1,2, 3 Questions – Nesrine Benyahia

Nesrine Benyahia, docteur en droit, présidente et co-fondatrice de DrData SAS

Combien d’établissements de santé ont-ils été victimes de cyberattaques ?
Le secteur de santé est la cible de 11 % des attaques informatiques. Il se trouve dans le top 3 des secteurs victimes de violation des données or les établissements de santé sont des opérateurs de service essentiels.

En 2020, nous avons compté 27 attaques d’établissement de santé et 369 accidents déclarés.  Les hackeurs privilégient les moments où l’organisation est la plus vulnérable, quand les équipes sont occupées à autre chose, que les services informatiques sont davantage ouverts, quand vous gérez déjà une crise… à laquelle s’ajoute celle-ci. Depuis le début de l’année 2021, une attaque a lieu par semaine. La majorité des violations sont d’origine externe mais elles peuvent être aussi d’origine interne soit à l’initiative de personnes malveillantes, soit être accidentelles. Elles sont parfois massives, parfois ciblées sur une région. Plus que les données bancaires, les données de santé ont une forte valeur sur le dark web. Un dossier médical est revendu entre 300 et 3 000 dollars, des données massives sont alors achetées pour alimenter des bases de données non licites.

Au niveau mondial, le coût des violations de données s’élève à presque 4 millions de dollars dont 7 millions pour le secteur de la santé. La durée moyenne d’une violation qui n’est pas maîtrisée dès le départ s’élève en moyenne à 280 jours, puis une année est ensuite nécessaire pour remettre tout à sa place, selon les études récentes publiées.

Faut-il développer une démarche d’hygiène informatique ?

Les établissements de santé ont une forte dépendance au numérique et ne savent plus travailler en mode papier, ce sont donc des organisations fragiles. En Allemagne, un patient est décédé des conséquences d’une cyberattaque. Les dommages sont des pertes de données, des pertes financières mais aussi des dommages corporels incluant des décès. Les incidents concernent un accès illégitime aux données, une atteinte à leur intégrité, ou leur disparition qui est un préjudice aussi pour les patients qui peuvent faire des actions sur ce point depuis 2018 sur la base d’une action de groupe.

L’hygiène informatique est essentielle. Sur le terrain, nous constatons des manquements aux règles de sécurité souvent induits par l’urgence liée au quotidien des professionnels de santé ou à un manque de vigilance. L’origine de l’incident peut également provenir d’une mauvaise manipulation, d’une négligence ou d’une faute d’un prestataire. D’où l’intérêt de maîtriser les sous-traitants, les éditeurs de logiciels et de contractualiser avec eux conformément au RGPD, ainsi que de superviser les traitements de données personnelles.

Quels sont les grands principes pour se prémunir d’une cyberattaque ?

Le risque 0 n’existe pas et vous ne serez jamais prêts à 100 % le moment où cela arrive. Toutefois, pour s’en prémunir et prévenir le risque, il faut compter sur l’engagement de la direction sur ce sujet, disposer d’une gouvernance claire et d’un budget.

La première question à se poser est : disposez-vous d’une cartographie des flux ? D’où viennent les données des patients et du personnel, où partent-elles, avec qui, par quels moyens ? Ensuite, il faut mettre en place des plans de sauvegarde extérieure tous les jours, de chiffrer les données pour vous permettre de récupérer vos données assez rapidement et de faire des restaurations. Ce sont des plans appelés de gestion de désastre qui comprennent les réactions à avoir et les actions préventives à mettre en place. Qui fait quoi ? Il faut réfléchir et agir vite.

Quelles sont les mesures à adopter, puis comment poursuivre en mode dégradé, ainsi conserver un strict minimum de papier sous clef s’avère utile dans certains cas. Identifier l’origine de l’attaque est essentiel pour éviter de réduire le risque de revivre la crise. L’incident déclaré, il est important de le qualifier dans les 72 heures : en connaître les origines, l’impact, les incidences, etc. L’incident concerne-t-il la confidentialité, l’intégrité des données ou leur suppression ? Avec le bon contrat, le sous-traitant éventuellement concerné par la violation de données personnelles doit vous donner les éléments sous les 24/48h maximum. Selon l’attaque, une notification doit être faite à la CNIL, et aux patients si le risque est élevé, et une plainte au commissariat évidemment déposée par l’établissement.

Il ne faut pas avoir peur de partir d’une feuille blanche, et avoir comme objectif de trouver des solutions peu compliquées mais qui s’appliquent. Vous connaissez mieux que personne votre établissement, ainsi que vos équipes.

Il s’agira également de disposer d’un service informatique régulièrement formé, d’un délégué à la protection des données disponible, et de disposer d’une cyberassurance en étant attentifs aux garanties, comme celle de disposer d’une aide technique dans les 2 heures. Et surtout, ne pas céder au paiement de rançon.

Les lignes directrices vous sont données par l’ENISA, l’agence de l’Union européenne pour la cybersécurité, qui détaille les process à mettre en place et le niveau de vigilance à avoir (Procurement Guidelines for Cybersecurity in Hospitals, February 2020).

Des aides existent, 350 millions d’euros sont prévus en France pour financer le renforcement de la cybersécurité des structures de santé dont 25 millions pour réaliser des audits. Les ressources se déploient au niveau national, notamment par la dynamique des agences concernées, telles que l’ANSSI, l’ANS par exemple.