Cybersécurité et santé : « l’enjeu n’est pas seulement financier mais aussi humain » (F Lancereau, WALLIX)
« Afin de sécuriser les infrastructures informatiques des établissements de santé, il faut du budget pour investir dans des solutions adéquates mais il faut aussi des compétences. Le plan France Relance est une première étape avec un accompagnement sur le volet financier. Cependant, sans moyens humains, les projets ne pourront pas être menés efficacement. L’accent doit donc être mis sur le recrutement mais aussi la sensibilisation et la formation de tous les métiers de l’hôpital. La cybersécurité c’est désormais une affaire de gouvernance. »
Dans un entretien exclusif accordé à Health & Tech Intelligence, François Lancereau, expert santé chez WALLIX, éditeur européen de logiciels de sécurité informatique spécialiste de la gestion des accès et des identités numériques, revient sur les problématiques et les enjeux de la cybersécurité des établissements de santé.
« L’UE a tout intérêt à s’imposer pour dicter ses règles »
📌 Les éléments clés de l’échange :
- François Lancereau estime que les budgets actuels des hôpitaux en matière de cybersécurité ne sont « pas suffisants » mais souligne que le plan France Relance a été cependant « salvateur » pour un grand nombre d’établissements de santé : il leur a permis d’acquérir des solutions qu’ils ne pouvaient pas se procurer auparavant ;
- il insiste sur le fait que l’acquisition de ressources humaines compétentes en informatique est aussi primordiale ;
- « le sujet de la sécurité informatique doit être saisi de manière globale » au sein de l’organisation (problématique de gouvernance), et non uniquement par exemple par le RSSI, relève-t-il : « il faut que l’ensemble des personnes de l’organisation s’emparent du sujet pour éviter les brèches » ;
- l’une des difficultés est de sensibiliser l’ensemble du personnel aux bonnes pratiques : « sans réelle gestion du changement, le projet de cybersécurité pourra être un échec » ;
- si certains constructeurs américains ou japonais avaient par le passé la possibilité d’échapper à certains contrôles ou à certaines règles, aujourd’hui ce n’est plus possible. « C’est là où la réglementation européenne aide : on converge vers le principe du « Ils n’ont plus le choix ». Ce ne sont plus les établissements qui s’adaptent aux constructeurs, ce sont les constructeurs qui s’adaptent aux nécessités des établissements. » WALLIX a déjà commencé à discuter avec un grand nombre d’entre eux « pour amorcer ce changement » ;
- François Lancereau insiste également sur l’importance d’intégrer les aspects de sécurité « by design » : « il faut encadrer tout ce qui va entrer dans l’hôpital, s’assurer que le matériel soit sécurisable et/ou sécurisé » ;
- le paiement des rançons est pour François Lancereau « une aberration » : « l’Europe a plus que tout intérêt à s’imposer pour dicter ses règles. (…) Il faut un « non » massif au niveau de toute l’UE » ;
- il souligne enfin l’importance de développer les bons réflexes en matière de sécurité informatique auprès des nouvelles générations, et ce dès l’école primaire.
Sécuriser tous les accès utilisateurs « selon le principe du moindre privilège »
Pourriez-vous présenter en quelques mots WALLIX et plus particulièrement vos activités dans le secteur de la santé ?
François Lancereau : Notre spécialité est la sécurisation des accès et des identités numériques. Nous sommes présents dans plus de 90 pays avec plus de 2 000 clients dans le monde entier. Nous avons une forte présence en France mais nous avons su au cours de ces 20 dernières années (la société a été fondée en 2003) nous étendre à l’international. Ce qui nous permet de traiter les différentes disparités qui existent en termes de réglementation sur le marché : avec le même produit, nous n’avons pas forcément les mêmes applications selon la provenance de notre client (États-Unis ou France par exemple).
Notre solution, WALLIX PAM4ALL (PAM : Privileged Access Management), a pour but de sécuriser tous les accès des utilisateurs – humains ou machines – d’une organisation, selon le principe du moindre privilège. Ce qui permet d’identifier qui fait quoi, où, quand et comment.
