Les récentes attaques au rançongiciel visant les hôpitaux français auraient dû soulever plusieurs questions. Étonnamment, relativement peu d’entre elles ont été évoquées. Autre point étonnant, alors que la presse s’est largement fait l’écho de ces attaques, le discours du président, les mesures et surtout la stratégie de cyber-protection des dits hôpitaux sont (plutôt) passés à la trappe. Comme si le sujet n’était pas important, comme si soulever ces questions n’était pas important, ou comme si l’important était d’évacuer le sujet à grands coups de millions promis pour les hôpitaux…

Source

Pourtant, le sujet mérite qu’on s’y intéresse, car en paralysant un hôpital, ce sont des patients qui sont priés de… patienter encore un peu plus (au fait, avez-vous remarqué que, lorsque vous arrivez en retard chez le médecin, vous êtes quand même en avance – à de rares exceptions près. Théorème de moi, merci de me citer à chaque fois que vous l’emploierez), et si plusieurs hôpitaux sont paralysés simultanément, alors c’est toute une chaîne de santé qui est vraiment menacée. Ce qui pourrait faire de leur cybersécurité une priorité nationale, mais autrement que dans les seuls discours, ce serait parfait. En passant, la page de l’Élysée ne cite pas le cyber parmi les « grands dossiers du président » (cf. illustration infra). Et nous apprenons à propos des attaques cyber, dans le discours présidentiel, qu’elles peuvent paraître très abstraites, et c’est vrai [qu’elles] ne faisaient pas partir du quotidien de notre pays et dont on parlait peu… Si omnis tacent, non tacebo.

De quoi pourrions-nous alors parler ?

I Petites questions en passant

Tout d’abord du ciblage de l’attaque. Aucune voix au presque n’a évoqué la possibilité d’une diffusion plus large que prévu du rançongiciel. Cette hypothèse n’est pourtant pas aberrante puisque plusieurs entreprises ont retrouvé Stuxnet dans leur SI sans qu’elles enrichissent de l’uranium en Iran. Ce qui laisse penser qu’un virus informatique est sourd, désobéissant, voire les deux, puisqu’il se promène ailleurs que là où on l’envoie.

La composition (effectif, qualification) des équipes informatiques des hôpitaux n’a pas non plus été évoquée. Plus grave, si l’on en croit strictement les propos de secrétaire d’État au numérique, les hôpitaux n’ont pas d’équipes informatiques. En effet, après les attaques, il a félicité les équipes soignantes et l’ANSSI, mais les équipes informatiques des hôpitaux sont passées à la trappe. Preuve qu’elles seraient inexistantes ?

Quant au département d’information médicale, nous apprenons que Le DIM garant de la confidentialité des données de santé … Il se retrouve bien démuni quand le virus fut venu ce qui laisse plutôt pantois quant à la façon dont la mission est exécutée. Morceaux choisis : Tu te réveilles sans aucun moyen de communication, plus de téléphone, plus de mails, plus d’annuaire, … une île déserte isolée du monde avec plus aucun moyen de communiquer que papier et crayon. D’un instant à l’autre tu n’a plus rien concernant tes patients, plus de prescriptions, plus de pancarte, plus de dossier de soin infirmier, plus d’historique des labos, de la radio, des courriers, il est 3h du matin, et tu dois préparer des piluliers à partir de rien… juste ta mémoire. (…) Plus on est informatisé, plus on est vulnérable [Gloire aux Amish ? NDLR]. Notre chirurgie était en retard sur dossier infirmier, prescription, pancarte … ben ils gardent tranquillou leurs papiers.(…) Mais surtout gérer la pénurie et la foire d’empoigne quand tu as 25 pc portables mais 51 secrétariats médicaux + les médicaux techniques, plus l’administratif + plus les services techniques … Heureusement, l’ARS passe t’assurer de son soutien moral. Ah aussi, il faut gérer les personnels qui n’ont plus rien à f…, mais qui ne veulent pas forcément se voir imposer des RTT … Notons au passage qu’on se focalise tellement sur le blocage des données que personne ne semble se demander si elles n’ont pas été volées auparavant. Le double effet kiss cool en quelque sorte, ou la classique distinction dommages apparents / dommages réels.

Puisque nous évoquons une potentielle fuite, nous apprenons en même temps une gigantesque fuite de données médicales. Celles d’un demi-million de patients sont en accès libre sur l’Internet, et la CNIL a lancé une enquête à ce sujet pour vérifier que l’éditeur du logiciel incriminé, Dedalus, a bien respecté les obligations du RGPD. Lequel éditeur a également lancé sa propre enquête et a prévenu les laboratoires incriminés. C’est à ce point que la réflexion devient intéressante, car les enquêtes vont forcément trouver des responsables. Attendez ! On me susrre dans l’oreillette que la jurisprudence Louvois peut être dégainée en cas de gros gros problème informatique…

II ANSSI j’avais su…

Si nous prolongeons la réflexion initiée dans un article précédent, et en supposant toujours que les hôpitaux (enfin, les plus importants) soient des OIV (la liste est confidentielle mais les OIV concourant aux activités vitales de la Nation, il n’est pas déraisonnable de penser qu’ils en sont), alors leurs obligations sont clairement définies par l’ANSSI : ils doivent appliquer les règles de sécurité définies par l’ANSSI, déclarer les incidents de sécurité, et peuvent être contrôlés par l’Agence. En outre, pour les besoins de la sécurité nationale, et notamment dans le cadre de la LPM, les OIV doivent recourir à des produits et des services répondant à des exigences de sécurité et de confiance. Ce n’est pas neutre. L’ont-ils fait ? Mystère. Ce n’est pas dit actuellement.

Comme les données détenues par les hôpitaux sont des données personnelles, le RGPD s’applique alors (et, pour mémoire, depuis le 23 mai 2018, bientôt 3 ans). Son article 26 précise ce qu’est la responsabilité conjointe d’un traitement, l’article 28 ce que doit faire le sous-traitant et, si cela n’était pas assez clair, l’article 82 précise les conditions dans lesquelles le responsable du traitement ou un sous-traitant peut être exonéré de responsabilité en cas de fuite de données. Ce qui, au passage, signifie que même si Dedalus n’est pas blanc comme neige, il faudra que ceux qui ont confié le traitement de leurs données à cette entreprise montrent qu’ils sont innocents. Dedalus l’a bien compris et a déjà déclaré par l’intermédiaire de son directeur général délégué : « Si le réseau du client, à un moment donné, n’est pas sécurisé, il peut y avoir un moment où le fichier est disponible. Ce n’est pas une faille du logiciel : c’est un moment particulier où les données ne sont plus dans le logiciel mais dans un fichier« . L’affaire n’est cependant pas gagnée pour l’entreprise car elle a licencié l’an dernier un lanceur d’alerte. Ce qui en ferait un coupable idéal si on pouvait aussi lui coller la responsabilité des hôpitaux sur le dos.

Et ce qui permet à nombre d’autres personnes de souffler (provisoirement).

III Responsables, coupables, incapables, admirable, misérable ou abominable ?

Cette question de la responsabilité finale (à qui la faute ?) ressemble assez au cas d’un piratage durant une télé-opération. Qui sera responsable : le prestataire, le bénéficiaire, le fournisseur du réseau ou l’éditeur du logiciel de télé-opération ? Vivement la jurisprudence, sauf, bien sûr, pour celui qui en sera la victime…

Revenons à l’hôpital et n’oublions pas qu’il possède un directeur qui en est le représentant légal et en assure la gestion et la conduite générale. Il a autorité sur l’ensemble du personnel, ordonne les dépenses et les recettes et est responsable du bon fonctionnement de tous les services, hors des compétences qui relèvent de la responsabilité du conseil de surveillance, du directoire ou de la commission médicale d’établissement (CME). C’est moi qui  ai souligné « tous les services », ce qui semble bien englober le service informatique/cyber/numérique de l’hôpital. A ce directeur s’ajoute un directoire qui conseille le directeur dans la gestion et la conduite de l’établissement, ainsi qu’un conseil de surveillance/conseil d’administration qui se prononce sur les orientations stratégiques de l’établissement et exerce un contrôle permanent sur sa gestion et sa santé financière, sans compter les instances consultatives (source et source). Comme les hôpitaux n’ont pas été victimes d’attaques informatiques seulement depuis le début de cette année (le Figaro en a dénombré 27 en 2020 et une par semaine depuis le début de 2021…), il est alors légitime de se demander ce que ces personnes et instances, investies de pouvoirs de décision, ont fait depuis les premières médiatisations d’attaques visant les hôpitaux. Ah, on me dit qu’on vient de couper le son…

