Cyberattaques : « On a pris conscience de notre vulnérabilité numérique »

Qu’est-ce qu’une cyberattaque ? «Un cyclone, une tempête» : l'image, fil conducteur de cette expérience, revient dans la bouche d'Aline Gilet Caubere, directrice des affaires générales, qualité, gestion des risques et des relations avec les usagers du Centre hospitalier de Dax (Landes), qui a connu une attaque majeure dans la nuit du 8 au 9 février 2021. «Cette nuit-là, c'est un peu notre 11 septembre», ose Aline Gilet Caubere. «L'hôpital de Dax compte 900 lits et places et 40 000 passages aux urgences par an», rappelle-t-elle. «Cette cyberattaque a anéanti tous nos systèmes d’information». 

«A 2h du matin : plus de standard téléphonique, plus d’informatique. Il faut réagir vite. Le Samu est immédiatement prévenu afin qu'il cesse d'amener de nouveaux patients (qui seront répartis à partir de ce moment-là dans d'autres établissements hospitaliers du secteur), puis on a fait le tour de tous les services pour informer les gens d’une indisponibilité de tout le système informatique». Une première cellule de crise a lieu dans l’après-midi. Pour les équipes, c'est un instant de sidération : «nous n'avons plus de moyens de communication, plus aucune information sur le patient, plus les moyens d'accéder à ses comptes-rendus antérieurs, plus rien. C'est un gros coup sur la tête. Un hôpital c’est presque une petite ville».

Retour au bon vieux papier-crayon 

Les premières mesures sont prises : «Dans les services, c'est le retour au bon vieux papier-crayon et au tableau Velleda. Par bonheur, certains dossiers papiers sont conservés. Pour la communication interne, c'est le système D : le personnel échange les numéros de portable personnels, on se créé des adresses Gmail, chaque service s’est aussi organisé en fonction de ses propres besoins. Ça a été un retour en arrière de 30 ans», résume Aline Gilet Caubere qui assène le diagnostic : «Il fallait tout reprendre à zéro. Il a fallu transférer des patients et on a mis en place des micro-serveurs pour sécuriser les données».

L'hôpital est aidé dans cette épreuve par l’Agence nationale de la sécurité des systèmes d'information (ANSI) et la Commission nationale de l'informatique qui dépêche des professionnels sur place. «On a revu nos règles de sécurité dans le sens d'un durcissement très important. On a pu retravailler à peu près normalement au bout de trois/quatre mois. Il a fallu quasiment 18 mois pour revenir à la situation antérieure à la cyberattaque (avec 30 000 dossiers patients à réinjecter). On a récupéré toutes nos données, exception faites de nos historiques de mail». Tout cela a également eu un coût : «A un an, on était à plus de 2 millions d’euros de dépenses».

Bilan : «Une cyberattaque ressemble à un marathon qui dure des mois. Toutes les équipes sortent avec un choc certain, une fatigue cognitive et une prise de conscience de notre vulnérabilité numérique». La bonne nouvelle, c'est que l'hôpital ressort de cet épisode de gros grain avec «un système tout neuf». 

Les hôpitaux ne sont pas les seules victimes 

Alors même que les risques sont croissants et qu'ils se multiplient, comment agir pour sécuriser le domaine de la santé numérique ? s'interroge Bénédicte Boyer-Bévière, maître de conférences à l’université Paris 8 à l'occasion d'un colloque consacré au sujet par la cour de cassation. Hôpital de Versailles décembre 2022 : «piraté», lâche-t-elle, CHU Pasteur de Nice - novembre 2022 «piraté», Maternité Les Bluets de Paris - Octobre 2022 «piratée», Hôpital de Corbeil Essonnes - août 2022 «piraté»... et la liste est longue.

Nombreux sont les établissements victimes de cyber-piratages «et ils seront nombreux dans les prochains jours, dans les prochaines années», assure Bénédicte Boyer-Bévière. Les hôpitaux ne sont d'ailleurs pas les seules victimes. l'Agence européenne du médicament, l'Assurance maladie, les cabinets médicaux, laboratoires d'analyses médicales, professionnels de santé... tous ont déjà subi des piratages. «Même les résultats des tests antigéniques dans le cadre de la Covid19 ont fait l'objet d'un cyber-piratage en août 2021. De faux pass sanitaires ont été fabriqués par des faussaires qui avaient récupéré des identifiants de professionnels de santé sur le site de l'Ordre National des Pharmaciens», confie Bénédicte Boyer-Bévière. 

