Dans les hôpitaux français, « le vrai, gros piratage n’a pas encore eu lieu »
Dans les hôpitaux français, « le vrai, gros piratage n’a pas encore eu lieu »
Par Florian Reynaud
Face aux récentes épidémies de rançongiciels qui ont paralysé les réseaux informatiques d’hôpitaux britanniques, les établissements français résistent. Mais le risque demeure.
Un « ransomware » est un logiciel qui chiffre les données présentes sur un ordinateur et exige une rançon pour les débloquer. | QUENTIN HUGON / LE MONDE
WannaCry, ce « rançongiciel » (un virus qui chiffre les fichiers d’un ordinateur, le rend inutilisable et demande une rançon) qui a infecté des ordinateurs dans le monde entier en mai, n’a mis que quelques heures à infecter le Service national de santé (NHS) britannique, et à en bloquer une partie des activités. Dossiers médicaux inaccessibles, patients détournés vers d’autres hôpitaux… il a provoqué une véritable crise dans un certain nombre d’établissements, touchés en raison d’ordinateurs qui n’avaient pas reçu des mises à jour de sécurité.
La France a été bien moins affectée par cette vague et les professionnels de la santé se veulent rassurants. « Quasiment aucun hôpital en France n’a été touché, en tout cas en ce qui concerne les centres hospitaliers universitaires (CHU). Je n’ai pas la prétention de connaître les 1 000 hôpitaux du pays », détaille Cédric Carteau, responsable de la sécurité des systèmes d’information au CHU de Nantes. Selon le quotidien La Montagne, l’hôpital d’Issoire, dans le Puy-de-Dôme, a par exemple été perturbé pendant quelques heures par le virus informatique, et certains dossiers médicaux ont été temporairement inaccessibles.
Le ministère de la santé a dénombré plus de 1 341 attaques informatiques en 2016, tous types et tous niveaux de gravités confondus, contre des établissements de santé, soit légèrement plus qu’en 2015. La plupart des attaques répertoriées ont eu des conséquences minimes. Selon Didier Perret, responsable de la sécurité informatique des hôpitaux de Paris, les ransomwares constituent actuellement « la principale menace » pour les établissements. « Le vrai piratage, le gros, en France il n’a pas encore eu lieu », assure Cédric Cartau.
« Nos systèmes sont assez protégés, on a été très sensibilisés », explique Mickaël Taine, directeur des systèmes d’information au CHU de Reims. La certification de la Haute Autorité de santé (HAS), requise pour tous les hôpitaux, « commence à englober l’informatique depuis 2012 », poursuit M. Taine. Elle inclut désormais des critères de sécurisation des systèmes informatique, et les hôpitaux sont audités « par des experts extérieurs ». Depuis plusieurs années, le programme « Hôpital numérique » encourage également les établissements à renforcer leur sécurité informatique. « On a dit aux hôpitaux que pour avoir des sous, ils devaient avoir une politique de sécurité », note Vincent Trély, président de l’Association pour la sécurité des systèmes d’information santé (Apssis).
Des équipements vulnérables
Si elle est peu probable, une panne généralisée du système informatique pourrait sérieusement désorganiser un hôpital, en paralysant des services de biologie, d’imagerie, etc. « On réfléchit évidemment aux scénarios apocalyptiques », et en cas de panne généralisée, « on a des procédures dégradées dans chaque service », explique Mickaël Taine. « Une attaque virale n’interrompt pas une opération chirurgicale ou une prise en charge médicale mais peut la retarder », souligne Didier Perret. « Aucun problème pour les urgentistes, ils font de la médecine de guerre, rassure aussi Vincent Trély. En revanche, des processus de radiothérapie seraient arrêtés. »
De nombreux équipements médicaux sont aujourd’hui connectés au réseau de l’hôpital, et y envoient des informations. Des appareils biomédicaux, qui servent par exemple à faire des analyses biologiques ou de l’imagerie, et qui sont aujourd’hui faiblement sécurisés. « La mise en place d’antivirus et la mise à jour des systèmes d’exploitation sont compliquées sur ces appareils », juge Didier Perret. « Un fournisseur a essayé de me vendre un appareil médical piloté par un PC sur Windows NT », une distribution de Windows sortie en 1993, qui n’est plus mis à jour depuis plus de dix ans, raconte par exemple Cédric Cartau.
