CYBERATTAQUES DANS LES ÉTABLISSEMENTS DE SANTÉ
Article rédigé le 19 août 2019 par Me David Lecomte
Des établissements de santé secoués par le RGPD et les cyberattaques !
Les établissements de santé doivent désormais se préoccuper des questions de sécurité. Il y a bien longtemps malheureusement qu’ils ne sont plus des lieux sacralisés.
La médecine hospitalière et la médecine de ville sont en effet de plus en plus confrontées aux atteintes aux personnes dans un contexte sociétal d’extension des incivilités et des violences (augmentation en 2018 de 8% des incidents déclarés à l’Ordre des médecins et de 6% pour les établissements de santé, en particulier dans les services de psychiatrie et les services des urgences).
Sans oublier les atteintes aux biens, comme le vol de cuivre qui peut paralyser un hôpital avec des conséquences dramatiques pour les patients et les secours.
Aujourd’hui les établissements de santé doivent faire face à un nouveau type de délinquance, le hacker !
Le 10 août dernier, un groupe privé de plus de 120 hôpitaux privés, cliniques et centres de radiothérapies, a fait l’objet d’une attaque informatique, paralysant les serveurs gérant les infrastructures et les messageries. Fort heureusement, ni les données des patients, ni le matériel médical n’ont été atteints !
Des malveillances informatiques devenues quotidiennes
En France, chaque jour, quatre établissements de santé seraient victimes de la cybercriminalité. Souvent ce sont des attaques rudimentaires. Mais si les attaques considérées comme « plus élaborées » survenaient jusqu’à présent de manière sporadique, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a indiqué que des attaques plus sérieuses suivaient « désormais le rythme d’une par semaine ». Et d’ajouter : « Nous sommes obligés de réagir, il s’agit d’une question d’éthique lorsque des hôpitaux sont touchés ».
Cette dernière année, des établissements de santé à Montpellier (Hérault), Saint-Denis (Seine-Saint-Denis) ou Condrieu (Rhône) ont été confrontés à des attaques importantes : virus bancaire, rançongiciel, blocage des compte rendus, de l’imagerie en ligne ou des résultats de laboratoire.
Les motivations des hackers peuvent être diverses.
Elles sont d’abord lucratives. La technique du rançongiciel est maintenant bien connue dans le milieu hospitalier. Il s’agit d’un logiciel malveillant qui entrave le fonctionnement du système informatique d’un établissement de santé pour exiger une rançon en échange du déblocage par une clé de déchiffrement par exemple.
Ainsi, en 2016, un hôpital américain a versé une rançon en bitcoins. De même, en 2017, plusieurs dizaines d’établissements du système de santé britannique ont été victimes d’un rançongiciel. Une telle attaque est facilitée lorsque le système d’exploitation de l’établissement n’a pas été mis à jour ou ne peut être mis à jour.
Au-delà de ces extorsions, existent d’autres motivations. Les données de santé ont une valeur considérable pour les laboratoires ou les assureurs, voire pour des Etats qui veulent connaître la situation sanitaire d’un pays. Le hacker peut être tenté de revendre ces données sur le « dark web ».
Les motivations pourraient être aussi terroristes ! Un hôpital peut être la cible d’un cyberterroriste au même titre qu’un opérateur d’importance vitale compte tenu des dommages prévisibles ou du retentissement médiatique et social.
Dans ce contexte de développement de la cybercriminalité, les établissements de santé, certes victimes au premier chef, ne sont pas exsangues d’une éventuelle responsabilité. Le propos peut faire bondir mais il ne faut pas oublier que la nouvelle réglementation en vigueur depuis un peu plus d’un an oblige les « responsables de traitement » à prendre des mesures appropriées afin de protéger les données à caractère personnel.
En d’autres termes, pèsent sur les établissements de santé des obligations qu’il n’est pas inutile de rappeler.
Le principe juridique de sécurité informatique
Le règlement européen sur la protection des données, que chacun connaît désormais sous son acronyme RGPD, traite en effet de la sécurité des données à la section 2 du chapitre IV (article 32 sur la sécurité du traitement, les articles 33 et 34 ayant trait à la violation des données).
Il n’est pas inutile d’en revisiter les motivations.
