V.Trely (APSSIS) : "Les SI hospitaliers sont beaucoup plus fragiles que ceux de Dassault ou de la Société Générale"

L’Association pour la sécurité des systèmes d’information de santé, l’APSSIS, est l’unique organisme dédié à la cybersécurité des SI et des données de santé. En plus de fédérer et animer l’écosystème pluriprofessionnel de la SSI santé, l’association, qui compte 150 membres, agit à la fois sur les volets sécuritaires, éthiques et réglementaires de la transformation numérique. Rencontre avec Vincent Trely, son président fondateur.
Vincent Trély, président fondateur de l'APSSIS

L’Association pour la sécurité des systèmes d’information de santé, l’APSSIS, est l’unique organisme dédié à la cybersécurité des SI et des données de santé. En plus de fédérer et animer l’écosystème pluriprofessionnel de la SSI santé, l’association, qui compte 150 membres, agit à la fois sur les volets sécuritaires, éthiques et réglementaires de la transformation numérique. Rencontre avec Vincent Trely, son président fondateur.

Décideurs. Vous avez déclaré dans le magazine Hospimédia que la santé était presque parvenue au niveau de sécurité auquel elle devrait être. Pourtant, en 2020, 27 hôpitaux français ont été la cible de pirates informatiques … 

Vincent Trely. J’ai en effet été optimiste car nous sommes en réalité à la moitié du chemin. Les premiers secteurs à s’être numérisés avant la santé et qui ont subi les premières attaques dans les années 2000, étaient les secteurs de la banque, de l’assurance et de l’industrie de pointe. Ces activités ont aujourd’hui atteint un niveau de maturité et de sécurité tels qu’ils sont plus résilients. D’autres écosystèmes, comme la santé, les collectivités territoriales, les universités ainsi que les PME/PMI, ne s’y sont mis que plus récemment. Concernant le système de santé et les hôpitaux, il a fallu attendre 2013 pour commencer à parler de sécurité numérique, avec un premier grand programme financé par l’État qui exigeait des hôpitaux qu’ils aient une politique de sécurité, un plan de reprise d’activité ou encore une charte du bon usage des technologies numériques.  

"Il a fallu attendre 2013 pour commencer à parler de sécurité numérique à l'hôpital"

Les hôpitaux se sont ainsi lancés dans la sécurisation de leurs systèmes d’information dans un contexte assez défavorable car la période 2013-2020 a été marquée par des restrictions budgétaires et des plans de retour à l’équilibre, le tout lié à la T2A [tarification à l’activité, Ndlr]. De plus, il existe de très fortes disparités entre les grands CHU dotés d’importantes équipes informatiques et de budgets appréciables et des hôpitaux de taille intermédiaire avec peu de moyens, qui n’ont pas mené beaucoup de chantiers pour se sécuriser.  

Depuis, la santé a étendu sa surface numérique. Désormais, au sein d’un hôpital, 100% ou presque des fonctions métiers sont numérisées. Qu’il s’agisse du dossier patient, de l’imagerie, de la biologie, l’anapath ou de spécialités, en cardiologie notamment. La surface informatique est donc beaucoup plus étendue qu’il y a quelques années, ce qui explique que la santé soit devenue une cible pour les cyberpirates depuis 2018 au travers de ransomware ou de vol d’informations médicales.  

Quelles sont les grandes typologies de cyberattaques ?  

Il y a quatre grandes typologies d’attaques avec des finalités différentes. Tout d’abord, le cyber espionnage qui existe depuis toujours et dont les États-Unis sont le champion du monde assumé, via la NSA [National Security Agency, Ndlr], suivis par la Russie et la Chine. L’Europe est actuellement en train de se doter d’une force de cyberdéfense pour jouer enfin à armes égales avec les autres pays dans cette guerre économique. La deuxième typologie d’attaque est la cyberguerre, où les pays s’attaquent à coup de virus informatiques. Troisième typologie, celle de la cybercriminalité qui consiste à tirer le maximum de profits des données disponibles sur le Web par le biais des ransomware, vols de données et revente, combinés au chantage. Enfin, on trouve les cyberactivistes, ces personnes qui défendent des causes plus ou moins extrêmes, allant de la cause animale au djihadisme en passant par les suprémacistes blancs, et qui utilisent les systèmes numériques pour faire parler de leur cause. 

La santé est devenue un nouveau terrain de jeu. Mais pourquoi s’en prendre à un hôpital ? 

Pour les cyberpirates qui se trouvent généralement très loin géographiquement de leur cible, s’attaquer à un hôpital, une école ou une PME revient au même. Ils n’ont aucune empathie car ce qui les intéresse, c’est l’argent. Pourquoi s’en prendre à un hôpital ? Parce que les pirates sont fainéants et les SI hospitaliers beaucoup plus fragiles que ceux de Dassault ou de la Société Générale. Ces attaques peuvent donc rapporter gros sans trop d’effort. Chaque pays à sa politique en la matière. Les Américains sont assez pragmatiques et acceptent généralement de payer. En France, la doctrine est de ne pas payer. Le 26 octobre 2020, une cyberattaque contre un hôpital psychiatrique en Finlande a permis à des pirates informatiques de récolter les données privées de plus de 36 000 patients, répartis dans 25 centres de psychothérapie à travers le pays. Ces derniers ont refusé de payer la rançon. Les pirates, qui détenaient les coordonnées des patients, les ont appelés individuellement pour leur réclamer de l’argent, faute de quoi leur état de santé serait divulgué sur les réseaux sociaux ! 

