Vers un plan cyber RH attractif ?

« Les hospitaliers ont été plus bienveillants et dociles qu'agressifs car ils ont compris qu'il s'agissait d'une cyberattaque. Ils ont pris conscience d'un arrêt total qui va durer des semaines, voire plusieurs mois, avec à la clef des risques de pertes de chance pour les patients », raconte Nicolas Terrade, RSSI du CH de Dax le 7 avril 2022, en guise de Retex de la cyberattaque du 10 février 2021. En fait, la question n'est pas de se demander s'il est possible d'échapper à une attaque, mais plutôt quand elle arrivera, racontent la plupart des experts cyber. Cela permet au moins de déculpabiliser les acteurs impactés (voir notre article sur les retex).

Sur le terrain, même si le nombre de déclarations a augmenté de 50 % de 2021 à 2022, le nombre d'incidents a baissé de 20 %, selon le Cert Santé. Dans le détail, les attaques par rançongiciels qui sont les plus impactantes pour les hôpitaux, sont aussi en diminution de 49 % (46 % selon l'Anssi). Faut-il s'en réjouir ? Pas vraiment, les dégâts sur les systèmes d'information hospitaliers (SIH) sont toujours aussi conséquents. « Suite à la reprise forte des attaques par rançongiciels à la fin de l'année 2022, ces établissements ont été victimes d'un chiffrement massif de leur SI qu'il a fallu ensuite reconstruire », analyse Emmanuel Sohier (Cert santé). Quant aux failles recensées, il s'agit de mails frauduleux, des exploitations de vulnérabilités connues, mais pas corrigées, souvent sur des systèmes d'accès à distance (VPN) avec des mots de passe faibles. Conséquence double, « le Cert Santé a été beaucoup plus sollicité sur des signaux faibles de comportements malveillants. Ce qui nous a permis d'intervenir pour neutraliser des attaques en cours », commente Emmanuel Sohier. Autre incidence, le ministère de la Santé réalise des actions massives importantes pour aider les établissements à renforcer la sécurité de leur SI.

Depuis décembre en effet, les pouvoirs publics se mobilisent notamment avec les fédérations hospitalières dans le cadre d'une taskforce, afin de construire une feuille de route, qui sera publiée courant juin 2023. Selon Auriane Lemesle, référente régionale cybersécurité au GRADeSPays de la Loire, et membre de la taskforce, « les montants consacrés à ce plan sont en cours d’instruction et d’arbitrage, avec la volonté d’augmenter très sensiblement les moyens consacrés au global par les établissements à la cyber, de façon à franchir collectivement un palier de maturité sur les quatre prochaines années ». Le plan concernera les établissements publics et privés. « Ce plan va dans la droite ligne de ce que j’avais proposé lorsque j’étais en poste. À la différence près qu’il va enfin faire comprendre que la partie RH est la plus importante, ainsi que le maintien en conditions opérationnelles et de sécurité », analyse Philippe Loudenot, ancien fonctionnaire à la sécurité des SIH partie travailler pour une start-up française Bluefiles. Auriane Lemesle va dans le même sens : « Les besoins en RH ont été remontés par l’ensemble des acteurs avec la nécessité d’un financement sur la durée permettant aux établissements d’avoir la visibilité nécessaire pour effectuer les recrutements et de contractualiser avec les différents industriels. » Mais l’experte reste lucide. Selon elle, des hôpitaux subissent la dette technique accumulée depuis des années et devront franchir une marche plus haute en raison du manque d’investissements réguliers.

Quant à Nesrine Benyahia, fondatrice et présidente de DrData, qui accompagne les établissements dans leur conformité RGPD et le privacy by design, elle « salue cette prise de conscience des pouvoirs publics, qui vient un peu tard. Il faudrait venir en prévention et pas forcément en réaction. Nous sommes toujours en train de rattraper notre retard ». L'experte préconise de faire en sorte d'inscrire ces hausses de budget dans le long terme dans le cadre d'une véritable stratégie mise en place de bout en bout entre le DSI, le RSSI, le DPO, les directions métier et la direction générale. Elle en témoigne dans le cadre de la procédure de certification des hébergeurs de données de santé, où ces établissements sont mieux organisés, plus sensibles à ce sujet et ont un niveau de RH dédié plus étoffé.