Ainsi le considérant 39 du RGPD indique que « Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement ».
Ensuite le considérant 49 du RGPD explique ce que le droit européen entend par « sécurité du réseau et des informations ». Il s’agit de « la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel conservées ou transmises (…) ».
Enfin un troisième considérant, le considérant 83, incite le responsable de traitement ou le sous-traitant à avoir une approche de la sécurité par les risques.
De ces motivations découle l’article 32 du RGPD qui renforce donc l’obligation de sécurité à la charge du responsable du traitement : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ».
Préalablement à l’article 32, l’article 5. 1 f) du RGPD insiste également sur la responsabilité des acteurs « Les données (…) doivent être (…) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ».
Par ailleurs, nous pouvons mentionner les lignes directrices sur la notification de violations de données à caractère personnel du groupe de travail ‘article 29’, adoptées les 3 octobre 2017 et 6 février 2018, et qui distinguent :
- la violation de la confidentialité, en cas de divulgation ou d’accès non autorisés ou accidentels à des données à caractère personnel ;
- la violation de l’intégrité, en cas d’altération non autorisée ou accidentelle de données à caractère personnel ;
- la violation de la disponibilité, en cas de destruction ou de perte accidentelle ou non autorisée de l’accès à des données à caractère personnel.
Aussi, dans un contexte d’interopérabilité des systèmes d’information qui oblige à ouvrir les réseaux tout en renforçant leur sécurité conformément aux exigences précitées, la sécurité informatique doit être inscrite dans le projet global de sécurité des établissements de santé, au même titre que la sécurité des personnes, des biens ou la sécurité incendie.
L’obligation de sécurité informatique se traduit en pratique par la nécessité de prévoir des mesures de sécurité physique et des mesures de sécurité logique ou numérique.
En outre, la communication de données de santé directement ou indirectement identifiantes doit répondre à des normes ou référentiels de sécurité particuliers.
Mise en œuvre d’une politique de sécurité
Les établissements de santé structurent progressivement leur système d’information et augmentent, certes insuffisamment, le budget dédié à la sécurité informatique.
La direction générale de l’offre de soins du ministère des Solidarités et de la Santé propose un mémento de cybersécurité à l’usage du directeur d’établissement de santé.
La CNIL rappelle, sur son site, aux professionnels les précautions élémentaires à mettre en œuvre pour être en conformité avec la réglementation.
https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
https://www.cnil.fr/fr/garantir-la-securite-des-donnees
https://www.cnil.fr/sites/default/files/atoms/files/check_list_0.pdf
L’ANSSI met en ligne des guides et recommandations pour sensibiliser aux bonnes pratiques de sécurité numérique. Si ces mesures d’hygiène préconisées par l’ANSSI étaient mieux suivies, la quasi-totalité des menaces serait évitée selon l’agence.
Au quotidien, les principales lacunes de sécurité constatées par le Centre de cyberdéfense de l’ANSSI sont des systèmes et des applications non à jour de leurs correctifs de sécurité, une politique de gestion des mots de passe insuffisante, une absence de séparation des usages entre utilisateur et administrateur des réseaux, un laxisme dans la gestion des droits d’accès, une absence de surveillance des systèmes d’information, un cloisonnement insuffisant des systèmes, une absence de restrictions d’accès aux périphériques, une ouverture excessive d’accès externes incontrôlés au système d’information, une sensibilisation et une maturité insuffisantes des utilisateurs et des dirigeants face à la menace dont ils ne perçoivent pas toujours les risques.
https://www.ssi.gouv.fr/administration/principales-menaces/comment-se-premunir-de-ces-menaces/
L’agence française de la santé numérique (Asip santé) a également développé un portail de cyberveille.
https://www.blogasipsante.fr/category/fiches-thematiques/cybersecurite
Sanctions pour le responsable de traitement
La CNIL prononce régulièrement des sanctions administratives, avec des montants plus élevés, à l’encontre de responsables de traitements qui n’ont pas respecté l’obligation de sécurité et de confidentialité.
Ainsi, le 18 juillet 2019, elle a prononcé une sanction de 180.000€ eu égard à la protection insuffisante des données des utilisateurs d’un site web, la CNIL prenant toutefois en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de l’autorité de contrôle.
