Lundi 26 avril 2021
Article de Maître Pierre CRAPONNE, Avocat Associé & DPO certifié, et Maître Domitille FLAGEUL, Avocate collaboratrice
En pleine pandémie mondiale de la Covid 19, les hôpitaux sont devenus la proie privilégiée des cybercriminels pour obtenir des fonds en contrepartie du déchiffrement des données de santé prises en otage : ces « ransomware » sont une vraie cyber-pandémie pour les établissements de santé.
Alors que les données de santé, tout comme les données à caractère ethnique, racial, philosophique ou religieuse, sont des données sensibles voire « ultra-sensibles », la France dénombre au moins une cyberattaque par semaine depuis le début de cette année 2021 au sein des établissements de santé.
L’exploitation des faiblesses informatiques et organisationnelles par les hackers
Tel a récemment été le cas de l’hôpital de Dax dans la nuit du 9 au 10 février 2021, du centre hospitalier de Villefranche-sur-Saône – Tarare – Trévoux Nord-Ouest une semaine plus tard ou encore de l’hôpital d’Oloron Sainte-Marie le 8 mars 2021.
Mais pourquoi s’attaquer à des hôpitaux qui sont déjà totalement submergés par leurs obligations premières dans cette terrible crise sanitaire ?
La réponse est dans la question : l’attaquant sait qu’il aura plus de chance de voir aboutir sa demande de rançon par un hôpital qu’une entreprise du secteur tertiaire au vu du besoin critique de continuité d’activité des établissements de santé, la finalité étant la santé des patients.
Les conséquences d’une cyberattaque ne sont pas neutres pour les hôpitaux qui subissent de plein fouet un double impact : un impact économique et un impact vital.
En s’infiltrant dans les systèmes d’informations des hôpitaux, les hackers s’introduisent frauduleusement dans les bases de données de l’établissement et peuvent accéder aux données, les extorquer, voire modifier ces contenus sensibles.
A titre d’exemple, la cyberattaque menée contre le centre hospitalier de Dax-Côte d’Argent a impacté le fonctionnement de l’hôpital, rendant notamment inaccessible les dossiers médicaux numériques des patients aux professionnels de santé et compliquant (le mot est faible) la prise en charge des patients.
Le suivi patient et l’interopérabilité ne sont pas les seules conséquences d’une cyberattaque hospitalière puisque les établissements se voient également contraints de déprogrammer des opérations chirurgicales et de réorienter les patients vers d’autres hôpitaux de la région dans l’attente de recouvrer la gestion pleine et entière de leurs systèmes d’informations.
L’urgence d’une réaction du secteur de la santé VS le coût financier et humain
Face à l’augmentation des attaques cyber en milieu hospitalier, Emmanuel MACRON a promis le jeudi 18 février 2021 de mettre en place un plan à hauteur d’un milliard d’euros pour renforcer, ou aider à renforcer, la cybersécurité des secteurs sensibles.
Cette mesure devrait notamment se matérialiser par l’accompagnement régulier d’agents de l’Agence nationale de sécurité des systèmes d’information (ANSSI) sur place et la mise en place d’audits de sécurité réguliers et courants.
Une réponse économique suffira toutefois-t-elle à endiguer cette cyber-pandémie ?
Certains pensent à un retour au « tout papier » comme solution de repli …
Difficile dans un monde 2.0 (voire 3.0) qui vit à l’ère du numérique et ne peut se résoudre à ralentir le système de prise en charge des patients toujours plus sollicité.
Cette « solution » apparait d’autant plus délicate alors que les contraintes en termes de conformité et de sécurité (physique cette fois) restent présentes.
Quel meilleur exemple que le récent incendie des serveurs OVH : un tel incendie entraîne une paralysie de l’activité au même titre qu’une cyber-attaque avec les mêmes conséquences en termes de pertes de données …
Les solutions parfaites ne sont pas de ce monde, a fortiori en matière de cybersécurité sur un secteur aussi sensible que la santé.
Toutefois, il existe des moyens, souvent sous-estimés, de réduire ces cyber-risques de manière considérable.
La première étape tient à une sensibilisation de chaque opérateur en interne à ces cyber-risques : la principale cause de ces derniers étant l’erreur humaine.
Le plan de financement de l’Etat pourrait ainsi permettre de généraliser des campagnes de sensibilisation voire de formation à ces problématiques et ce afin de concilier les impératifs d’urgence des établissements de santé et les réflexes à avoir pour préserver l’intégrité des données.
La seconde étape, plus technique, relève de la sécurité des systèmes d’informations eux-mêmes.
Si les établissements ont conscience de l’importance de cette cybersécurité, les moyens et le temps font souvent défaut pour sa mise en place et il est important que ce véritable chantier numérique soit supervisé par une personne unique (généralement le DPO) pour assurer une cohérence globale sans perte d’efficacité.
La dernière étape tiendrait à la souscription de polices d’assurance cyber qui ont pour intérêt non seulement de réparer les dommages subis (directement ou via des recours en responsabilité), mais aussi et surtout de proposer systématiquement des garanties d’assistance afin d’endiguer au plus vite toute cyber-attaque et de rétablir l’activité dans les meilleurs délais.
L’heure est donc à la résilience dans le monde de la santé qui ne peut plus s’affranchir d’une mise en conformité (et en sécurité) drastique et ce à tous niveaux (en témoignent les récentes sanctions de la CNIL contre 2 médecins libéraux pour défaut de sécurité[1]).
La prise de conscience de la réalité des cyber-risques dans le monde de la santé est donc réelle, malgré elle.
Mais comment concilier nécessité sécuritaire et contraintes de ressources (financières et humaines) ?
On sait que certains établissements de santé auront du mal à joindre les deux bouts et ajouter un tel coût tout en mobilisant des équipes pour ce faire pourrait s’avérer lourd pour eux.
Le plan de financement annoncé par le Président de la République pourrait lever certaines de ces contraintes et enclencher une véritable démarche en ce sens.
A bon entendeur !
[1] https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins