Sur le terrain, les établissements se penchent sur la question depuis les premières cyberattaques. Le CHU de Brest avait défrayé la chronique en mars 2023. Une attaque en cours avait été détectée et grâce à la réactivité des équipes, le SI avait été coupé d’internet ce qui avait bloqué l’exfiltration de données et le chiffrement du système d’information. Un mode dégradé avait permis le suivi et la prise en charge des patients. Six mois après les faits, « nous avons publié avec l’Anssi un rapport décrivant le mode opératoire des cybercriminels », rappelle Jean-Sylvain Chavanne, RSSI du CHU et du GHT Bretagne occidentale. Depuis cette attaque, plusieurs mesures ont été prises. « Des procédures ont été formalisées pour pouvoir isoler le CHU d’internet très rapidement, pour le sanctuariser », décrit Jean-Sylvain Chavanne. Parallèlement, un mode de fonctionnement dégradé a été prévu, entre autres grâce à des équipements munis de clés 4G pour pouvoir piloter les pompes à insulines à distance quand les patients sont à domicile.
Sur le terrain, tous les établissements n’ont pas la même maturité. Pour monter en compétence, des projets émergent, entre autres pour sécuriser les flux liés aux IoT médicaux. Vincent Trély décrit : « Quelques 150 éditeurs et fabricants d’équipements médicaux demandent un accès par internet, des flux légitimes pour monitorer leurs outils, connaître leur utilisation, assurer leur maintenance…. Ils devraient tous passer par un bastion pour éviter leurs compromissions. » A Brest, ces flux sont déjà surveillés, « pour éviter toutes exfiltration de données personnelles et tout risque d’attaque », souligne Jean-Sylvain Chavanne. Une tâche conséquente. Le CHU compte environ 20 000 équipements médicaux connectés (seringues, échographes, scanners…). « Nous avons reçu récemment un exosquelette connecté, ajoute Jean-Sylvain Chavanne en souriant. Il ajoute : « Nous exigeons le respect de points en matière de cybersécurité dans les appels d’offres et dans les contrats passés avec les fournisseurs d’équipements.» Une exigence pas toujours évidente à faire passer. « Les fabricants argumentent parfois que leur métier est automaticien et non informaticien, détaille le RSSI. Lors de la faille sur log4j, nous avons eu un peu de mal à identifier les équipements concernés. » Vincent Trély questionne plus globalement : « Comment des groupes comme Philips, Siemens ou encore GE peuvent-ils encore proposer des équipements pas complètement sécurisés sur le plan IT ? » Outre les IoT, le reste du SI du CHU est protégé avec des outils classiques (pare feu…) et les postes de travail sont équipés d’EDR.
Des pratiques à revoir
Au-delà des outils et de la DSI, la cybersécurité, certainement encore plus dans les hôpitaux qu’ailleurs, est beaucoup une question d’organisation et de sensibilisation des utilisateurs. « Les équipes travaillent déjà dans le stress. Alors, faire comprendre aux urgentistes la nécessité d’éteindre les ordinateurs n’a pas été évident », se souvient Vincent Trély, en tant qu’ex-DSI du CHU de Nantes. Pas plus que de faire passer les mots de passe de 8 à 12 caractères. » Depuis, poussée également par la réglementation, l’hygiène informatique a progressé. Des actions de sensibilisation et des exercices de crise avec le personnel sont régulièrement organisées. « Nous définissons aussi avec les professionnels de santé le minimum vital numérique par exemple pour réaliser un accouchement presque sans IT, décrit Jean-Sylvain Chavanne. Ils sont capables de prendre en charge les patients sans numérique, surtout bien sûr, les plus anciens. »
Autre évolution, sur le plan de l’organisation, le RSSI ne dépend pas du DSI mais du DGA au CHU de Brest. « La moitié du travail d’un RSSI est d’empoisonner celui du DSI. De plus, il doit travailler avec tous les services de l’hôpital sans avoir pour autant de rôle hiérarchique. D’où la nécessité de ne pas dépendre directement du DSI et d’être épaulé par la direction. Au sein de l’Apssis, nous préconisons de le rattacher au DGA ou au Codir », justifie Vincent Trély. Pas de doute, malgré tous les freins, la cybersécurité est devenue un vrai sujet ‘médical’.
Commentaire