Rappelle-toi Barbara, il pleuvait sur Rouen ce jour-là… Le 15 novembre 2019, le CHU de Rouen était la cible d’une attaque par rançongiciel.  La presse de l’époque racontait : « 19 h 45, vendredi 15 novembre. Un « cryptovirus », de type rançongiciel selon les informations du Monde, est repéré par les services informatiques de ce CHU réparti sur cinq sites, comptant plus de 10 000 salariés et près de 2 500 lits. Afin d’éviter que le virus ne se propage, l’arrêt de tous les ordinateurs est rapidement décidé. L’hôpital passe alors en mode dit dégradé. Il l’était encore lundi dans la journée. »

Source

Ce n’était pas une première, puisque le 15 mai 2017, l’hôpital d’Issoire faisait l’objet d’une attaque par rançongiciel : « Au premier constat, on a eu vraiment peur. Mais on a rapidement identifié les origines de ce virus arrivé par mail. L’impact est minime. On a perdu très peu de données », affirme Franck Barbeau, responsable informatique à l’hôpital Paul-Ardier. N’oublions pas qu’en 2017, le rançongiciel WannaCry avait semé le chaos dans tout le système britannique de santé, contraignant de multiples établissements à refuser des patients. Sûrement la faute au Brexit, et n’oublions pas que nous avons en France un système de santé que le monde nous envie…

Mais patatras ! Le 9 février 2021, l’hôpital de Dax est touché par, devinez quoi ?

Une cyberattaque par rançongiciel !

Mais bon, pas de panique, il y a eu un avant et un après Wannacry (les leçons en avaient été tirées d’ailleurs), le RGPD a fait prendre conscience à tout le monde qu’il fallait protéger les données personnelles dont celles de santé bien sûr, le passage dans notre hémisphère du résultat de l’accouplement sauvage d’un pangolin pervers et d’une chauve-souris dépravée a fait prendre conscience à tout le monde que les hôpitaux pouvaient être une cible de choix pour les cybercriminels, la cyberattaque massive visant plusieurs centaines d’hôpitaux américains avait confirmé la sensibilité de ce secteur et, surtout, n’oublions pas que la cyberattaque du CHU de Rouen avait sonné l’alerte en novembre 2019 nous dit le Figaro. Quel dommage que personne ne l’ait vraiment entendue ! Et pourtant, l’ANSSI s’était déplacée à Rouen.

Si nous récapitulons, nous avons le meilleur système de santé au monde, nous sensibilisons à tour de bras à la cybersécurité, l’ANSSI va sur place remédie et fait de la pédagogie pour que cela ne se reproduise plus, et que se passe-t-il après ? Et bien, nous avons le meilleur système de santé au monde, nous sensibilisons à tour de bras… Nous ne dirons pas que c’est un échec, nous dirons juste que ça n’a pas fonctionné. A force d’engranger les victoires de cette manière, peut-être faudrait-il penser vraiment différemment.

Comment ? Partons tout simplement de l’objectif à atteindre.

L’objectif est que, dans un environnement où les cyberattaques ne cesseront pas et où il est impossible de toutes les prévenir (refresh memory on this page), nous soyons en mesure d’assurer la continuité de l’activité des hôpitaux. Pour cela, un PCA serait utile. Existe-t-il dans chaque établissement de santé ? Est-il à jour ? Est-il testé et révisé ? Mystère et boule de gomme ! En outre, plutôt que de sensibiliser à tour de bras en répétant toujours la même chose, il faudrait imaginer des séances propres à intéresser chacun selon son poste et ses savoir-faire. Ensuite, il faudrait également que les formations à la gestion de crise soient, elles aussi, adaptées aux personnes qui auront un rôle à y jouer. Enfin, et tant qu’à faire, se poser la question de la place des hôpitaux dans la cyberstratégie nationale et donc des moyens qu’on leur donne. Nota : le terme « moyens » n’est pas un équivalent du terme « € ». Et puisque nous parlons de moyens, parmi tous ceux mis en œuvre dans l’ubuesque chaîne de santé en France :

Source

et encore

source

combien s’occupent de questions informatiques ? Ou du moins savent un peu de quoi il retourne ?

Un dernier point, en passant. Tous les hôpitaux ont des conseils d’administration ou des dirigeants, appelons-les comme ils le souhaitent. Il serait bon que ces dirigeants soient responsables et que les séances de sensibilisation auxquelles ils assistent (bien évidemment, et au premier rang de l’assistance, même !) intègrent un petit couplet sur l’article 223-1 du codé pénal qui raconte l’histoire triste suivante : Le fait d’exposer directement autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente par la violation manifestement délibérée d’une obligation particulière de prudence ou de sécurité imposée par la loi ou le règlement est puni d’un an d’emprisonnement et de 15 000 euros d’amende.

Quel rapport ? La santé fait partie des 12 SAIV (voir ici et ici), à ce titre des établissements de santé sont vraisemblablement des OIV (leur liste étant secrète, l’hypothèse est la seule admise). Ils peuvent alors être soumis à l’arrêté du 10 juin 2016 qui leur impose un certain nombre de mesures à prendre. Ne pas les respecter pourrait être assimilé à une violation manifestement délibérée d’une obligation de sécurité imposée par le règlement et donc rendre leurs dirigeants passibles de l’article 223-1 sus-visé. Avouez que cela ferait désordre, non ? Mais peut-être faut-il une mesure radicale et nouvelle (l’application de la loi et des règlements) pour éviter que tout recommence sans fin.

Bonus : un texte récapitulant les obligations relatives aux SIIV de santé, et une chronique juridique sur l’obligation de sécurité et la faute pénale de l’employeur.