Wannacry et NotPetya ont été des cyberattaques réussies, notamment du point de vue médiatique. Passé l’engouement des journalistes en mal de sensationnel, que reste-t-il de concret, quelles leçons ont été tirées de ces affaires ?

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits ou les vulnérabilités exploitées. C’est peut-être pour cela qu’on ne parle jamais des problèmes informatiques dans le monde de la santé en France, car, n’oublions pas que le monde entier nous envie notre système de soins (donc son informatique avec).

Source

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, il me semble intéressant d’évoquer le secteur médical, dont l’informatique fait rarement la une de l’actualité. Mais, la France étant protégée par la jurisprudence Tchernobyl (tout ce qui est mauvais pour notre santé s’arrête à nos frontières), ce qui est arrivé aux britanniques ne risque pas de nous arriver.

Bien sûr que non !

Voyons donc ce qui est arrivé au NHS (le système de santé britannique) qui pousse la singularité insulaire jusqu’à n’être pas aux standards de cybersécurité attendus. Après l’attaque Wannacry qui leur a permis de se défausser sur la Corée du Nord, alibi facile, les autorités de santé britanniques ont dû reconnaître la réalité, moins reluisante que prévu. Wannacry a touché 48 NHS trusts, also shutting down multiple hospital IT systems. Même si le NHS n’était pas la cible principale de l’attaque, hospital trusts across England and Scotland admitted they’d been caught up in the attack, with appointments cancelled, phone lines down and ambulances diverted. En France, nous aurions droit à des déclarations selon lesquelles la situation serait sous contrôle, mais du côté d’Albion Appearing before the Commons’ Public Accounts Committee on Monday, NHS Digital deputy chief executive Rob Shaw said trusts were still failing to meet cyber security standards since the WannaCry debacle, admitting some have a “considerable amount” of work to do. “The amount of effort it takes from NHS providers in such a complex estate to reach the Cyber Essentials Plus standard that we assess against as per the recommendation in Dame Fiona Caldicott’s report, is quite a high bar. So some of them have failed purely on patching, which is what the vulnerability was around WannaCry,” he said.

Une fois le constat fait, allons aux résultats : Problems with computers could be blamed for up to 900 patient deaths in the NHS a year, experts have said. Computers are embedded across the NHS but many are « bad » and « low quality », according to two academics. Devices in hospitals – which are used for a range of applications from storing patient records and making appointments to systems embedded in devices like MRI scanners and dialysis machines – are « unnecessarily buggy » and « susceptible to cyber-attack », according to Harold Thimbleby, professor emeritus of geometry at Gresham College in London and professor of computer science at Swansea University. Bref, la situation britannique est catastrophique, mais c’est déjà bien de s’en rendre compte.

Repassons du côté civilisé de la Manche, c’est–dire par chez nous.

Le premier ministre français a annoncé un plan pour l’hôpital, mais il est surtout question de tarif des consultations et actes médicaux, regroupements et fermetures d’hôpitaux. Il est difficile de trouver une trace des questions informatiques à l’hôpital dans les comptes-rendus qui sont mis à notre disposition, mais heureusement, le numérique sera au service de la santé : L’objectif est de permettre d’ici à 2022 l’accessibilité pour chaque patient à ses données médicales, la dématérialisation de toutes les prescriptions et la simplification du partage de l’information entre les professionnels de santé. Bien. Et la sécurité informatique de l’hôpital ?

Rassurons-nous, chaque chose en son temps, car au ministère de la Santé, on précise que « ce ne sera pas un temps d’annonce de mesures concrètes, mais d’une approche, d’une méthode et d’un début de calendrier. La ministre est clairement à l’écoute des hospitaliers, mais a une volonté de ne pas traiter un sujet à la fois ». De plus, on moralise et on donne des bons points aux bons médecins, et des mauvais points aux mauvais médecins : « Je veux valoriser la bonne médecine, ceux qui font bien, et arrêter de valoriser la mauvaise médecine, ceux qui pratiquent des actes inutiles. Je souhaite que nous travaillions collectivement sur la pertinence des actes dont l’amélioration permettrait d’éviter 30 à 40% des dépenses de l’assurance maladie. » Ouf ! il sera encore possible d’avoir un SI néanderthalien à l’hôpital…

D’ailleurs, certains débats récents relatifs à la sécurité de l’informatique à l’hôpital ne sont pas toujours rassurants : nous avons pu échanger sur nos difficultés communes à mettre en place certaines mesures de sécurité évidemment nécessaires, mais encore souvent difficiles à appliquer à nos SIH, compte tenu de leur historique, ou des éditeurs et des constructeurs ignorant les bonnes pratiques en matière de sécurité numérique. Pourtant, on nous assure que la security by design…

Il n’est pourtant pas déraisonnable de penser que, dans un monde qui se numérise, le succès de l’informatisation est un préalable au succès de la numérisation. Alors, quand le réveil aura-t-il lieu ?