Dans le cadre de l’European Cyber Week 2024, Biotech Santé Bretagne a coorganisé avec le Mipih SIB la 6ème édition de la conférence Cyber & Santé. Cette conférence s’adressait aux acteurs de la santé comme à ceux de la cybersécurité. L’objectif était de fédérer toutes les parties prenantes, pour une meilleure coopération des professionnels autour des enjeux de la cybersécurité dans le domaine de la santé.
Une récente étude de l’ANSSI sur l’état de la menace cyber a révélé une augmentation marquée des attaques déclarées par les établissements de soin : entre 2020 et 2023, leur proportion est passée de 2,8 % à 11,4 %. Cette hausse touche une grande variété d’acteurs, dont font partie les CHU et hôpitaux ainsi que les structures médico-sociales, illustrant l’hétérogénéité des typologies d’établissements concernés. En réponse, des programmes d’accompagnement adaptés à cette diversité ont été présentés lors de la conférence. Au-delà des établissements de soin, cette problématique impacte également les industriels de dispositifs médicaux (DM) et les éditeurs de logiciels de santé.
Le programme CaRE soutient la mise à niveau des systèmes d’informations hospitaliers face à la menace cyber
A travers la vision de trois parties prenantes, l’Etat et deux établissements de santé, nous avons décrypté les avancées du programme CaRE et ce qu’il reste à réaliser. Franck Mestre, de l’Agence du Numérique en Santé, a d’abord présenté les ambitions du programme, conçu pour renforcer la cybersécurité des établissements de santé (ES) et médico-sociaux (ESMS). À court terme, ce programme vise à améliorer leur résilience face aux cyberattaques, tandis qu’à long terme, il accompagne le renforcement de leur sécurité opérationnelle. Plusieurs actions concrètes ont été détaillées, telles que la maîtrise des risques d’exposition sur internet et la sécurisation des annuaires, le développement de stratégies de continuité et de reprise d’activité, la sécurisation des accès distants, la détection des tentatives d’intrusion, ainsi que l’accélération de l’adoption du RIE (Référentiel d’Identification Électronique), soutenue par l’appel à projets HospiConnect (budget : 51 M€, ouvert jusqu’en mars 2025).
Romina Aguilar, de la Fondation AUB Santé, a témoigné de l’impact du programme CaRE : montée en compétences de son équipe, définition d’objectifs opérationnels clairs et exercices de gestion de crise pour mieux se préparer. Arnaud Meunier, du GHT Cornouaille, a quant à lui souligné l’apport du programme pour surmonter les réticences initiales des directions de santé face aux contraintes de cybersécurité, grâce à une adhésion facilitée par les financements d’État, la priorisation des actions, l’accélération des projets, et une meilleure implication de la DSI dans les démarches de sécurité, renforçant ainsi la culture cyber au sein des équipes.
Franck Mestre a également annoncé les prochaines étapes : l’ouverture du domaine dédié aux stratégies de continuité et de reprise d’activité, avec une enveloppe de 45 M€, ouvert en fin d’année 2024, et un volet sur la sécurisation des accès distants, doté de 60 M€, ciblant les ESMS, avec des candidatures prévues pour 2025 après des ateliers de concertation avec les acteurs concernés.
Retour d’expérience du CHU de Rennes après la cyberattaque de juin 2023
Lors de la conférence, Frédéric Alliaume, RSSI du CHU de Rennes (10 000 agents, plus de 500 000 patients par an), a partagé la gestion de la cyberattaque qui a frappé l’établissement le 21 juin 2023. L’alerte, remontée par Orange Cyberdéfense, signalait un envoi suspect de données vers une adresse inconnue. Une cellule de crise technique a été immédiatement activée, permettant de limiter les dégâts : isolation complète du CHU du monde extérieur, déconnexion des sauvegardes pour les préserver, et désactivation d’un compte à hauts privilèges compromis dans l’heure. Une cellule de crise institutionnelle a ensuite organisé la continuité des activités et anticipé une coupure totale éventuelle. Les autorités compétentes (CERT Santé, ANSSI, ARS) ont été informées, et les professionnels ont été alertés par SMS.
Malgré ces mesures, plusieurs activités ont été impactées. Si certaines fonctions critiques (SIS interne, téléphonie, fax) ont pu être maintenues, des outils essentiels tels qu’internet, les applications SAMU, les consultations à distance ou encore les messageries professionnelles ont été paralysés. Un fonctionnement dégradé a dû être mis en place, avec un recours accru au fax, aux courriers papier et aux dispositifs personnels pour assurer le suivi des patients. Le rétablissement complet des services numériques s’est étalé sur plusieurs mois, du 21 juin 2023 (premiers flux SAMU) au 9 octobre 2023 (accès internet).
L’attaque a débuté par un vol d’identifiants et de mots de passe, permettant aux hackers d’accéder au VPN du CHU. Ils ont installé un kit de compromission, obtenu des droits administrateurs, et exfiltré environ 300 Go de données sensibles (patients, personnels, partenaires). Dès le 29 juillet, des menaces de divulgation sur le darknet ont été reçues.
Un plan de sécurisation a été mis en place avec l’appui de l’ANSSI, comprenant le nettoyage du système d’information, le renforcement des accès distants et serveurs, et le renouvellement systématique des mots de passe. Ces actions se poursuivront jusqu’en avril 2024.
