Didier Collet, chef de la division Coordination sectorielle de l’ANSSI :  “Le dialogue entre équipes SSI et entités métiers est un gros enjeu de cybersécurité”

L’Agence nationale de sécurité des systèmes d’information (ANSSI) apporte un appui opérationnel aux établissements de santé en cas de cyberattaque et les conseille pour la prévention, notamment en matière d’architecture réseaux. Didier Collet, chef de sa division Coordination sectorielle, évalue la menace et les principaux enjeux de cybersécurité à prendre en compte à l’hôpital.

Quelle est la tendance des principales menaces cyber, notamment dans le domaine de la santé en ce début d’année 2023 ?

Notre Panorama de la cybermenace 2022, qui vient d’être publié début 2023, montre que le niveau de la menace reste globalement élevé. Néanmoins, on note que les attaquants ont tendance à se concentrer sur les entités moins bien protégées, en particulier celles qui ne sont pas régulées (non soumises notamment à la loi de programmation militaire ou à la directive NIS, Network and Information Security). Par ailleurs, le niveau de compétence des attaquants continue de croître, ce qui complexifie les opérations visant à contrer et identifier les attaques. Leurs objectifs restent principalement les gains financiers, l’espionnage et la déstabilisation.

Le domaine de la santé a récemment été particulièrement touché par les attaques via rançongiciels, notamment fin 2022. On note que 10% des incidents liés à des rançongiciels traités ou rapportés à l’ANSSI en 2022 concernaient des établissements publics de santé. Le secteur reste néanmoins moins impacté que les collectivités locales, représentant 23% des incidents, ou que des TPE, PME et ETI (40% des incidents).

On voit des hôpitaux attaqués depuis des années. Hors demandes de rançons, en quoi les données de santé sont-elles si précieuses pour les pirates ?

Au même titre que les données personnelles, les données de santé sont très convoitées par les cybercriminels. Leur valeur s’explique tout d’abord parce qu’elles constituent des sources d’information sur la situation personnelle de certains individus (état de santé, psychologique, etc.) qui peuvent être exploitées à leur détriment. Mais elles peuvent également être exploitées dans des activités de nature commerciale (publicité ciblée notamment) ou criminelle (ingénierie sociale). Au-delà du danger d’exfiltration, la disponibilité et l’intégrité des données de santé sont évidemment indispensables à la bonne conduite de l’offre de soins.

Dans son rapport 2021, l’ANS constatait que les structures hospitalières auditées ou alertées exposent souvent trop de ressources sur Internet. Dans un contexte de développement du numérique en santé, dans quelle mesure est-ce une vulnérabilité grandissante ?

Un système d’information hospitalier est par nature très interconnecté (lien avec la médecine de ville, les autres centres hospitaliers, les prestataires, etc.). Ces interconnexions constituent en effet une exposition au risque et c’est pourquoi elles doivent faire l’objet d’une attention particulière. Pour autant, il existe des solutions en termes d’architecture de systèmes comme de produits de sécurisation. Les établissements de santé sont de plus en plus conscients de ces vulnérabilités qui sont mises en exergue lors de l’adoption des approches par la gestion des risques préconisées par l’ANSSI. Ils conduisent régulièrement des audits de sécurité pour mesurer leur exposition, évaluer les risques résiduels et rationaliser les interconnexions avec leurs partenaires.

L’enjeu est notamment le dialogue entre les équipes SSI et les entités métiers, afin de maitriser ce qui est branché (matériel, application) sur le SIH. Ce travail commun entre la chaine SSI et les porteurs des besoins métiers se pratique de plus en plus au sein des établissements.

Des recommandations sont régulièrement communiquées aux structures de santé. Sont-elles aujourd’hui suffisamment prises en compte et que faut-il de plus pour mieux sécuriser les établissements ?

Le secteur de la santé est de plus en plus sensibilisé au risque cyber. Les récentes attaques ont contribué à cette prise de conscience. A travers des initiatives nationales de soutien aux hôpitaux (parcours de sécurité via France Relance, plans de renforcement du ministère de la Santé…), un appui est fourni aux hôpitaux pour avancer sur ces recommandations. Le secteur dans son ensemble est en nette progression, mais la marche est haute et il est indispensable que l’effort se poursuive dans le temps. La tâche est d’autant plus un défi pour les hôpitaux que la mise à niveau nécessite un investissement important, financier comme humain.

En matière de prévention toujours, le principal sujet est-il ce renforcement de la sécurité des SI ou bien la lutte contre l’ingénierie sociale qui, lit-on, serait à l’origine de plus de 80% des attaques ?

Comme dans tous les secteurs, l’humain est le facteur clé de la cybersécurité. C’est d’autant plus vrai dans le secteur hospitalier où le métier a besoin d’un accès rapide à la donnée pour mener à bien les actes de soins. Ainsi, il est crucial de sensibiliser l’ensemble du personnel au risque cyber, mais aussi de s’assurer que les mesures à mettre en place sont adaptées aux contraintes opérationnelles du métier des soignants.

Nous ne pouvons que conseiller au personnel soignant d’être très à l’écoute des professionnels de la sécurité des systèmes d’information et d’ouvrir le dialogue avec eux lorsque la sécurité leur paraît être une contrainte dans leurs activités quotidiennes. La bonne compréhension des enjeux des uns et des autres permet d’adapter les dispositifs et les processus pour éviter in fine une paralysie complète d’un établissement. Il reste malgré tout des recommandations qui relèvent du bon sens et des bonnes pratiques, qui peuvent être rappelées indépendamment du contexte, comme :

• Séparer les usages personnels et professionnels. Notamment, éviter d’utiliser des messageries privées sur un poste professionnel, ou partager des documents relatifs aux patients sur des messageries personnelles et non protégées.
• Être vigilant à propos des liens sur lesquels on clique. Le phishing est une arme courante des attaquants, et il est nécessaire de vérifier la source de tout lien avant de l’ouvrir (expéditeur, corps du mail…). Dans le doute, ne jamais cliquer !

L’ANSSI propose une formation en ligne très accessible permettant aux personnes de tout niveau d’acculturation de se familiariser avec le sujet de la cybersécurité. Il existe aussi des moyens ludiques pour se sensibiliser efficacement, comme des escape games. Il en existe d’ailleurs quelques-uns qui se focalisent sur le monde de la santé.

Propos recueillis par François Silvan

Source :
Agence nationale de la sécurité des systèmes d’information (ANSSI). Panorama de la cybermenace 2022. 24 janvier 2023
https://www.ssi.gouv.fr/actualite/un-niveau-eleve-de-cybermenaces-en-2022/