Christophe Guéguen, consultant sécurité et cybersécurité chez Magellan Partners, souligne l'ampleur du chantier à mener, avec des difficultés de moyens, d'obsolescence, d'intéractions dans le monde hospitalier, « où un certain nombre de portes ne sont pas toutes sécurisées au même niveau, avec des éléments qui mettent du temps à être corrigés ». Selon cet expert, le Ségur de la santé en 2022 a permis d'évaluer le niveau de sécurité des infrastructures hospitalières afin de trouver les portes d'entrées potentielles des hackers et d'y apporter des plans de sécurisation. Et d'insister sur l'obligation de résilience future des hôpitaux pour échapper au maximum aux attaques. 

Les moyens financiers accordés dans le cadre de ce plan seront-ils suffisants ? Cela dépendra de la façon dont ces budgets seront fléchés. Selon Auriane Lemesle, l’ambition serait, à terme, de concevoir un « forfait numérique » récurrent dédié au numérique sous conditions d’atteinte d’objectifs qui constitueraient un « socle numérique et cyber » afin notamment d’« éponger la dette technique ». Depuis fin 2022, l’Observatoire national de la sécurité des SI demande aux établissements de santé d’auto-évaluer leur niveau de maturité selon 43 critères dits prioritaires, afin de dresser un état des lieux. « À terme, l’objectif est de pouvoir orienter les politiques publiques à l’amélioration des points (objectivés en particulier à travers cet observatoire) qui pêcheraient le plus en allouant à bon escient les fonds publics. L'ARS disposera d'une vue régionale et elle pourra, avec l'appui du GRADeS, cibler les accompagnements pour lever les points durs », explique Auriane Lemesle. Dans cette optique, une instruction de la DGOS fin 2022 a été envoyée à tous les établissements de santé, pour application avant le 15 avril. Ainsi, le ministère courant mai 2023 disposera d'un premier état des lieux de maturité.

Au-delà de la question de l'argent, c'est bien aussi par le côté organisationnel et des groupements hospitaliers de territoire (GHT) que les pouvoirs publics comptent apporter un peu d'air aux RSSI, à savoir embaucher des binômes de RSSI. Selon Philippe Loudenot, « la mise en place d'un tel dispositif va permettre de faire un bond en avant ». Christophe Gueguen abonde dans ce sens. « Il faut avoir des systèmes mutualisés avec des experts plus spécialisés qui peuvent être appelés en seconde ligne. » En synthèse, il y aura des RSSI plus opérationnels et d'autres plus axés sur la gouvernance. En tout cas, l'apport d'expertise sur le terrain va permettre de réduire les risques psycho-sociaux dont sont victimes ces professions.

Quant aux établissements supports des GHT, ils ont été nommés opérateurs de service essentiels (OSE)* depuis la directive Network Information Security (NIS) de 2016, transcrite dans le droit français en 2018, qui impose à ces établissements un niveau de sécurité beaucoup plus important. Alors que les textes pour leur mise en place sont bien validés, ils doivent être désormais déclinés sur le terrain au niveau local, selon Christophe Gueguen. L'ANSSI qui supervise cette mise en œuvre n'a pas répondu aux sollicitations de la rédaction. Selon Philippe Loudenot, chaque pays va décliner la directive NIS à sa patte. L'expert s'interroge : « J'espère que la France ne fera pas du franco-français, saura raisonner à l'échelle européenne et également incorporer le volet cyber sur les textes régissant les dispositifs médicaux . » Et de s'interroger sur l'interlocuteur français qui s'emparera du sujet au niveau communautaire pour la France. Une seule personne à l'ANSM sait le faire. Les pouvoirs publics sauront-ils donner l'impulsion nécessaire ?

* opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.