Poussons encore le raisonnement. Il ne faut pas oublier qu’un chef est fait pour cheffer, et que le titre ne sert à rien s’il ne s’accompagne pas d’un travail effectif, car ce serait alors un emploi/titre fictif. S’il est logique et nécessaire que des personnes soient nommées à ces postes, elles ne doivent pas oublier que lorsqu’on accepte des responsabilités, il ne faut pas oublier qu’elles ont un pendant : les assumer lorsque cela tourne mal. Or il s’avère que, récemment, les hôpitaux ont failli en n’étant plus aptes à assurer les soins à leurs patients. Se retrancher derrière la fatalité, que ce soit en paroles ou par son silence, est facile et simple, mais prouve aussi que les responsables se veulent irresponsables en cas de problème grave : ils ne veulent donc pas assumer leurs responsabilités. Une telle attitude, qui pourrait s’apparenter à un « en même temps » ou, soyons fou, à un raisonnement quantique « est-il responsable ou irresponsable ? », n’est pas celle d’un responsable mais tout au plus celle d’un parvenu se pavanant de ses titres sans en comprendre le sens. Il est certain que les responsabilités sont risquées. Mais si on ne veut pas prendre de risques, on ne prend pas de responsabilités. Si on ne veut pas assumer, on ne prend pas de responsabilités. Si on sait ne pas être courageux, on ne prend pas de responsabilités. En cas de problème, les responsables, à tout niveau, doivent rendre des comptes sur ce qu’ils ont fait, n’ont pas fait, ont préféré ne pas faire, ou ont demandé de ne pas faire. Et ils doivent se souvenir que la délégation de responsabilité s’accompagne aussi d’une délégation de moyens.

Alors, comment remédier au triste état de l’informatique des hôpitaux, comment résoudre cette équation quantique ? Tout simplement en ouvrant le coffre dans lequel se trouve le chat de Schrödinger, c’est-à-dire en faisant appliquer la loi. En mettant effectivement les responsables face à leurs responsabilités comme c’est déjà le cas dans d’autres secteurs de la vie quotidienne. L’application de la loi leur fera prendre conscience qu’ils sont effectivement responsables, de l’étendue du travail qu’ils ont à fournir, des conséquences de leur abstention dans ce domaine, et permettra, in fine, que les hôpitaux soient mieux protégés. Ce sera ainsi un service rendu à tous les patients présents et futurs. Il est certain que les premiers qui feront les frais des décisions de justice auront un sentiment d’injustice. Un peu comme lorsqu’il y eut l’incendie dans le tunnel du Mont-Blanc (39 morts, quand même) et que les responsables de l’époque de la société d’administration du tunnel se sont rendus compte que la sinécure qui leur avait été généreusement octroyée était une traîtresse. Même le président de l’époque de la société ATMB a été condamné en première instance. La suite ? L’une des plus belles sinécures de la République s’est transformée en boulet. Sur les problèmes de sécurité, Chardon tente d’expliquer que le principal responsable de l’inertie se nomme Pierre Breuil, préfet de région tout d’abord, et ensuite une amélioration des conditions de sécurité du tunnel en particulier, et des tunnels en général. Étonnant, non ?

J’affirme que cette proposition d’appliquer la loi est disruptive et, s’il nous fallait un autre exemple, prenons celui d’une entreprise fondée depuis plus d’un siècle, avec 1300 employés et 703 millions de CA, que constatons-nous ? « Nous n’avions pas encore de plan de reprise d’activité établi. Nous avions prévu de le faire au dernier trimestre de l’année. » Ce n’est pas comme si personne ne passait son temps à sensibiliser. Mais tant qu’une entreprise n’a pas été victime, il semble qu’elle ne fasse rien. «Cette gestion de crise nous a coûté quelques ulcères à l’estomac, mais elle a été très formatrice. L’entreprise a eu une bonne réponse collective et a fait un grand bond en avant sur la sécurisation des systèmes d’information, en termes d’outils, de processus et de formation des collaborateurs.» Un conseil à partager après cette expérience ? «Préparer un scénario pour fonctionner sans système d’information, avoir des PC en dehors de l’entreprise et les téléphones de tous les collaborateurs ainsi qu’une liste des tâches à effectuer en priorité pour pouvoir redémarrer au plus vite l’activité.» Pour le coup, c’est un vrai scoop ! Ce qui montre encore une fois, s’il en était besoin, que la cybersécurité n’est pas à l’ordre du jour des entreprises tant qu’elles n’ont pas été victimes. Mais si l’incendie du tunnel du Mont-Blanc peut encore servir d’exemple, nous pouvons penser que seul un énergique coup de balai est de nature à remettre un peu d’ordre.

Tout le reste serait une apologie de Dalida.

La fameuse (cf. supra) capture d’écran de la page de l’Élysée le 01/03/2021.