de santé à caractère personnel soit certifié selon une procédure établie s'appuyant sur un référentiel de certification^[34]. Chaque hébergeur de données de santé certifié fait l'objet d'un audit annuel de surveillance^[35]. L'obtention d'une telle certification, et son maintien, permet d'accroître le niveau de sécurisation des données et des datacenters. Le fait que tous les établissements de santé soient des OSE voire pour certains des OIV a un effet boule de neige vertueuse. En effet, les datacenters certifiés pour accueillir de tels opérateurs seront sécurisés pour toutes les données hébergées augmentant ainsi drastiquement la sécurisation de l'ensemble des données de leurs clients ou adhérents. La protection structurelle contre la menace de cyberattaques est ainsi réhaussée. Relevons ici que le choix de l'hébergeur de données de santé est d'une importance majeure. Nous mentionnerons seulement à cet égard le débat entourant la décision prise de confier l'hébergement des données du Health Data Hub à Microsoft. Créé par la loi en 2019^[36], ce GIP gère une plate-forme destinée à rassembler toutes les données de santé du territoire français aux fins d'exploitation pour la recherche. Cette mine d'informations en matière de santé, certes pseudonymisées, exige une sécurisation maximale. Or le fait de choisir un hébergeur étranger, qui plus est américain et donc soumis au Patriot Act, a été fortement contesté^[37]. Au-delà de l'interrogation sur la stratégie conduite pour effectuer un tel choix, cela alerte a minima sur l'exigence d'une sécurisation des données et de leur hébergement 

Prévenir. Il faut se prémunir contre le risque de réalisation des cyberattaques en agissant sur un autre facteur de fragilité : l'humain. Un système d'informations pourra dresser des verrous perfectionnés pour protéger son fonctionnement et ses données, si l'utilisateur est négligeant alors aucune protection ne résistera. C'est pourquoi la prévention et la formation sont extrêmement importantes pour empêcher les cyberattaques. Dans le milieu médical comme dans la plupart des milieux, il n'existe pas de culture de la sécurité numérique. Alors que la sécurité globale est devenue une obsession quasi collective, des comportements qui seraient incompréhensibles dans la vie quotidienne sont pourtant courants lorsqu'ils ont trait au numérique : répondre à un interlocuteur anonyme, confier ses identifiants dans un formulaire sans vérifier sa provenance, insérer un objet d'occasion dans son domicile pour traiter de sujets sensibles, saisir ses identifiants sans les précautions de visibilité prises pour taper le code de l'alarme de son domicile, transmettre ses codes d'accès à toute personne du service alors que les clefs du domicile ne sont même pas prêtées au voisin, etc. Le comportement adopté par la plupart des personnes physiques sur le réseau peut être déconcertant de légèreté quand on sait la gravité des conséquences qui peuvent en résulter. C'est pourquoi les actions de formation des personnels des établissements de santé et de prévention doivent être une priorité des services de ressources humaines et des facultés de médecine pour augmenter le degré de sécurité de l'ensemble d'un établissement. Les guides de bonne pratique, les fiches pédagogiques prodiguant des conseils sur les gestes à adopter et ceux à éviter se multiplient à l'initiative des agences nationales ou européennes^[38]. Le mouvement ne peut qu'être encouragé même si ces actions de prévention et de formation représentent un coût majeur pour les établissements de santé. Ce coût représente néanmoins un investissement sur leur sécurité qui ne parait pouvoir être négligé.

Une prise de conscience nationale est peut-être à l'oeuvre avec l'annonce par le Président de la République le 18 février 2021 du déploiement de la Stratégie nationale pour la cybersécurité. Il s'agit d'une impulsion bienvenue, qui devra à la fois sensibiliser les acteurs de terrain mais également les écouter, accompagner leurs expériences et les innovations et constructions d'ores et déjà à l'oeuvre.

Notes :

[1] Les auteurs tiennent à remercier vivement Monsieur Stéphane Lefèvre et Madame Charlotte Hammel, respectivement Directeur général adjoint et directrice juridique du GIP MIPIH pour leurs échanges fructueux et constructifs, qui ont permis notamment d'appréhender très concrètement les enjeux pour les établissements publics de santé.

[2] Le blocage des systèmes d'informations, généralement par des chiffrages malveillants, impose une reconstruction des infrastructures informatiques qui peut durer des semaines, voire des mois, prolongeant d'autant la période dite de retour au « papier-crayon ».

[3] Attaque subie le 8 avril 2021

[4] Le ministère de la justice du Land de Rhénanie-du-Nord-Westphalie a reconnu que le décès résultait de cette cyberattaque. 

[5] Voir le rapport de Norton, 2019 Cyber safety insights report Global results.

[6] Voir ANSSI, Cybersécurité, faire face à la menace : la stratégie française, dossier de presse 18 février 2021, spé. p. 7.

