Santé : une pratique de la cybersécurité encore difficile à qualifier

Le ministère des Solidarités et de la Santé a lancé, ce jeudi 28 novembre, une campagne sectorielle de sensibilisation aux enjeux de cybersécurité. Cela pouvait difficilement mieux tomber : le CHU de Rouen a dû fonctionner au ralenti durant quelque temps, à la suite d’une compromission par rançongiciel. Le groupe Ramsay Générale de Santé (GdS) a connu la même mésaventure dans le courant de l’été. La situation globale, sur le terrain, apparaît loin d’être rassurante.

Le dossier de presse publié pour le lancement de la campagne nationale l’indique lui-même, en filigrane, avec force euphémismes. On peut ainsi ici lire que « les 3 036 établissements de santé présents sur tout le territoire sont loin de présenter la même compréhension des problématiques de sécurité numérique ». Et si « une partie d’entre eux ont déjà élevé leur niveau d’alerte et construit leurs dispositifs de réaction », on ne saura rien de ce qu’il faut effectivement comprendre à travers ces termes.

Un indice, peut-être : Rémi Heym, directeur de la communication du CHU de Rouen, assurait récemment à nos confrères de TIC Santé, qu’aucune nouvelle mesure de protection n’était à l’ordre du jour. Selon lui, l’établissement est « déjà à un très haut niveau de sécurité ». Tout au plus, à l’entendre, faudra-t-il « mettre des coups de tournevis à droite, à gauche, vérifier quelques paramètres ». L’argument ne convainc pas forcément : détecter un ransomware à son déclenchement relève de l’évidence. Et survient trop tard.

Et justement, la détection est essentielle, mais n’a rien d’évident. Un consultant spécialisé l’assure ainsi : « qu’il y ait des incidents non détectés, il n’y a absolument aucun doute à ce sujet ». Et les raisons à cela ne manquent pas, entre priorités – notamment à la disponibilité des données – et ressources : « faire matcher budget et [sécurité des systèmes d’information] “basique” dans le secteur de la santé, c’est déjà parfois un cauchemar, donc parler SOC/SIEM, gestion efficace des tickets, et détection des incidents de sécurité, pour certains, c’est stratosphérique, hélas ».

Le sujet n’est pas nouveau. En juin 2018, à l’occasion de la publication des résultats d’une étude du Club de la sécurité de l’information français (Clusif) sur les menaces et pratiques de sécurité en France, Rémi Tilly, RSSI du groupement de coopération sanitaire (GCS) Sesan, le relevait ainsi : « oui, il est possible que certains établissements subissent des attaques dont ils n’ont aucune connaissance », et « les fuites de données, s’il y en avait, beaucoup ne sauraient pas trop les voir », faute de centre de sécurité opérationnelle (SOC) ou même de consolidation des journaux d’activité, « du moins dans un nombre suffisant d’établissements ».

Pour autant, depuis l’automne 2017, les établissements de santé doivent déclarer « sans délai » les incidents de sécurité dits « graves », à savoir ceux qui ont « des conséquences potentielles ou avérées sur la sécurité des soins », « la confidentialité ou l’intégrité des données de santé », ou encore « portant atteinte au fonctionnement normal de l’établissement, de l’organisme, ou du service ». Mais comment signaler ce que l’on ne détecte pas… ou ce que l’on ne veut pas déclarer de peur de ternir son image ?

Le problème est évoqué par le dossier de presse du ministère. On peut ainsi y lire qu’entre « 10 et 15 % des établissements ont établi des déclarations et, en proportion, ce sont les établissements publics qui sont le plus enclins au signalement des incidents ». La faute, notamment, à la crainte d’atteintes à l’image.

Dès lors, pour beaucoup, le chiffre avancé officiellement ne représente qu’une petite part émergée de la réalité : 478 déclarations en 18 mois, depuis octobre 2017. Dans les colonnes de TIC Santé, l’ASIP Santé évoque un total de 693 incidents. Et cela laisse entrevoir une accélération significative : pendant 18 mois, il fallait compter sur 27 signalements par mois en moyenne ; au cours des six derniers mois, on serait ainsi passé à près de 36 par mois. Las, à ce stade, il est impossible de mettre cela en parallèle de l’évolution du nombre des déclarants, faute notamment de rapport plus précis comme celui qui avait été publié à l’automne 2018.

L’Agence nationale pour la sécurité des systèmes d’information (Anssi) n’a pas vocation à intervenir à chaque incident. Et cela d’autant plus que si certains établissements ont vocation à être identifiés comme opérateurs de services essentiels (OSE), ce n’est pas forcément encore le cas puisque le premier lot, tout récent, ne compte que des opérateurs d’importance vitale (OIV).

Accessoirement, selon diverses sources, l’Anssi apparaît confrontée à une période particulièrement difficile, entre crise de croissance génératrice de rigidités malgré les bonnes volontés, et volume des incidents. Un contexte dans lequel le tout récent départ de son coordinateur sectoriel « santé, société », Bernard Cassou-Mounat, n’est pas totalement passé inaperçu.