Cybersécurité : Accompagner un système de santé en pleine mutation

Le secteur de l’offre de soins figure sans conteste parmi les domaines d’activité les plus exposés – et les plus à risque – aux attaques informatiques. Ces dernières années, des cyberattaques d’une ampleur sans précédent ont touché des établissements de santé, avec, parfois, des répercussions sur les activités de soins. Parmi les récents exemples figurent les « ransomwares » qui ont visé le centre hospitalier universitaire (CHU) de Rouen en novembre 2019 (arrêt total de l’ensemble du système informatique entrainant des délais très longs de prise en charge, 300 000 euros de rançon demandés), ainsi que le groupe Ramsay Générale de Santé à la fin de l’été 2019 (120 établissements de santé en France, blocage de la messagerie et des applications métiers utilisées par le personnel). Trois mois plus tôt, c’était le CHU de Montpellier qui était la cible d’une attaque par hameçonnage (649 ordinateurs infectés, plus de 800 consultations fortement perturbées, impossibilité de traiter les urgences du SAMU pendant une demi-journée).

La diffusion rapide des outils et des usages numériques au sein du système de santé, couplée aux logiques de rapprochement inter-acteurs, accroissent de facto la surface d’exposition aux cyber risques. Selon Guillaume Poupard, Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), leur nombre serait passé d’une tous les mois ou tous les deux mois, à une par semaine en un an seulement. Les motivations des attaquants peuvent être de différentes natures selon la méthode utilisée, mais l’un des principaux modus operandi semble pour l’instant concerner le vol de dossiers médicaux de patients pour les restituer moyennant une rançon.

Au-delà des cyberattaques, il existe également un « risque quotidien  » auquel doivent faire face les professionnels de santé. Le média ProPublica rapportait en septembre 2019 que des données de santé de millions d’Américains se trouvaient sur la toile, en libre accès, en raison de serveurs non protégés. Ce risque est particulièrement sérieux compte tenu des spécificités du système de santé, marqué par une grande interconnexion, des architectures informatiques parfois très hétérogènes – nombre d’établissements sont encore peu matures sur les enjeux de cybersécurité – ainsi que le caractère hautement sensible des données de santé. Depuis quelques années, le secteur de la santé est même passé en tête des domaines où les risques financiers relatifs aux failles de sécurité informatiques sont les plus importants, devant le secteur bancaire. En effet, selon une étude réalisée en 2017 par le cabinet américain Ponemon Institute, les coûts associés à une violation de données, rapportés à un individu, y sont près de deux fois et demi supérieurs (380 dollars) que la moyenne de tous les autres secteurs confondus (141 dollars).

Renaissance Numérique a décidé de s’intéresser aux enjeux de cybersécurité dans le système de santé et d’interroger les capacités de résilience de ce secteur en profonde transformation numérique. Cette réflexion fait aussi écho au déploiement de la stratégie nationale « Ma Santé 2022 » et à l’adoption de la loi relative à l’organisation et à la transformation du système de santé. Le volet numérique de ce texte (cf. Titre III « Développer l’ambition numérique en santé ») prévoit notamment la création d’une plateforme des données de santé, l’ouverture automatique d’un Dossier médical personnel (DMP) pour tous les bénéficiaires de l’assurance maladie, et le déploiement de la télémédecine. Le texte inclut également plusieurs dispositions relatives à la collecte, au traitement, au partage et à la sécurisation des données des patients, qui seront complétées par plusieurs décrets du Conseil d’État. Cette phase de transition est une opportunité pour l’ensemble du système de santé de monter en maturité sur les enjeux de cybersécurité. Cette note explore tour à tour les spécificités du secteur de la santé en matière de cybersécurité, ainsi que les facteurs clés pour améliorer la cyber-résilience des acteurs du parcours de soins.