Attaques inquiétantes 

«Les attaques peuvent avoir des effets d’autant plus nuisibles que les pirates sont désormais capables de modifier à distance les dossiers des patients ou encore les dispositifs médicaux», assure Bénédicte Boyer-Bévière, évoquant un essai (fructueux si l'on peut dire) réalisé par des équipes de chercheurs. «Le changement d'un dosage, la disparition d'une donnée essentielle, peuvent être à l’origine de mise en danger criminelle de patients. Une patiente allemande de 78 ans, gravement malade, est décédée en raison de sa prise en charge très très ralentie alors que l'hôpital universitaire de Düsseldorf était paralysé par une attaque dans la nuit du 9 au 10 septembre 2020. C'est le premier exemple d’une personne décédée en Allemagne directement à cause d’une cyberattaque. Enfin, selon une enquête sur la sécurité des appareils des établissements de santé connectés à internet, 24% des hôpitaux avaient un taux de mortalité accru après une cyberattaque». 

Les attaques d'ampleur sont à la fois plus nombreuses et plus médiatisées. On peut parler d'une montée en charge depuis l'attaque de l'hôpital de Rouen en 2019. 

Cercle vertueux 

Faut-il pour autant se désespérer ? Pour François Ehly associé auprès du cabinet Almond, consacré à la gestion des risques et conformité, le panorama n'est pas si sombre. L'expert, qui a notamment accompagné le CHU de Besançon ainsi que des institutions publiques et parapubliques pour des missions de sécurité de l'information se montre rassurant : «Les systèmes d'information sont en train de se transformer. Mécaniquement, on renforce la sécurité et on va vers d'autres technologies qui vont faire disparaitre le scénario très tendance « chiffrement + demande(s) de rançon ». On a encore 4 à 5 ans difficiles. Aujourd'hui, de nombreux acteurs travaillent à renforcer la sécurité des établissements. Un cercle vertueux est en train de se mettre en place sous l'impulsion des professionnels et de la législation. La mauvaise nouvelle c'est que résorber notre dette technologique (en remplaçant les vieilles machines, les vieux systèmes par du matériel neuf et des technologies de pointe) nécessite des investissements humains et financiers. C'est néanmoins l'une des façons incontournables de répondre à la hauteur de l'enjeu en matière de gestion des risques». Avoir conscience du risque ne nous empêchera pas malgré tout, de voir arriver d'autres formes d'attaques qu'il faut déjà pouvoir anticiper.  

La France apparaît d'ailleurs «plutôt comme un modèle» en Europe sur le plan de la sécurité informatique, assure François Ehly, voyant notamment en l'Agence nationale de la sécurité des systèmes d'information (ANSSI) un atout de taille, mais confiant aussi dans l'évolution des nouvelles technologies. «Les directives adoptées ne sont pas mauvaises, aussi bien en France qu'en Europe, preuve que nous avons pris le risque très au sérieux. Une prise de conscience qui n'empêchera pas les incidents, d'autant que la réduction de notre dette technologie prendra du temps».

Quel est donc notre talon d'Achille à venir ? «Nous verrons probablement apparaître de nouvelles formes d'attaques d'ici 5 à 10 ans, étant donné la place que prennent les technologies numériques dans la chaîne de soin», explique François Ehly. ««L'intelligence artificielle (IA) commence par exemple à être utilisée pour le pilotage de la robotique comme dans le diagnostic... Venir porter atteinte à une IA qui calcule la dosimétrie dans la radiothérapie pourrait porter atteinte à l'intégrité physique de patients. Si l'on se trouve encore dans un scénario de fiction, on n'en est pas loin», confie François Ehly. Médecins, infirmiers, professionnels de santé en général : il va falloir intégrer la notion de l'approche par le risque et travailler ensemble. Encore une fois, François Ehly l'assure, il n'est pas inquiet. Il est déjà dans l'après : toutes ces questions vont surtout nous forcer à repenser le rapport entre l'homme et la machine..