Cybersécurité dans le monde de la santé : « ça n’avance peut-être pas assez vite, mais ça avance »

La prise en compte de la cybersécurité dans le secteur de la santé progresse. Mais trop lentement, semble-t-il. L’édition 2018 de l’étude du Club de la sécurité de l’information français (Clusif) sur les menaces et pratiques de sécurité en France met en lumière des avancées, mais elle est loin de dresser un bilan pleinement réjouissant. Celui-ci est basé sur un échantillon de 127 hôpitaux et 24 structures d’hébergement médicalisé de plus de 100 lits.

Le premier point est assurément positif : la fonction RSSI est identifiée et attribuée à 80 %. Cette proportion atteint même 90 % à population comparable avec l’étude de 2014. Mais la part était là limitée à 60 %. La progression apparaît donc pour le moins significative. Lorsqu’elle est attribuée, cette fonction est même occupée à plein temps pour 47 % des établissements (à isopérimètre, 58 % en 2018 contre 26 % en 2014, précisent les auteurs). Dans 44 % des cas, la fonction RSSI est mutualisée entre plusieurs établissements.

Entre hébergements médicalisés et hôpitaux de moins de 1000 lits, le RSSI est majoritairement rattaché à la direction générale. Dans les établissements de plus grande taille, il réfère très largement à la DSI. Les établissements de santé étudiés disposent en outre très majoritairement d’une politique de sécurité de l’information, qui plus est, mise à jour il y a moins de trois ans. Et les directions générales apparaissent généralement bien impliquées dans leur élaboration. Les RSSI du monde de la santé bénéficient en outre majoritairement d’au moins une personne ou deux personnes pour s’entourer.

Mais ces politiques de sécurité sont-elles bien inscrites dans le réel ? Pas sûr. Seuls 51 % des hôpitaux étudiés et 20 % des organismes d’hébergement médicalisé ont inventorié toues les risques les concernant. Et l’analyse formelle de ces risques « n’est réalisée que par 41 % des établissements ayant effectué un inventaire au moins partiel de leurs risques, avec une plus forte proportion pour ceux ayant effectué un inventaire complet ».

Rémi Tilly, RSSI du groupement de coopération sanitaire (GCS) Sesan, qui travaille en collaboration avec l’Agence régionale de santé IDF pour le développement des SI de santé, pour ses adhérents, n’observe pas autre chose sur le terrain. Interrogé en dehors du contexte de l'étude du Clusif, mais sur le même thème, il l'indique : « on commence à avoir un peu plus de RSSI dans les établissements. La prise de conscience est réelle. Les choses avancent ». Mais pas forcément assez vite.

Selon l’étude du Clusif, 76 % des établissements sont aujourd’hui dotés d’une cellule de gestion des incidents. Mais encore faut-il savoir les identifier. Des infections par ransomware, ça ne passe pas inaperçu. Mais une fuite de données, c’est plus discret. Alors pour Rémi Tilly, « oui, il est possible que certains établissements subissent des attaques dont ils n’ont aucune connaissance », et « les fuites de données, s’il y en avait, beaucoup ne sauraient pas trop les voir », faute de centre de sécurité opérationnelle (SOC) ou même de consolidation des journaux d’activité, « du moins dans un nombre suffisant d’établissements ».

Surtout, relèvent les auteurs de l’étude du Clusif, il n’y a de collecte des incidents liés à l’informatique des équipements biomédicaux que chez un sondé sur deux… « ce qui doit être une source de préoccupation et de vigilance forte ».

Mais alors, qu’est-ce qui empêche d’avancer plus vite ? Le manque de budget et de personnel qualifié, selon l’étude du Clusif. Tant pis si 81 % des sondés se disent dans l’incapacité d’identifier leurs coûts de sécurité de l’information, 52 % estiment manquer de budget, et 43 % de personnel qualifié. Rémi Tilly ajoute à cela des manques de volonté dans certains établissements : « nous avons apporté à certains établissements des solutions de sécurité packagées, où tout était fourni, gratuitement, à part un peu de temps homme localement pour déployer. Même là, on a eu des difficultés ». Et de résumer : « Certaines équipes IT sont volontaires et avec certains établissements, ça se passe très bien. Et d’autres, ça n’avance pas ». Alors le déploiement de « quelque chose d’efficace, qui pourrait se faire en quelques jours » peut se voir repoussé durant des mois, sinon plus.

Et tout cela n’est pas sans créer des risques au-delà d’établissements isolés. Pour Rémi Tilly, « clairement, oui, jusqu’ici, on a eu de la chance », estime-t-il, du fait que le secteur de la santé ne soit pas encore particulièrement visé en France, ou pas encore largement interconnecté. Mais ce point-là est en pleine évolution et la crainte du RSSI du GCS Sesan est alors simple : qu’un petit établissement vulnérable soit compromis et que la menace se propage bien au-delà… Comme le veut l’adage, régulièrement répété en sécurité informatique, la chaîne n’est jamais aussi solide que son maillon le plus faible. Et cela, que l’on touche à un autre domaine de la sécurité informatique du secteur de la santé : la médecine libérale, et ses cabinets qui constituent autant de TPE.

La « complexité » du sujet est là bien connue dès qu’il s’agit de déployer une solution informatique, qu’elle soit liée à la sécurité ou non, auprès de ces populations. Ce n’est d’ailleurs probablement pas un hasard si le Conseil national de l’ordre des médecins et la Cnil viennent de publier un guide pratique à l’intention des médecins sur le RGPD. Et justement, pour les auteurs de l’étude du Clusif comme pour Rémi Tilly, le règlement général de protection des données est porteur de promesses : « il peut aider à faire passer des messages, même si c’est un travail de longue haleine ». La mutualisation apportée par les GHT peut également aider à ce niveau, notamment dans le but de répondre aux exigences réglementaires. Cependant, le chemin à parcourir paraît encore long.