Charlotte Drapeau (ANSSI) : le secteur de la santé est une cible particulièrement vulnérable

Avec, en moyenne, un incident de sécurité par semaine dans le secteur, le piratage informatique n’est pas à prendre à la légère dans les hôpitaux. Suite au parcours de cybersécurité lancé il y a 18 mois, le plan France Relance a ouvert un 2e volet, cette fois consacré soutien à l’acquisition et au déploiement de produits ou applications, subventions à la clef. L’occasion de faire un bilan du programme avec Charlotte Drapeau, cheffe du bureau santé et société de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), autorité chargée de piloter ces opérations.

© Tristan Reynaud/SIPA

santé-achat.info : Plusieurs hôpitaux (Ajaccio, Mâcon, Saint-Dizier, Vitry-le-François) ont été victimes de pirates informatiques ces derniers mois. Constatez-vous une augmentation des cyber-attaques contres des établissements publics, particulièrement dans le secteur de la santé ? Faut-il craindre une recrudescence des intrusions ?

Charlotte Drapeau : « L’augmentation de la menace cyber reste particulièrement inquiétante puisque 203 attaques par rançongiciels ont été portées à la connaissance de l’ANSSI en 2021, après une multiplication par 4 du nombre d’attaques traitées par l’agence les deux années précédentes, passant de 54 en 2019 à 192 en 2020. Certes, la situation sanitaire est un facteur de légère aggravation de la menace cyber, en ce sens qu’elle complique la vie des défenseurs, mais pas forcément celle des attaquants. Mais force est de constater que la croissance rapide de la menace cyber précède la crise sanitaire et que la tendance de fond est extrêmement négative. Quand la crise sanitaire s’arrêtera, la crise cyber perdurera. Il est indispensable de décorréler les deux sujets et traiter le sujet cyber qui nous préoccupera durablement.

On recense en moyenne un incident de sécurité par semaine dans le secteur de la santé, le plus souvent par rançongiciel à des fins lucratives. Il semble que dans certains cas les attaquants savent qu’ils ont touché une infrastructure de santé et dans d’autres cas ils n’ont pas conscience de leur cible. Les établissements sanitaires et les établissements médico-sociaux constituent en effet des cibles particulièrement vulnérables. »

santé-achat.info : Quelles sont les failles les plus communément utilisées par les hackers pour pénétrer dans les SI des hôpitaux ?

Charlotte Drapeau : « Dans la plupart des cas, il s’agit d’attaque par rançongiciel à des fins lucratives qui peut se produire par le biais de l’hameçonnage (phishing) au moyen d’un email contenant un lien frauduleux. Il s’agit du moyen de pénétration communément utilisée par les cybercriminels. L’objectif est d’introduire un rançongiciel dans le SI de l’établissement de santé. Une fois que les données du système sont rendues inutilisables par chiffrage, le paiement d’une rançon est exigé en échange de la clé de déchiffrement.

Les attaques par rançongiciels augmentent en nombre, en fréquence et en sophistication. Leurs conséquences sont de plus en plus dévastatrices, sur la continuité d’activité, voire la survie de l’organisation victime. L’immense majorité des attaques est opportuniste et profite du faible niveau de maturité en sécurité numérique des organisations victimes. Depuis 2018 cependant, l’ANSSI observe une recrudescence des attaques par rançongiciels ciblant des organisations aux moyens financiers importants ou aux activités particulièrement critiques. L’importance de ces cibles fait entrer les rançongiciels dans la catégorie des attaques dites « Big Game Hunting ».

L’agence constate par ailleurs que certains groupes criminels associent désormais la menace de publication de données sensibles à l’utilisation de rançongiciels. Ils accentuent ainsi la pression exercée sur leurs victimes pour les amener à payer la rançon. »

santé-achat.info : Combien d’hôpitaux ont bénéficié du parcours cybersécurité proposé par France Relance depuis avril 2021 ?

Charlotte Drapeau : « Le plan France Relance a constitué un effort inédit afin d’accroître le niveau de sécurité des administrations publiques. Sur une enveloppe totale de 136 millions d’euros, augmentée à 176 millions d’euros début 2022, 25 millions sont destinés au secteur de la santé. En ce sens, l’ANSSI continue de proposer aux GHT et aux établissements de santé ultra-marins son offre de Parcours de cybersécurité.