[7] Le nombre d'attaques par rançongiciel sur des établissements de santé est passé de 17 cas en 2019 à 27 cas en 2020, ibid., p. 8.

[8] Ibid., p. 8.

[9] Donnée fournie par Philippe Trouchaud, en charge de la cybersécurité chez PWC,

[10] https://www.lesechos.fr/2016/02/des-hackers-prennent-en-otage-le-systeme-informatique-dun-hopital-197403

[11] C'est le ministre de la santé britannique qui a reconnu ces conséquences majeures pour la NHS, v. https://www.zdnet.com/article/this-is-how-much-the-wannacry-ransomware-attack-cost-the-nhs/. Ce virus Wannacry a touché des milliers d'utilisateurs dans le monde profitant de la fuite d'un outil de piratage de la NSA installé sur le système Windows.

[12] Selon des données de l'entreprise spécialisée Emsisoft, citées par l'agence Associated Press

[13] https://www.lemonde.fr/pixels/article/2019/11/26/apres-la-cyberattaque-au-chu-de-rouen-l-enquete-s-oriente-vers-la-piste-crapuleuse_6020609_4408996.html.

[14] Cette entreprise indique traiter 3,5 millions de patients chaque année et emploie près de 90 000 personnes dans plus de 400 établissements de santé aux Etats-Unis

[15] Pour une explication développée des principaux types de cyberattaques

[16] https://www.lemondeinformatique.fr/actualites/lire-l-ap-hp-touchee-par-une-attaque-en-deni-de-service-78531.html.

[17] Les attaques par hameçonnage sont fréquentes en cybercriminalité. Cela consiste à récupérer les identifiants et mots de passe de messagerie en envoyant un formulaire anodin ou falsifié, invitant l'utilisateur à fournir lui-même ses données alors qu'il pense les transmettre à un organisme officiel et ensuite les utiliser de manière frauduleuse.

[18] V. ANSSI Cybersécurité, faire face à la menace, op.cit.

[19] https://www.franceinter.fr/societe/ce-que-l-on-sait-de-la-fuite-sans-precedent-de-donnees-medicales-de-laboratoires-d-analyses

[20] Voir infra

[21] https://www.leparisien.fr/high-tech/la-fin-de-limpunite-la-cyberpolice-francaise-porte-un-coup-severe-a-egregor-et-ses-hackers-ukrainiens-18-02-2021-6BZMHTLC7JCIZLJ26CS5TRUCF4.php.

[22] Inscrit dans le « nouveau plan d'action national des systèmes d'information hospitaliers à 5 ans ».

[23] Dans le cadre du programme « Ma santé 2022 », le gouvernement avait identifié cinq orientations pour « accélérer le virage numérique », dont le déploiement de services numériques dans l'hôpital et de plateformes numériques au niveau national.

[24] C'est la Convention sur la cybercriminalité, dite convention de Budapest, adoptée en 2001 sous l'égide du Conseil de l'Europe. Les conventions internationales de coopération contre les menaces criminelles en général peuvent trouver à s'appliquer mais ne sont pas adaptées aux moyens spécifiques de perpétrer les cyberattaques.

[25] V. respectivement les articles 323-1, 323-2, 323-3 et 323-7 du code pénal.

[26] v. https://www.gendarmerie.interieur.gouv.fr/pjgn/scrcgn/le-centre-de-lutte-contre-les-criminalites-numeriques-c3n.

[27] https://www.police-nationale.interieur.gouv.fr/Organisation/Direction-Centrale-de-la-Police-Judiciaire/Lutte-contre-la-criminalite-organisee/Sous-direction-de-lutte-contre-la-cybercriminalite.

[28] V. article 230-46 du code de procédure pénale créé par la loi n° 2019-222 du 23 mars 2019.

[29] C'est le GIP ACYMA, créé en 2017, qui gère cette plateforme

[30] V. supra

[31] Voir le site de l'ANSSI ainsi que l'arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.

[32] V. https://www.lemonde.fr/pixels/article/2019/11/26/apres-la-cyberattaque-au-chu-de-rouen-l-enquete-s-oriente-vers-la-piste-crapuleuse_6020609_4408996.html.

[33] V. ANSSI Cybersécurité, faire face à la menace, op.cit. p. 11.

[34] V. article L.1111-8 du code de la santé publique.

[35] https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante.

[36] Loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé (art.41).

[37] https://www.bfmtv.com/tech/health-data-hub-l-assurance-maladie-se-prononce-contre-l-hebergement-des-donnees-de-sante-par-microsoft_AD-202102220235.html.

[38] Voir notamment les Lignes directrices pour la cybersécurité à l'hôpital adoptées en 2020 par l'Agence de l'Union européenne pour la cybersécurité (www.enisa.europa.eu) ou les bonnes pratiques diffusées sur cybermalveillance.gouv.fr.