Nos secteurs de prédilection sont l’industrie, la santé, les services financiers, avec une forte expertise sur l’IoT industriel (matériel connecté / exemples : machines de productions d’usine, scanners, robots dans les laboratoires, IRM…) : des technologies critiques et qui, souvent, fonctionnent avec des versions de Windows très anciennes.
Un certain nombre des centres hospitaliers avec lesquels on a contractualisé ces dernières années se sont rendu compte – quand ils ont installé WALLIX PAM4ALL – du comportement de leurs utilisateurs, notamment de leurs prestataires : remontée des périodes de connexion, identification de matériels qui avaient tendance à avoir régulièrement des défaillances. Depuis que le bastion est en place, ils s’aperçoivent que ces matériels ne présentent plus de défaillance, que tout va bien. Avec notre solution, on responsabilise les personnes : on ne les empêche pas de travailler, le but c’est de sécuriser.
Une prise de conscience sur la nécessité de recruter des profils experts
Les cas de cyberattaques sont en hausse dans le secteur de la santé, la dernière en date étant l’attaque très médiatisée survenue au centre hospitalier sud francilien (CHSF). Selon vous, les dotations budgétaires des hôpitaux sont-elles suffisantes pour assurer leur cyber-protection ?
Les budgets actuels des hôpitaux ne sont pas suffisants. Il faut aussi comprendre que lorsqu’il a fallu à l’origine nommer des DSI dans les hôpitaux, ce rôle a souvent été attribué d’office à des médecins qui avaient plus ou moins d’appétence pour l’informatique. Cette organisation a beaucoup évolué depuis : soit certains de ces médecins sont devenus des experts en informatique, soit on a attribué ce poste à des personnes dont c’était le métier. Après on a commencé à mettre en place des RSSI : le processus avait commencé avant la pandémie de Covid, puis, en raison des différentes attaques qui ont eu lieu dans le secteur pendant et depuis la crise, on est parvenu à intégrer dans l’inconscient collectif qu’il est nécessaire d’attribuer ce rôle à des personnes expertes qui savent de quoi elles parlent.
Auparavant, les RSSI étaient perçus comme des Cassandre, qui alertaient sur la nécessité d’avoir un budget dédié à la cybersécurité, de mettre en place telle ou telle pratique, de sensibiliser le personnel, etc. On leur expliquait généralement qu’il n’y avait ni le budget ni le temps nécessaire pour appliquer leurs préconisations. Jusqu’à ce que la catastrophe survienne et qu’on admette qu’ils avaient raison. Si on les avait écoutés depuis le début, certaines situations auraient pu être évitées ou du moins endiguées.
Les moyens financiers permettent d’avoir des moyens matériels mais aussi humains. Le plan France Relance aide les établissements sur le volet « capitaux » mais il faut qu’ils comprennent qu’il est aussi nécessaire d’avoir des bras pour porter ces sujets, des ressources humaines.
L’enjeu n’est donc pas seulement sur le budget mais sur l’aspect « moyens » au sens large : avoir des personnes compétentes, formées… L’avantage aujourd’hui c’est qu’on a désormais une vraie écoute sur les sujets de cybersécurité, une attention que l’on n’avait pas auparavant. Chacun a bien compris qu’une cyberattaque pouvait avoir des effets catastrophiques sur les services hospitaliers. Si des hackers font par exemple tomber le système d’aération dans les blocs opératoires, les blocs doivent immédiatement être fermés parce qu’un bloc non aéré c’est un bloc qui n’est plus stérile : si au moment de l’attaque un patient est sur la table d’opération et que tout s’arrête, les conséquences peuvent être dramatiques.
L’impératif d’une réelle gouvernance pour que l’enjeu devienne commun
Qui devrait selon vous s’emparer de ce sujet dans les établissements de santé pour éviter de telles attaques ?
