Paris, le jeudi 22 décembre 2022 – L’attaque a été perpétrée le 3 décembre et plus de deux semaines plus tard, les conséquences sont encore terribles : les équipes continuent à devoir travailler « avec du papier et des crayons » a témoigné hier sur les ondes de France Info Pascal Bellon, directeur général du groupe hospitalier Yvelines-Sud. Comme un nombre croissant d’établissements de santé et comme par exemple en août le CHU de Corbeille-Essonnes, le groupe hospitalier Yvelines-Sud a été victime d’une cyberattaque. Les ravages sont si importants qu’un retour à un fonctionnement normal n’est pas prévu avant « plusieurs semaines ». Parfois, les dommages sont irrémédiables, que ce soit matériellement (à Dax, par exemple, l’hôpital avait perdu en 2021, 10 ans de données) ou humainement : l’Agence du numérique en Santé considérait en 2020 que 34 incidents informatiques avaient mis en danger la vie d’au moins un patient.
L’exercice est fondamental… mais trop rare
Ces épreuves sont très dures pour les personnels qui doivent déjà faire face à des conditions de travail difficiles. Par ailleurs, comme le relevait Vincent Trely, fondateur et président de l’Association pour la sécurité des systèmes d’information de santé dans le Monde il y a quinze jours, beaucoup de soignants n’ont jamais eu l’habitude de travailler autrement. « Les hôpitaux sont numérisés depuis vingt ans, et toute une génération n’a connu que le plan de soins informatisé ». Cependant, tout en étant quotidiennement en contact avec les outils informatiques, les personnels soignants ne sont pas toujours bien préparés aux enjeux de sécurité numérique. Or, comme le rappelait le Pr Pierre Carli à l’occasion des deuxièmes rencontres internationales de la chirurgie francophone en novembre dernier qu’il s’agisse d’attaques terroristes ou de cyberattaques : « L’exercice est fondamental ». Pourtant, en France, « la culture de l’exercice n’est pas habituelle dans les hôpitaux », d’autant plus que les tensions organisationnelles ne sont pas propices à de telles simulations.
Un objectif trop ambitieux ?
Néanmoins, des efforts ont été réalisés ces dernières années en ce qui concerne la préparation aux cyberattaques. « Depuis 2019, un certain nombre de sites ont pris le temps de simuler le travail sans informatique. Le risque numérique est de plus en plus pris en compte dans le plan blanc de chaque hôpital », assure Vincent Trely. Dans un contexte de forte progression de ce type de criminalité (une augmentation de 20 % des procédures judiciaires liées au cyber a été enregistrée en 2021, toutes cibles confondues), le gouvernement veut aller plus loin. Hier, Gérald Darmanin, ministre de l’Intérieur, François Braun, ministre de la Santé et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique ont annoncé à l’issue d’une réunion de travail avec les principales fédérations hospitalières le lancement « d’un vaste programme de préparation aux incidents cyber. L’objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023. Par ailleurs, un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d’une cellule de crise, évaluation des impacts, notamment) ». Evidemment, l’objectif est aussi pertinent qu’ambitieux : mais comment pourra-t-il être réalisé dans le contexte actuel de pénuries de personnel et de manque de ressources dans un grand nombre d’établissements de santé ?
Windows XP
Par ailleurs, parallèlement à la préparation et à la sensibilisation des personnels au risque numérique, c’est également le renforcement de la sécurité des systèmes qui doit être un enjeu prioritaire. Vincent Trely remarquait ainsi : « Beaucoup de systèmes sont connectés, comme les couveuses en néonatalité pour gérer les températures, ou les pousse-seringues en réa. Or, le matériel biomédical est parfois supporté par une informatique obsolète : beaucoup d’appareils tournent sous Windows XP [lancé en 2001, et dont Windows a arrêté le support en 2014] et certains systèmes datent même de 1998 ou 2000. (…) Les responsables de la sécurité sont bien plus écoutés qu’il y a quelques années, mais on a 1 300 systèmes informatiques dans le public, 3 000 en comptant le privé, qui sont très hétérogènes. Les incidents récents ont, entre guillemets, « fait du bien ». En février 2021, les 135 principaux hôpitaux ont été nommés « opérateurs de services essentiels », et ont l’obligation d’appliquer 23 règles de sécurité spécifiques décidées au niveau européen. Et le président de la République a annoncé un plan d’investissement de 350 millions d’euros, dans le Ségur de la santé, ciblés sur le cyber ». Dans la continuité de ce plan d’investissement, les trois ministres ont hier tenu à « réaffirmer que la nouvelle feuille de route 2023-2027 du numérique en santé accordera une place centrale à la cybersécurité des établissements. A cet effet, une task force associant l’ensemble des autorités compétentes est créée aujourd’hui pour bâtir d’ici mars 2023 un nouveau projet de plan cyber pluriannuel massif ». Enfin, la réunion de ce mercredi a été l’occasion pour le gouvernement de rappeler la doctrine stricte de l’Etat quant au non-paiement des rançons.
Aurélie Haroche