Malgré l’ampleur de l’attaque, le bilan est relativement positif : les exercices de préparation depuis 2020 ont permis une réactivité efficace, la qualité des soins a été maintenue sans interruption, et le volume de données volées représente 0,01 % des données totales du CHU. Toutefois, l’impact interne reste lourd : 8 agents dédiés à temps plein pendant 4 mois pour rétablir les services, un coût hors RH de 500 000 €, et des mesures de sécurité désormais plus contraignantes pour les utilisateurs. Cette crise a néanmoins accéléré les efforts de sécurisation et mis en évidence l’importance du plan de continuité d’activité en cas de cyberattaque.
La cybersécurité dans les établissements est l’affaire de tous, y compris des industriels
Lors de son intervention, Jean-Sylvain Chavanne, RSSI du CHU de Brest, a mis en lumière un enjeu crucial : la sécurisation des logiciels et équipements numériques déployés dans les établissements de santé. Alors que l’hôpital s’appuie de plus en plus sur des solutions développées par des éditeurs externes, la cybersécurité devient une responsabilité collective impliquant tous les partenaires.
Pour prévenir la propagation d’une cyberattaque au sein des systèmes d’information, il est essentiel de collaborer étroitement avec les fournisseurs. Cela passe par l’intégration de bonnes pratiques dans les marchés publics, comme les clausiers de sécurité et des clauses d’audibilité des logiciels installés. Jean-Sylvain Chavanne préconise également des audits de sécurité réguliers, y compris pour les applications en production, ainsi que la promotion de démarches proactives comme la publication des vulnérabilités connues (CVE) et l’organisation de programmes de bug bounty.
Cependant, il souligne des lacunes fréquentes chez certains éditeurs : absence de documentation pour les études de sécurité, installation de logiciels obsolètes ou non conformes, et manque de considération pour la cybersécurité dans leurs processus.
Un outil clé pour structurer ces exigences est le clausier de sécurité numérique, élaboré par le club des RSSI de santé. Ce document unifie les standards de conformité numérique en santé, définis par les RSSI, DPO et ingénieurs biomédicaux. Accessible en téléchargement libre sur le site du club des RSSI santé (ici), il constitue une référence essentielle pour intégrer des exigences de cybersécurité dans les contrats avec les acteurs du numérique en santé.
« La cybersécurité d’un établissement de santé, c’est le rôle de tous les partenaires. »
Jean-Sylvain Chavanne, RSSI du CHU de Brest
Cybersécurité dans les établissements sociaux et médico-sociaux : comment avancer ?
Dans le cadre de l’initiative EDIH Bretagne, des diagnostics en cybersécurité sont proposés aux établissements sociaux et médico-sociaux (ESMS). Des acteurs clés tels que Michaël Benoit (Pôle d’excellence cyber – PEC), Gilles Larroche (Groupement régional e-santé Bretagne), Laurence Bauduin (Patis Fraux) et Frédéric Le Pottier (EPSMS Ar Goued) sont venus témoigner du déploiement de la cybersécurité observé dans le domaine du social et médico-social.
Ces établissements, bien que soumis aux mêmes risques que les établissements sanitaires, disposent de moyens humains et financiers souvent limités, et consacrent peu de temps à la cybersécurité. Le Groupement régional e-santé Bretagne a souligné leur moindre maturité face à ces enjeux et leur propose un accompagnement spécifique. Cela inclut des initiatives comme un club d’échange, des campagnes d’hameçonnage, des formations, la création de chartes SI et l’accompagnement pour le déploiement de dossiers usagers informatisés.
Le diagnostic cyber dans le cadre de l’EDIH, présenté par Michaël Benoit, est un audit rapide subventionné à 50 % par le programme européen EDIH. Il permet aux ESMS d’évaluer leur niveau de cybersécurité grâce à un cyber score et de bénéficier d’une feuille de route pour des actions concrètes. Ce diagnostic, d’un coût d’environ 1 500 €, est ouvert aux candidatures jusqu’à fin octobre 2025.
Enfin, Frédéric Le Pottier a insisté sur l’importance de traiter la faille humaine, un facteur de vulnérabilité majeur dans les établissements, et sur la nécessité d’accompagner les équipes pour renforcer leur vigilance face aux menaces.
NIS 2 : la réglementation cyber vue par l’Europe
La conférence Cyber & Santé s’est conclue par une intervention de l’agence de l’Union européenne pour la cybersécurité (ENISA) sur la directive NIS 2 (Network and Information Security). Par rapport à NIS1, elle élargit ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber. Sa transposition à l’échelle nationale n’est pas encore finalisée, et devrait paraître au premier semestre 2025. De nombreux challenges entourent cette directive : supervision, sanction, coopération entre les autorités, augmentation du nombre d’entités concernées, contraintes en matière de ressources et renforcement des capacités. Dans le domaine de la santé, cette directive cohabite avec de nombreuses autres, comme le règlement des dispositifs médicaux, l’IA Act, le Cyber resilience act, etc.
L’ENISA propose des rapports et évènement dans le domaine de la santé pour contribuer à la sécurité de ce secteur.
Voir le programme complet de la conférence : https://www.biotech-sante-bretagne.fr/agenda/conference-cyber-sante-european-cyber-week-2024/
📅 A noter : Biotech Santé Bretagne organise une mission d’étude à Bruxelles sur la réglementation des dispositifs médicaux, l’IA et la cyber-résilience en décembre 2024 (complet) et propose une formation sur la cybersécurité des dispositifs médicaux le 23 juin 2025 à Rennes (voir le programme).
Publié le 3/12/2024
