La cybersécurité concerne désormais toutes les activités humaines ; tout particulièrement ciblé par les cyberattaques, le domaine de la santé est en premier lieu visé. Dans un rapport en date du 22 février 2020, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a ainsi fait un constat sévère de « l’état de la menace cyber sur les établissements de santé ». En effet, les hôpitaux détiennent des données de santé particulièrement sensibles qui font l’objet de convoitise par des acteurs crapuleux liés à la cybercriminalité. L’interconnexion croissante des réseaux et les besoins de dématérialisation exposent davantage les systèmes d’information à des cyberattaques par rançongiciel et donc à des compromissions de données, en dépit des renforcements prévus pour les OIV et les OSE.
En effet, la mise en défaut de ces systèmes est susceptible d’impacter fortement l’activité de l’ensemble des acteurs du secteur et le parcours de soins des patients. La sécurisation des systèmes d’information (SI) des établissements de santé devient de facto une préoccupation majeure.
L’état de la menace
Depuis deux ans environ, il est constaté une augmentation significative des cyberattaques visant les établissements hospitaliers publics (AP-HP et autres CHU) ou privés (cliniques, maisons de santé) compte tenu des données médicales sensibles et convoitées dont ils sont détenteurs. La période de Covid-19 n’a pas fait exception à la règle, bien au contraire. Les hôpitaux de Caen (avril 2020), Dax (février 2021), Albertville (décembre 2020) et Oloron-Sainte-Marie (mars 2021) et bien d’autres encore ont été paralysés ; d’autres le seront très certainement encore dans un bref avenir.
A lire également : Les laboratoires pharmaceutiques n’échappent pas aux cyberattaques
Plusieurs rapports, parmi lesquels le Cyber Threat Handbook, soulignent d’ailleurs cette augmentation de cyberattaques dans le secteur médical avec des incidences graves en termes de santé publique puisque les services d’urgence peuvent être paralysés et entraîner des risques vitaux pour des patients. Selon l’Agence des systèmes d’information partagés de santé (ASIP santé), 500 incidents ont été référencés depuis 2017. 88 % touchent les établissements de santé, 6 % les structures d’accueil (Ehpad), 4 % des laboratoires d’analyse médicale et 2 % des centres de radiothérapie.
Pour sa part, l’éditeur de solutions antivirus Symantec alerte plus précisément sur l’activité d’un groupe de hackers particulièrement actif, dénommé Orangeworm qui sévit massivement dans l’e-santé. Pour ce faire, ils exploitent des failles de sécurité qu’offre le système d’exploitation Windows XP afin d’installer un logiciel malveillant nommé Kwampirs sur les ordinateurs des établissements de santé. Ce virus est destiné à espionner l’activité des supports médicaux numériques et à collecter les données des laboratoires pharmaceutiques, fabricants de dispositifs médicaux.
A lire également : Pharmacie : un atout français
Certaines attaques se présentent également comme des rançongiciels qui visent à compromettre le système d’information du professionnel de santé pour lui faire subir des pertes d’exploitation et porter atteinte à son image, car aucun moyen de recouvrement des informations ne sera fourni à la victime ni le patient remboursé. Récemment encore, un logiciel espion a eu pour effet de prendre en otage les données et chiffrer les données et fichiers du CHU de Caen, immédiatement suivi d’une demande de paiement de rançon à hauteur de 1 bitcoin (soit 8 000 euros au 5 mars 2020) par machine infectée, exigée afin d’obtenir la clé de déchiffrement. L’objectif de ce type d’attaque commise par des cybercriminels est d’extorquer de l’argent à la victime en échange de la promesse, rarement tenue, du moyen lui permettant de retrouver l’accès à ses informations. Si le grand public est régulièrement avisé de telles atteintes, c’est aussi parce que les victimes sont tenues de déclarer les attaques dont elles sont la cible.
Ainsi, l’article L. 1111-8-2 du Code de la santé publique a créé l’obligation pour les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins de déclarer les incidents graves affectant la sécurité des systèmes d’information. Ces remontées d’incidents de sécurité doivent se faire via le portail de signalement des événements sanitaires indésirables accessible depuis l’espace dédié aux professionnels de santé sur www.signalement.social-sante.gouv.fr
A lire également : Podcast ; Géopolitique de la santé. Patrick de Casanove
Les acteurs de la cybersécurité en matière d’e-santé
L’ASIP santé est chargée d’un développement pérenne des systèmes d’information dans le secteur de la santé ; elle s’attache à produire et mettre en œuvre, en collaboration avec les acteurs professionnels et industriels, des référentiels qui sécurisent l’échange, le stockage et le partage des données de santé. L’Anssi assure pour sa part la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre, elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées. Elle a notamment pour mission de jouer un rôle de conseil et de soutien aux organismes et publie plusieurs guides révélant les bonnes pratiques.