Dans le cas de ces équipements difficiles à mettre à jour au quotidien, les hôpitaux essayent de les isoler au maximum de l’extérieur et du réseau informatique de l’hôpital, afin, par exemple, qu’ils ne soient pas connectés au Web extérieur. Même chose pour les caméras de surveillance et pour tous les équipements techniques présents dans les bâtiments, comme les détecteurs de fumée, de plus en plus souvent connectés à Internet.
Les données médicales, très confidentielles et sensibles, sont également menacées. Selon un rapport de l’entreprise américaine Proténus, près de 27 millions de dossiers médicaux de patients ont été affectés par des fuites de données en 2016 aux Etats-Unis. En France, « la valeur de la donnée de santé est éthique et morale plus que financière », précise Mickaël Taine. Un dossier médical individuel américain a bien plus de valeur sur le marché noir aux Etats-Unis, en raison de l’existence d’assurances santé privées.
Les « maillons faibles », parfois des tierces parties
Aujourd’hui, toute opération ou nouvelle information en lien avec un patient est stockée sur les serveurs informatiques. La consultation d’un dossier médical est soumise à de nombreuses règles de confidentialité, et toute donnée communiquée à une personne extérieure à l’hôpital – comme un laboratoire de biologie – doit être chiffrée, c’est-à-dire protégée contre toute personne cherchant à intercepter un e-mail et une pièce jointe par exemple. Selon Vincent Trély, certains médecins libéraux, habitués à utiliser leur messagerie traditionnelle avant la généralisation des deux protocoles de chiffrement désormais utilisés par les hôpitaux et les cabinets de ville, ne respectent toutefois pas toujours cette règle.
La plupart des hôpitaux disposent aujourd’hui d’une politique de sécurité, même si « dans les plus petites structures, ce sont souvent les 3 ou 4 personnes du service informatique qui doivent également s’occuper de la sécurité », reconnaît Mickaël Taine. Les « maillons faibles » peuvent en revanche être des tierces parties : des laboratoires et médecins extérieurs à un hôpital, mais qui manipulent des données médicales sensibles.
En mars 2015, les laboratoires d’analyse biologique Labio, situés dans les Bouches-du-Rhône, ont subi un piratage de leur serveur, revendiqué par un groupe de hackeurs se faisant appeler Rex Mundi. Selon l’avocat de Labio, Me Paul Nicoud, les pirates ont fait du chantage à l’entreprise en menaçant de diffuser les dossiers médicaux dérobés, à moins qu’une rançon en bitcoins – une monnaie virtuelle difficilement traçable – soit payée, ce qu’ont refusé les laboratoires. « Après l’expiration de l’ultimatum fixé par les délinquants, deux types de données ont été divulgués : une liste d’utilisateurs et leurs mots de passe, d’une part, et 11 résultats d’analyses qui concernaient 7 patients, d’autre part », fait savoir Me Nicoud. L’avocat de Labio assure que la sécurité informatique de l’entreprise a depuis été renforcée, sans donner de détails, et sans préciser par ailleurs comment le ou les pirates ont pu voler les données en premier lieu.
Au sein même d’un hôpital, les praticiens peuvent aussi mettre en péril la chaîne de protection des données. « Un neurochirurgien réputé mondialement peut se balader avec de la donnée médicale confidentielle sur des disques durs entre son bureau à la fac et son bureau à l’hôpital », soupire Vincent Trély. « Un post-it avec un mot de passe sur l’écran d’un ordinateur, ou un poste laissé allumé dans le couloir, c’est une faille de sécurité », rappelle aussi Mickaël Taine.
Comme dans n’importe quelle entreprise, l’erreur humaine – comme l’ouverture par un utilisateur peu averti d’une pièce jointe vérolée – demeure l’un des principaux défis de la sécurité informatique des hôpitaux.