Le 28 mai 2019, la sanction a été de 400.000€ : à ce motif s’ajoutait le non-respect des durées de conservation. La CNIL « a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. ».
Mentionnons deux autres sanctions pécuniaires de la CNIL relativement élevées, mais pour des faits qui se sont déroulés avant l’entrée en application du RGPD.
Le 26 décembre 2018, la sanction a été de 250.000€ pour des données des clients d’un site web insuffisamment protégées, compte tenu « de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences ».
Le 19 décembre 2018, la sanction a été de 400.000€ pour le même motif et même si les faits sont antérieurs à l’entrée en application du RGPD, les autorités européennes de contrôle ont harmonisé leurs sanctions respectives puisque les faits reprochés avaient eu lieu dans plusieurs pays.
Les établissements de santé ne sont pas à l’abri de ces sanctions puisque la première amende post RGPD dans l’Union Européenne a concerné un centre hospitalier !
En octobre 2018, un hôpital portugais s’est vu infliger une amende totale de 400.000€ pour la violation des principes d’intégrité, de confidentialité et de minimisation des données.
Des personnels administratifs non autorisés ou des médecins vacataires ayant quitté l’hôpital avaient accès aux dossiers des patients. La gestion des profils et habilitations pour accéder aux données des patients souffrait de graves faiblesses.
Même si cette sanction ne concerne pas un établissement français, elle est particulièrement intéressante dans le contexte actuel d’harmonisation des sanctions à l’échelle européenne.
Si elle ne constitue pas une « obligation de résultat », l’obligation de sécurité est aujourd’hui a minima une obligation de moyens renforcée, qui nécessite que les mesures de sécurité adoptées par le responsable du traitement soient conformes à l’état de l’art et adaptées au niveau de sensibilité des informations collectées et nous n’avons pas besoin de rappeler la sensibilité des données de santé !
Face aux contraintes réglementaires, légitimement élevées dans le domaine de la santé, et aux attaques de plus en plus massives, la sécurité informatique est vitale et doit être intégrée dans les priorités des établissements.
Les métiers hospitaliers sont devenus « numérico-dépendants », comme ils sont dépendants des services de biologie et de radiologie. Pourtant les budgets qui y sont consacrés restent encore trop modestes alors que chaque cyberattaque a des conséquences financières ; perte d’activité, coût d’intervention de prestataires spécialisés.
Jusqu’à présent il n’y a pas eu d’autres conséquences mais rien ne permet d’exclure des conséquences sur les soins et la sécurité des patients.
Certes, la ministre des Solidarités et de la Santé souhaite « intensifier » la sécurité des systèmes d’information en santé avec la mise en place, l’année prochaine, d’un observatoire de la conformité à la doctrine e-santé et d’un service national de cybersurveillance en santé.
Les dispositifs de contrôle de conformité pour les systèmes d’information en santé, financés sur fonds publics, devraient être renforcés avec une actualisation des référentiels et des évolutions législatives.
Mais cela ne suffit pas, la mise en sécurité est l’affaire de tous et doit concerner TOUS les champs d’intervention. Prenons un exemple. La politique sanitaire territoriale oblige à une interopérabilité entre les systèmes d’information des acteurs (établissements de santé, EHPAD, cabinets de radiologie, laboratoires d’analyse médicale, etc). Or, trop souvent les acteurs ne s’attachent qu’à l’aspect opérationnel et négligent le renforcement des mesures de protection et de préciser dans leurs documents contractuels les responsabilités de chacun.
L’attaque dont a été victime RGDS au mois d’août doit servir d’alerte et conduire tous les acteurs de santé à la plus grande vigilance.
Après une vingtaine d’années dans la sécurité publique d’abord en qualité d’officier de gendarmerie puis de directeur de la sécurité et de la réglementation de communes, David Lecomte a souhaité se spécialiser en protection des données. Il a alors rejoint une collectivité pour en piloter sa mise en conformité ‘RGPD’. Il avait précédemment acquis une expertise en droit disciplinaire et droit statutaire en administration centrale. Il apporte désormais ses connaissances, son expérience et son savoir-faire au service des clients du Cabinet Houdart et Associés depuis juillet 2019.