Les Parcours leur permettent, après un diagnostic cyber, de se mettre à niveau, notamment au travers de la sensibilisation et de la formation, et de déployer un ensemble de mesures organisationnelles et techniques de cybersécurité.

Le financement des prestations qui composent les Parcours de cybersécurité s’effectue au travers de subventions directes aux établissements de santé principaux de GHT. Dans tous les cas, un co-financement par le bénéficiaire est demandé. À l’issue du parcours, il est essentiel que chacun pérennise son investissement dans la cybersécurité, a minima à hauteur de 5 % de son budget informatique.

Le volet cybersécurité de France Relance bénéficie au plus grand nombre d’établissements de santé. Il entend toutefois cibler en priorité les établissements principaux des groupements hospitaliers de territoire (GHT). Les objectifs ? Concentrer l’effort sur des systèmes d’information bénéficiant à plusieurs entités et permettre à chacun de ces groupements de capitaliser sur la démarche en diffusant auprès de l’ensemble de ses membres les bonnes pratiques de cybersécurité.

À ce jour, 132 établissements sont engagés dans le Parcours de cybersécurité. »

santé-achat.info : Peut-on tirer un premier bilan des diagnostics et audits prévus par ce pack ? Quel est l’état des lieux ?

Charlotte Drapeau : « 18 mois après le lancement du volet cybersécurité de France Relance, nous faisons le constat d’un succès très important des parcours de cybersécurité : l’approche méthodologique proposée, associée à un soutien financier et à un accompagnement via des prestataires externes constituent un triptyque qui a montré tout son intérêt et sa pertinence opérationnelle. La rapidité dans la mise en place du dispositif a été notamment permise par la capitalisation sur des concepts et guides préalablement produits par l’ANSSI : guide d’hygiène ou guide sur les attaques par rançongiciels, mais aussi par l’appui des experts de l’agence qui ont participé à la phase de cadrage et à la définition des parcours.

En 2021, 39,5 millions ont été directement engagés pour des subventions aux bénéficiaires dont plus de 10 millions pour le secteur de la santé.

Cette année, afin de saisir l’opportunité de démultiplication offerte par certaines structures capables de déployer massivement des produits dans les Groupement Hospitalier de Territoire (GHT), de nouveaux dispositifs sont mis en place. Il s’agit par exemple du soutien à l’acquisition et au déploiement de licences mutualisées de certains produits ou applications pour adresser les établissements plus petits qui n’ont pas bénéficiés directement de l’accompagnement par un parcours (télécharger la notice pour en savoir plus, NDR) ; ou des campagnes de Bug Bounty sur des applications largement déployées auprès du secteur hospitalier, notamment en fonction des vulnérabilités mises en évidences lors des parcours. »

santé-achat.info : Quelles actions l’ANSSI mène-t-elle de son côté pour sensibiliser les établissements sanitaires et médico-sociaux à la sécurité informatique ?

Charlotte Drapeau : « L’ANSSI est l’autorité nationale en matière de cybersécurité et cyberdéfense, et à ce titre est dotée de trois missions : la prévention, la sensibilisation et la formation ainsi que la défense.

En premier lieu, et en coordination avec le ministère de la santé et de la prévention, l’ANSSI veille à la mise en conformité des établissements de santé, d’une part, avec les exigences de la directive européenne NIS et, d’autre part, la loi de programmation militaire (LPM). A date, tous les établissements supports de GHT ont été désignés comme opérateur de service essentiel (OSE). Ils sont donc soumis aux obligations de la directive NIS, telle que la déclaration, auprès de l’ANSSI, d’un point de contact et des incidents de sécurité intervenant sur les systèmes d’information essentiels (SIE) qui doivent être également identifiés. Enfin, des mesures de sécurité techniques et organisationnelles doivent être appliqués à ces systèmes essentiels.

Aussi, l’ANSSI apporte son expertise en produisant de nombreux documents de bonnes pratiques mais aussi, de manière plus opérationnelle, à la préparation, à la réalisation et au retour d’expérience d’exercices de crise cyber. Par exemple, en juin dernier, l’exercice européen Cyber Europe 2022 été ainsi consacré au secteur de la santé, avec la participation de plusieurs entités du secteur, et de premier ordre.

Enfin, l’ANSSI peut intervenir pour enrayer une attaque contre les systèmes d’un bénéficiaire, ou d’une victime lorsque la situation le nécessite, et l’accompagner dans la reconstruction des systèmes d’information. »

Réagir à cet article

Votre adresse e-mail ne sera pas publiée.