Enfin, les responsables de traitement de données de santé ont aussi l’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé (HDS). Ils sont également tenus de respecter les exigences générales et principes fondamentaux de sécurité des SI de santé définis par l’ASIP santé au sein de la politique générale de sécurité des systèmes d’information de santé.
A lire également : Systèmes de santé en Europe : des contrastes
Les OSE
En application de la directive du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (directive NIS), transposée par la loi du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, le décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique a défini un OSE comme étant un opérateur « fournissant au moins un service […] lorsque des réseaux et systèmes sont nécessaires à la fourniture de ce service et qu’un incident affectant ces réseaux et systèmes aurait, sur la fourniture de ce service, des conséquences graves ».
Au titre des services essentiels au fonctionnement de la société ou de l’économie, certains sont en lien avec le domaine d’activité de l’e-santé :
SECTEUR
Sous-secteur |
TYPES D’OPÉRATEURS | SERVICES ESSENTIELS |
SANTÉ
Établissements de soins de santé (y compris les hôpitaux et les cliniques privées) |
Prestataires de soins de santé | Service concourant aux activités de prévention, de diagnostic ou de soins |
Prestataires fournissant un service d’aide médicale d’urgence | Réception et régulation des appels
Service mobile d’urgence et réanimation |
|
SANTÉ
Produits pharmaceutiques |
Grossistes répartiteurs pharmaceutiques | Distribution pharmaceutique |
L’article 3 du décret prévoit que pour les services essentiels mentionnés ci-dessus, les OSE du secteur de la santé soient désignés parmi les prestataires de services essentiels dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services. Dans les faits, sont particulièrement visés les établissements de soin de santé (hôpitaux et cliniques privées), les grossistes assurant la distribution pharmaceutique, et les mutuelles proposant des services d’assurance-vie, non-vie et de réassurance.
A écouter également : Podcast ; Géopolitique de la santé. Patrick de Casanove
Les OSE seront soumis à plusieurs obligations, notamment :
- désigner un représentant auprès de l’Anssi ;
- déclarer les réseaux et systèmes d’information nécessaires à la fourniture des services essentiels ;
- déployer à leurs frais une politique de sécurité nécessaire à la protection des réseaux et des SI ;
- déclarer à l’Anssi les incidents susceptibles d’avoir un impact significatif sur la continuité des services essentiels ;
- se soumettre aux contrôles de l’Anssi visant à vérifier le respect des obligations et le niveau de sécurité élevé des réseaux et systèmes d’information nécessaires à la fourniture des services essentiels.
Les OIV
Le dispositif interministériel de sécurité des activités d’importance vitale a été inscrit dans le Code de la défense par la loi no 2005-1550 du 12 décembre 2005, complété par un décret no 2006-212 du 23 février 2006. Piloté par le Secrétariat général de la défense et de la sécurité nationale, le dispositif vise à protéger les opérateurs d’importance vitale, dont le bon fonctionnement et la continuité d’activité est indispensable à la nation.
A lire également : Géopolitique du cyberespace
Aux termes de l’article R.1332-1 du Code de la défense, les opérateurs d’importance vitale sont ceux « gérant ou utilisant un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population ». La liste des opérateurs d’importance vitale est définie par arrêté ministériel et classée secret relevant de la défense nationale. Environ 250 opérateurs publics et privés ont été identifiés comme indispensables au bon fonctionnement et à la survie de la nation.
Les secteurs concernés correspondent à des activités réputées stratégiques difficilement substituables pour la nation, que ce soit sur des aspects économiques, sociaux, de défense ou de sécurité. 12 secteurs ont ainsi été ainsi retenus :
- les activités civiles de l’État
- les activités militaires de l’État
- les activités judiciaires
- l’espace et la recherche
- la santé
- la gestion de l’eau
- l’alimentation
- l’énergie
- les communications électroniques, l’audiovisuel et l’information
- les transports
- les finances
- l’industrie
A lire également : Assises recherches stratégiques : Covid et cybermenaces
Le 18 décembre 2013, la loi de programmation militaire pour les années 2014 à 2019 est venue imposer aux opérateurs d’importance vitale des mesures relatives à la sécurité de leurs systèmes d’information. Le 27 mars 2015, deux décrets d’application ont été publiés précisant les conditions de mise en œuvre de la loi.