" Un dossier médical se revend en moyenne 150 dollars l’unité sur le Darknet. Le moindre hôpital de province en compte environ 100 000 dans leur base"

Autre type d’attaque : le vol de données de santé et leur revente sur le Darknet à un prix exorbitant car ces datas intéressent les grands groupes pharmaceutiques, les compagnies d’assurance ou les groupes mutualistes. Un dossier médical se revend en moyenne 150 dollars l’unité sur le Darknet. Le moindre hôpital de province en compte environ 100 000 dans leur base. Une attaque avec exfiltration de ces dossiers de patients peut ainsi leur rapporter 15 millions de dollars ! Des officines peuvent également les racheter pour le compte de multinationales en appliquant dessus des algorithmes pour en tirer de l’information fine utile dans une démarche business. 

S’agissant de la prise de contrôle à distance des appareils médicaux, le risque existe-t-il ? 

Si un pirate parvient à pénétrer dans le système d’information d’un hôpital, il peut, certes, voler les données, mais rien de l’empêche de modifier les paramètres d’un appareil médical. En salle de réanimation, par exemple, les pousse-seringues sont automatisés. On peut donc imaginer ce que donnerait une attaque de ce type et le nombre de décès engendré… En 1998, un homme a ainsi tué sa femme et sa voisine de chambre à l’hôpital en modifiant, à distance, les paramètres des moniteurs d’alerte. Mais ce type de « cybermeurtre » est extrêmement rare. 

Quelles bonnes pratiques déployer pour lutter contre les cyberattaques à l’hôpital ? 

Il faut jouer sur deux volets, mais le nerf de la guerre reste le budget pour investir dans des parcs informatiques à jour et dotés d’un bon niveau de sécurité. Emmanuel Macron a annoncé pour cela un plan de 350 millions d’euros pour renforcer la cybersécurité en santé [à la suite des cyberattaques contre les hôpitaux de Dax et de Villefranche-sur-Saône, en février 2021, Ndlr]. 

"Au sein d’un groupe bancaire, vous disposez d’une dizaine de personnes dédiées à la cybersécurité. Dans les grands CHU français, une seule personne s’y consacre"

Reste maintenant à savoir qu’elle en sera la déclinaison opérationnelle. Le deuxième volet concerne les moyens humains. Alors que, au sein d’un groupe bancaire, vous disposez d’une dizaine de personnes dédiées à la cybersécurité, dans les grands CHU français, une seule personne s’y consacre. Ensuite, tout un travail de sensibilisation et de pédagogie doit être accompli autour des attaques pour expliquer les techniques de phishing, les faux mails ainsi que les bons usages. Et surtout, bien que cela soit contraignant au quotidien pour le personnel hospitalier, il faut expliquer que les mesures barrières contre les cyberattaques sont indispensables pour protéger leur outil de travail. 

Propos recueillis par Anne-Sophie David 

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Guide Santé, Pharmacie & biotechnologies 2021

Retrouvez notre dossier issu du guide-annuaire Santé, pharmacie et biotechnologies 2021.
Sommaire
Paul Boudre, le fil conducteur de Soitec

Paul Boudre, le fil conducteur de Soitec

Directeur général de Soitec depuis 2015, il a remis le fabricant de semi-conducteurs sur les rails et compte tripler le chiffre d’affaires du groupe d...

J.-E. Daubresse (DS France) : "En 2024, DS ne produira que des modèles électriques"

J.-E. Daubresse (DS France) : "En 2024, DS ne produira que des modèles électriques"

La présentation de la nouvelle DS4 début septembre s’est accompagnée de l’annonce d’un passage au 100 % électrique à partir de 2024 de la marque DS. J...

Anne Méaux, la femme qui murmure à l'oreille des puissants

Anne Méaux, la femme qui murmure à l'oreille des puissants

Le plafond de verre ? Anne Méaux l’a crevé dès l’âge de 20 ans à une époque où les femmes influentes se comptaient pratiquement sur les doigts d’une m...

Gilles et Yves-Loïc Martin. Qui sont les rois des Labos ?

Gilles et Yves-Loïc Martin. Qui sont les rois des Labos ?

Depuis 1997, les frères Martin développent un groupe de laboratoires d’analyse et de biologie médicale née d’une technologie découverte par leurs pare...

Jean-Louis Bouchard (Econocom) : "La RSE est la partie obligatoire de la liberté d’entreprendre"

Jean-Louis Bouchard (Econocom) : "La RSE est la partie obligatoire de la liberté d’entreprendre"

L’économie circulaire est au cœur de l’activité d’Econocom, groupe spécialisé depuis 1973 dans les services liés à la transformation digitale. Son fon...

Équipementiers télécoms : la guerre des trônes

Équipementiers télécoms : la guerre des trônes

Avec le déploiement de la 5G, la bataille pour la souveraineté s’est accentuée entre Européens, Américains et Chinois autour de Nokia, Ericsson et Hua...

Oliver Bäte (Allianz), la prime à la conversion

Oliver Bäte (Allianz), la prime à la conversion

PDG d’Allianz depuis 2014, Oliver Bäte poursuit l’expansion de son groupe d’assurance en Europe et en Afrique de l’Est. Très impliqué sur les sujets...

Adyen, la mondialisation réussie

Adyen, la mondialisation réussie

La fintech dirigée par Pieter van der Does s’adresse aussi bien aux petits commerces qu’aux multinationales. Une stratégie couronnée de succès puisque...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte