Cybersécurité et santé : "le défi n’est pas seulement financier mais aussi humain".

“Pour sécuriser les infrastructures informatiques des établissements de santé, il faut un budget pour investir dans des solutions adaptées, mais il faut aussi des compétences.
Le plan France Relance est un premier pas avec un soutien sur l’aspect financier.
Cependant, sans ressources humaines, les projets ne peuvent être menés à bien.
L’accent doit donc être mis sur le recrutement, mais aussi sur la sensibilisation et la formation de tous les métiers de l’hôpital.
La cybersécurité est désormais une question de gouvernance.”
Dans un entretien exclusif avec Health & Tech Intelligence, François Lancereau, expert santé chez WALLIX, éditeur européen de logiciels de sécurité informatique spécialisé dans la gestion des accès et des identités numériques, revient sur les enjeux et les défis de la cybersécurité dans les établissements de santé.

“L’UE a tout intérêt à s’imposer pour dicter ses règles”

📌 Éléments clés de la discussion :
– François Lancereau estime que les budgets actuels des hôpitaux en matière de cybersécurité ne sont “pas suffisants” mais souligne que le plan France Redressement a été salvateur pour un grand nombre d’établissements de santé : il leur a permis d’acquérir des solutions qu’ils ne pouvaient pas obtenir auparavant ;
‍
– Il insiste sur le fait que l’acquisition de ressources humaines compétentes en informatique est également essentielle ;
“Le sujet de la sécurité informatique doit être abordé globalement” au sein de l’organisation (questions de gouvernance), et pas seulement par le RSSI par exemple, note-t-il : “il est nécessaire que toutes les personnes de l’organisation s’approprient le sujet pour éviter les failles ;
– L’une des difficultés est de sensibiliser l’ensemble du personnel aux bonnes pratiques : “sans une véritable conduite du changement, le projet de cybersécurité risque d’être un échec” ;
– Dans le passé, certains fabricants américains ou japonais ont pu se soustraire à certains contrôles ou règles, mais aujourd’hui ce n’est plus possible. “C’est là que la réglementation européenne nous aide : nous nous dirigeons vers le principe “ils n’ont plus le choix”. Ce ne sont plus les installations qui s’adaptent aux fabricants, mais les fabricants qui s’adaptent aux besoins des installations. WALLIX a déjà entamé des discussions avec nombre d’entre elles “pour amorcer ce changement” ;
– François Lancereau insiste également sur l’importance d’intégrer les aspects de sécurité “dès la conception” : “Il faut superviser tout ce qui va entrer dans l’hôpital, s’assurer que les équipements peuvent être sécurisés et/ou sécurisants” ;
– Pour François Lancereau, le paiement de rançons est “une aberration” : “L’Europe a plus que tout intérêt à s’imposer pour dicter ses règles (…) Il faut un “non” massif dans toute l’UE” ;
Enfin, il souligne l’importance de développer les bons réflexes de sécurité informatique chez les nouvelles générations, dès l’école primaire.
‍

Pourriez-vous présenter en quelques mots WALLIX et plus particulièrement vos activités dans le secteur de la santé ?

François Lancereau: Notre spécialité est la sécurisation des accès et des identités numériques.
Nous sommes présents dans plus de 90 pays avec plus de 2 000 clients dans le monde.
Nous sommes très présents en France, mais nous avons su nous développer à l’international depuis 20 ans (la société a été créée en 2003).
Cela nous permet de faire face aux différentes disparités qui existent en termes de réglementation sur le marché : avec un même produit, nous n’avons pas forcément les mêmes applications selon l’origine de notre client (Etats-Unis ou France par exemple).
Notre solution, WALLIX PAM4ALL (PAM : Privileged Access Management), vise à sécuriser tous les accès des utilisateurs – humains ou machines – d’une organisation, selon le principe du moindre privilège.
Cela permet d’identifier qui fait quoi, où, quand et comment.
Nos secteurs de prédilection sont l’industrie, la santé et les services financiers, avec une forte expertise dans l’IoT industriel (équipements connectés / exemples : machines de production en usine, scanners, robots en laboratoire, IRM, etc.) : des technologies critiques qui fonctionnent souvent sur de très anciennes versions de Windows.
Certains des hôpitaux avec lesquels nous avons contracté ces dernières années se sont rendu compte – lorsqu’ils ont installé WALLIX PAM4ALL – du comportement de leurs utilisateurs, notamment de leurs fournisseurs de services : signalement des périodes de connexion, identification des équipements qui avaient tendance à avoir des pannes régulières.
Depuis la mise en place du bastion, ils constatent que ces équipements n’ont plus de pannes, que tout va bien.
Avec notre solution, nous responsabilisons les gens : nous ne les empêchons pas de travailler, l’objectif est de les sécuriser.

Sensibilisation à la nécessité de recruter des profils d’experts

Les cyberattaques se multiplient dans le secteur de la santé, la dernière en date étant celle, très médiatisée, du Centre Hospitalier Sud Francilien (CHSF).
Selon vous, les budgets alloués aux hôpitaux sont-ils suffisants pour assurer leur cyberprotection ?
Les budgets actuels des hôpitaux ne sont pas suffisants.
Il faut aussi comprendre qu’à l’origine, lorsqu’il a fallu nommer des DSI dans les hôpitaux, ce rôle a souvent été attribué d’office à des médecins qui avaient plus ou moins d’affinités avec l’informatique.
Cette organisation a beaucoup évolué depuis : soit certains de ces médecins sont devenus des informaticiens, soit la fonction a été confiée à des personnes dont c’était le métier.
Le processus a commencé avant la pandémie de Covid, puis, en raison des différentes attaques qui ont eu lieu dans le secteur pendant et depuis la crise, nous avons réussi à intégrer dans l’inconscient collectif qu’il était nécessaire de confier ce rôle à des personnes expertes qui savaient de quoi elles parlaient.
Auparavant, les RSSI étaient perçus comme des rabat-joie, alertant sur la nécessité de disposer d’un budget dédié à la cybersécurité, de mettre en place telle ou telle pratique, de sensibiliser le personnel, etc.
On leur répondait généralement qu’ils n’avaient ni le budget ni le temps de mettre en œuvre leurs recommandations.
On leur répondait généralement qu’ils n’avaient ni le budget ni le temps de mettre en œuvre leurs recommandations.
Jusqu’à ce qu’une catastrophe survienne et qu’on leur donne raison.
S’ils avaient été écoutés dès le début, certaines situations auraient pu être évitées ou au moins contenues.
Les moyens financiers nous permettent d’avoir des moyens matériels mais aussi humains.
Le plan France Relance aide les établissements sur l’aspect “capital”, mais ils doivent comprendre qu’ils doivent aussi avoir les ressources humaines pour faire face à ces enjeux.
Il ne s’agit donc pas seulement d’une question de budget, mais de moyens au sens large : avoir des personnes compétentes, formées… L’avantage aujourd’hui, c’est qu’on a une vraie écoute des questions de cybersécurité, une attention qu’on n’avait pas avant.
Tout le monde comprend qu’une cyberattaque peut avoir des effets catastrophiques sur les services hospitaliers.
Par exemple, si des hackers mettent hors service le système de ventilation des blocs opératoires, il faut fermer le bloc immédiatement, car un bloc non ventilé n’est plus stérile : si un patient est sur la table d’opération au moment de l’attaque et que tout s’arrête, les conséquences peuvent être dramatiques.

La nécessité d’une véritable gouvernance pour que la question devienne commune

Selon vous, qui devrait prendre en charge cette question dans les établissements de soins de santé afin de prévenir de telles attaques ?

Le problème n’est pas “qui”, sinon tout le monde se renvoie la balle jusqu’à ce que l’un d’entre eux l’attrape, par exemple le RSSI : et si quelque chose arrive, il ou elle devra en assumer l’entière responsabilité.
Il faut prendre le sujet avec un vrai enjeu de gouvernance pour qu’il devienne un enjeu commun.
Il n’est plus possible que chacun agisse dans son coin.
Le sujet doit être abordé de manière globale.
Le RSSI aura un rôle à jouer dans les recommandations, car c’est à lui de sécuriser les différents métiers, mais il a besoin de l’appui de la DSI et du personnel (infirmières, médecins, personnes qui travaillent dans le laboratoire, etc.)
Ce qui est compliqué, c’est de faire adhérer tout le monde.
Il est difficile de changer les habitudes de travail.
La sensibilisation et la formation sont donc essentielles lors de la mise en œuvre de projets de cybersécurité.
Sans une véritable conduite du changement, le projet risque d’échouer.
Toutes les personnes de l’organisation doivent s’approprier le sujet pour éviter les failles.
Concernant l’anticipation des attaques, il existe un certain nombre d’établissements qui peuvent aujourd’hui utiliser des solutions comme le VPN (Virtual Private Network) pour savoir qui entre et qui sort.
Par exemple, lorsqu’une personne vient faire le ménage, elle peut badger en entrant et en sortant.
Mais quelle garantie avons-nous qu’il s’agit bien de la personne qui fait le ménage ?
D’autant plus qu’avec ce type de badge, cette personne peut aller partout dans l’établissement.
C’est l’un des principaux problèmes : nous ne savons pas ce que les gens font réellement dans l’organisation.
Il n’y a pas de retour d’information.
Par exemple, Uber a été piraté fin 2016 (et aussi en septembre dernier…).
C’est une grande entreprise américaine, avec beaucoup de ressources, mais il leur a fallu 2 ans pour savoir qu’ils avaient été piratés.
Ils n’avaient aucune preuve.
Aujourd’hui, nous devons être capables de sécuriser tous les points d’entrée potentiels des pirates.
Tant qu’il y aura des humains, il y aura des risques.
La question n’est pas de savoir “si” je vais être attaqué, mais “quand”.

“Les réglementations, c’est bien, les faire appliquer, c’est mieux”.

Faut-il mettre en place une réglementation spécifique ?
Pensez-vous que la loi sur la cyber-résilience, en cours d’élaboration au niveau européen pour les objets connectés, devrait être étendue ?
La réglementation c’est bien, la faire appliquer c’est mieux.
Si je vous demande de faire 50 tâches en une journée, ce n’est pas possible.
Mais il y a effectivement des choses qui doivent être légiférées.
Par exemple, il y a beaucoup de dispositifs biomédicaux fabriqués par des éditeurs étrangers qui sont soumis à des lois différentes des nôtres.
Certains d’entre eux devront se conformer à la législation française : ils ne peuvent plus agir comme ils le souhaitent, mais il y a une période d’incertitude.
Certains de nos clients sont déjà en contact avec nous (WALLIX) justement pour que nous voyions comment interfacer nos solutions afin de pouvoir tracer ce qu’ils font car aujourd’hui, tout établissement de santé est censé savoir ce qui se passe à domicile.
Jusqu’à présent, ces fabricants avaient la possibilité d’échapper à certains contrôles ou à certaines règles.
Aujourd’hui, ce n’est plus possible.
C’est là que le règlement européen nous aide : nous convergeons vers le principe “Ils n’ont plus le choix”.
Ce ne sont plus les institutions qui s’adaptent aux fabricants, mais les fabricants qui s’adaptent aux besoins des institutions.
C’est pourquoi nous avons déjà entamé des discussions avec nombre d’entre eux pour amorcer ce changement.
C’est dans ce contexte que les législations française et européenne sont très importantes.
D’autre part, en interne, pour les hôpitaux, comme je le disais, c’est avant tout de moyens dont ils ont besoin.

“Le plan de relance de la France a été une bouée de sauvetage pour un grand nombre d’hôpitaux.

Une version actualisée du référentiel de certification HDS est en cours de construction et la nouvelle feuille de route française pour la santé numérique 2023-2027 devrait placer la cybersécurité parmi les priorités : Quelles sont vos attentes vis-à-vis de ces évolutions réglementaires ?

Vous devez penser à la sécurité “dès la conception” : lorsque vous construisez une solution, vous devez vous demander dès le départ comment garantir qu’elle est sécurisée, ou du moins comment la rendre facile à sécuriser.
Dans la salle d’opération, si vous installez une caméra et que vous la connectez à l’infrastructure informatique, comment savoir d’où elle vient et si le système est sécurisé ?
Vous devez contrôler tout ce qui entre dans l’hôpital, vous assurer que l’équipement est “sûr” et/ou sécurisé.
Chez WALLIX, par exemple, nous avons développé des sessions de sensibilisation au sein des grandes écoles pour ceux qui seront les chefs d’entreprise de demain, les futurs responsables techniques et administratifs.
Lorsque quelqu’un se connecte à sa messagerie et voit un e-mail étrange, son premier réflexe doit être de ne pas l’ouvrir, d’en parler à son service informatique et de le supprimer.
Lorsque nous effectuons un test de phishing dans des organisations, nous remarquons que les personnes qui réagissent au phishing ne sont pas toujours celles auxquelles nous pensons.
Il peut s’agir d’un manager ou d’une réceptionniste : les impacts ne sont pas les mêmes selon le profil.
Notre objectif est de développer ces réflexes chez les jeunes générations, en allant au-delà de l’apprentissage des bases.
L’idée est de sensibiliser dès le plus jeune âge, dès l’école primaire, car les enfants commencent à utiliser les outils numériques très tôt.
Les bonnes pratiques en matière de cybersécurité doivent devenir un réflexe, comme on apprend aux enfants à traverser la rue en regardant à droite et à gauche.

Avez-vous le sentiment qu’il y a déjà eu une évolution dans la prise de conscience générale sur le sujet de la cybersécurité ?

Par ailleurs, jusqu’à présent, tout le monde pensait que les solutions de PAM (Privileged Access Management) étaient utiles, mais il n’y avait pas de réelle prise de conscience de leur nécessité.
Ce n’est plus le cas : il est désormais évident que vous avez besoin de ces solutions pour gérer les identités et savoir ce qui se passe en interne, mais aussi ce que font les prestataires de services, car un hôpital compte plusieurs centaines de prestataires de services qui se connectent tous les jours.
C’est une véritable ruche de personnes qui entrent et sortent.
Avoir ce type de solutions nous permet d’avoir des caméras, des contrôles d’accès, de détecter des comportements étranges et de mettre en place des mécanismes de blocage.
En ce sens, le plan France Relance est vraiment utile : il a permis aux hôpitaux d’acquérir des solutions qu’ils ne pouvaient pas acheter auparavant, faute de moyens financiers.
Le seul inconvénient est qu’il permet un financement à un instant “T”.
Une récurrence est à prévoir dans les années à venir.
En tout état de cause, le plan France Relance a été salvateur pour un grand nombre d’établissements de santé.
Il est dommage qu’il ait fallu attendre si longtemps, mais maintenant qu’il est là, c’est un progrès.

Paiements de rançon : Un “non” massif à l’échelle de l’UE est nécessaire

Que pensez-vous du paiement des rançons ?

Personnellement, je pense que c’est une aberration de payer la rançon demandée par les hackers.
A partir du moment où l’Etat valide le principe du paiement des rançons par les compagnies d’assurance (cela peut intéresser ces dernières), du point de vue du cyber-attaquant, c’est une aubaine.
Tous les hackers du monde se tourneront vers la France !
C’est là que la réglementation européenne est essentielle.
Nous sommes très avancés sur ce sujet en France, mais en face nous avons les géants américains (GAFAM) qui jusqu’à présent faisaient ce qu’ils voulaient.
L’Europe a plus que tout intérêt à s’imposer pour dicter ses règles.
La France seule ne peut rien faire : il faut un “non” massif au niveau de toute l’Union européenne.

Lire l’interview sur le site de Health & Tech Intelligence (en anglais)