Le problème n’est pas « qui » sinon tout le monde se renvoie la balle jusqu’à ce qu’il y en ait un qui l’attrape, par exemple le RSSI : et s’il se passe quoi que ce soit, c’est lui qui devra assumer toute la responsabilité. Il faut que le sujet soit pris avec une réelle problématique de gouvernance pour que l’enjeu devienne commun. Il n’est plus possible que chacun agisse dans son coin.
Le sujet doit être saisi de manière globale. Le RSSI va avoir un rôle de préconisations, parce que c’est son travail de sécuriser les différents métiers, mais il faut l’adhésion de la DSI, du personnel (soignants, médecins, personnes qui travaillent dans le laboratoire…).
Ce qui est compliqué est d’obtenir l’adhésion de tous. Il est difficile de faire changer les habitudes de travail. La sensibilisation et la formation sont donc primordiales lors de la mise en place de projets de cybersécurité. Sans réelle gestion du changement, le projet pourra être un échec. Il faut que l’ensemble des personnes de l’organisation s’emparent du sujet pour éviter les brèches.
Concernant l’anticipation des attaques, il y a un certain nombre d’établissements actuellement qui peuvent utiliser des solutions comme le VPN (Virtual Private Network) pour savoir qui rentre et qui sort. Par exemple, quand une personne vient faire le ménage, elle badge à l’entrée et badge à la sortie. Mais qu’est-ce qui nous garantit que c’est bien la personne qui fait le ménage ? Surtout qu’avec ce genre de badge, cette personne peut aller partout dans l’établissement. C’est l’un des principaux problèmes : on ne sait pas ce que les personnes font réellement dans l’organisation. Il n’y a pas de retour. Par exemple, Uber s’est fait piraté fin 2016 (et également en septembre dernier…). Il s’agit d’une importante entreprise américaine, avec beaucoup de moyens, mais ils ont mis 2 ans à savoir qu’ils avaient été piratés. Ils n’avaient aucun élément.
Il faut aujourd’hui être mesure de sécuriser toutes les portes d’entrées potentielles des hackers. Tant qu’il y aura des humains, il y aura des risques. La question n’est pas de savoir « si » je vais me faire attaquer mais « quand ».
« Les réglementations c’est bien, les appliquer c’est mieux »
Faut-il passer par la mise en place d’une réglementation spécifique ? Celle en cours de gestation au niveau européen pour les objets connectés, le Cyber Resilience Act, devrait-elle être élargie selon vous ?
Les réglementations c’est bien, les appliquer c’est mieux. Si je vous demande d’effectuer 50 tâches dans une seule journée, ce n’est pas possible. Il y a cependant en effet des choses sur lesquelles il faut légiférer. Il y a par exemple beaucoup de matériels biomédicaux fabriqués par des éditeurs étrangers, soumis à des lois différentes des nôtres. Un certain nombre d’entre eux vont devoir se plier à la législation française : ils ne peuvent plus agir comme ils l’entendent mais il y a un temps de flottement.
Certains de nos clients sont déjà en contact avec nous (WALLIX) justement pour que l’on voit comment interfacer nos solutions afin de pouvoir tracer ce qu’ils font parce qu’aujourd’hui, tout établissement de santé est censé savoir ce qu’il se passe chez lui.
Jusqu’ici, ces constructeurs avaient la possibilité d’échapper à certains contrôles ou à certaines règles. Aujourd’hui ce n’est plus possible. C’est là où la réglementation européenne aide : on converge vers le principe du « Ils n’ont plus le choix ». Ce ne sont plus les établissements qui s’adaptent aux constructeurs, ce sont les constructeurs qui s’adaptent aux nécessités des établissements. C’est pourquoi on a déjà commencé à discuter avec un grand nombre d’entre eux pour amorcer ce changement. C’est dans ce cadre que la législation française et la législation européenne sont très importantes.
En revanche en interne, pour les hôpitaux, comme je le disais, c’est surtout de moyens dont ils ont besoin.
« Le plan France Relance a été salvateur pour un grand nombre d’hôpitaux »
Une version actualisée du référentiel de certification HDS est en cours de construction et la nouvelle feuille de route française du numérique en santé 2023-2027 devrait placer la cybersécurité parmi les priorités : Quelles sont vos attentes en la matière concernant ces évolutions réglementaires ?