Par ailleurs, un arrêté du Premier ministre du 2 août 2018 présente en détail la méthodologie des analyses de risques à mener dans les secteurs d’activité d’importance vitale, listés par le Code de la défense. Les OIV de la santé doivent faire l’objet de mesures spécifiques de protection contre les actes de malveillance (terrorisme, sabotage, cyberattaques) et les risques naturels, technologiques et sanitaires.
Le Health Data Hub : la question de la souveraineté numérique
L’offensive à l’œuvre par les Gafam montre que la santé numérique est le chantier actuel sur lequel ces entreprises investissent massivement et prennent d’ores et déjà un avantage certain. Le cas du Health Data Hub (HDH) est révélateur d’une cécité en la matière.
Le Health Data Hub est une plate-forme numérique française (placée sous l’autorité du ministère de la Santé) de centralisation aux fins de recherches des données de santé. Toutefois, depuis sa création par la loi relative à l’organisation et la transformation du système de santé du 24 juillet 2019, de nombreuses voix s’élèvent pour en dénoncer les risques dès lors qu’elles sont stockées sur le cloud Azure de Microsoft. Ce choix ne fait pas l’unanimité d’autant plus que Microsoft a été désigné via une dispense de marché public. Étonnamment, ce choix a été fait alors que seul Microsoft était effectivement HDS certifié ; ce n’est que par la suite qu’OVH et d’autres opérateurs français étaient in fine certifiés. Dans le cadre de la gestion de la Covid-19, un récent décret du 21 avril 2020 avait encore élargi le périmètre des données à transmettre au HDH, tandis que pendant un temps AP-HP a songé à mandater Palantir – une société très liée aux autorités américaines ; elle a finalement été écartée.
Pour sa part, la CNIL a alerté les pouvoirs publics en regard de la protection – toute relative – des données personnelles à l’occasion d’un recours introduit devant le Conseil d’État, comme conséquence de la décision de la Cour de justice de l’Union européenne d’annuler le Privacy Shield (arrêt dit « Schrems II » du 16 juillet 2020), traité transatlantique de transfert des données personnelles.
A lire également : Les cyberattaques sur les entreprises et collectivités territoriales françaises : un état des lieux pour de nouvelles réponses ?
Dans son mémoire du 8 octobre 2020, la présidente de la CNIL avait précisé à la haute juridiction administrative que les États-Unis, du fait de leur loi de sécurité nationale et de renseignement électronique (loi US FISA), n’offraient plus les garanties de protection adéquate, et qu’en vertu du Cloud Act US de mars 2018, il en était de même pour les hébergeurs soumis à la législation étasunienne. Cet avis sévère de la CNIL était de nature à mettre en garde la juridiction.
Dans sa décision du 14 octobre 2020, le Conseil d’État a demandé au Health Data Hub « de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles ». Une telle décision conduit à demander à Microsoft de s’engager de manière contractuelle à offrir une solution d’hébergement qui ne soit pas soumise au Cloud Act américain et aux autres règlementations intrusives. En conséquence, Microsoft se voit confirmé dans son mandat d’hébergement et de traitement des données de santé des Français, mais se voit placé sous la tutelle de la CNIL et contraint de conserver les données sur le territoire européen.
En réalité, cette affaire interroge au-delà même de la question technique. Cela traduit tout à la fois une cécité des autorités françaises, mais encore une discordance manifeste entre un discours affirmé de souveraineté numérique et des choix dans les faits radicalement opposés.
A lire également : Pharmacie : un atout français
Comme le dit lui-même l’avocat des opposants à Microsoft maître Jean-Baptiste Soufron (Marianne, 12 octobre 2020) : « Nous avons un problème de formation, de compétence et d’intégrité des responsables publics qui traitent ce sujet. L’attribution du Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses – ici, l’idée que Microsoft serait forcément plus compétent –, parce qu’elles apparaissent comme des solutions de facilité. » Tout est dit.