Il faut penser la sécurité « by design » : quand on fabrique une solution, il faut se demander dès le début comment faire en sorte qu’elle soit sécurisée ou du moins comment s’inscrire aisément dans une bonne sécurisation. Dans le bloc opératoire, si vous installez une caméra et que vous la branchez sur l’infrastructure informatique, comment savoir d’où elle vient et si le système est bien sécurisé. Il faut encadrer tout ce qui va entrer dans l’hôpital, s’assurer que le matériel soit « sécurisable » et/ou sécurisé.
Et il faut voir beaucoup plus loin que l’instant « T ». Chez WALLIX par exemple, on a développé au sein des grandes écoles des sessions de sensibilisation auprès de ceux qui seront les dirigeants d’entreprises de demain, les futurs cadres techniques et administratifs. Quand une personne se connecte à sa messagerie et qu’elle voit un email étrange, son premier réflexe doit être de ne pas l’ouvrir, d’en parler à son service informatique et de le supprimer. Quand on réalise un test de phishing (hameçonnage) dans les organisations, on remarque que les populations qui répondent à l’hameçonnage ne sont pas toujours forcément celles à qui l’on pense. Cela peut être un dirigeant ou une personne à l’accueil : les impacts ne sont pas les mêmes selon le profil.
Notre objectif est de développer ces réflexes sur les nouvelles jeunes générations, en allant plus loin que l’apprentissage des notions de base. L’idée à terme serait de sensibiliser dès le plus jeune âge, dès l’école primaire, parce que les enfants commencent très tôt à utiliser des outils numériques. Les bonnes pratiques en matière de cybersécurité doivent devenir un réflexe, comme lorsqu’on apprend aux enfants à traverser la rue en regardant à droite et à gauche.
Sentez-vous qu’il y a déjà eu cependant une évolution de la prise de conscience générale sur le sujet de la cybersécurité ?
Par ailleurs, jusque-là, tout le monde estimait que les solutions de PAM (Privileged Access Management) avaient effectivement un intérêt mais sans prise de conscience réelle de leur nécessité. La question n’est plus là : il est désormais évident qu’il faut disposer de ces solutions pour mener une gestion des identités et savoir ce qu’il se passe en interne mais aussi ce que font les prestataires parce qu’un hôpital, c’est plusieurs centaines de prestataires qui se connectent chaque jour. C’est une ruche de personnes qui rentrent et qui sortent. Le fait de disposer de ce genre de solutions permet d’avoir des caméras, des contrôles d’accès, de détecter des comportements étranges et de mettre en place des mécanismes de blocage.
En ce sens, le plan France Relance aide vraiment : il a permis aux hôpitaux d’acquérir des solutions qu’ils ne pouvaient pas acheter auparavant faute de moyens financiers suffisants. Le seul bémol c’est que cela permet un financement à un instant « T ». Il y a une part de récurrence à prévoir dans les années à venir.
Quoi qu’il en soit, le plan France Relance a été salvateur pour un grand nombre d’établissements de santé. C’est un peu dommage qu’il ait fallu attendre autant de temps mais aujourd’hui il est là, c’est un pas en avant.
Paiement des rançons : « il faut un non massif au niveau de toute l’UE »
Quel est votre avis quant au paiement de rançons ?
À titre personnel je trouve que c’est une aberration de payer les rançons réclamées par les hackers. À partir du moment où l’État valide le principe d’un paiement des rançons par les assurances (cela peut avoir un intérêt pour ces compagnies), d’un point de vue cyberattaquant, c’est une aubaine. Tous les hackers du monde vont se tourner vers la France !
C’est là où la réglementation européenne est primordiale. On est très en avance sur ce sujet en France mais en face de nous, on a les géants américains (GAFAM) qui jusqu’ici faisaient tout ce qu’ils voulaient. L’Europe a plus que tout intérêt à s’imposer pour dicter ses règles. La France seule ne peut rien : il faut un « non » massif au niveau de toute l’Union européenne.