« Comment protéger des matériels non sécurisés comme les scanners et les IRM ? Pour l’instant, nous n’avons pas de réponse définitive. »

DSIH : Vous êtes particulièrement alarmiste sur la cybermenace qui pèse sur les établissements de santé. Pourquoi ?

Parce que la nécessaire prise de conscience globale n’est pas encore faite. On sait faire la cybersécurité, le problème n’est pas là, l’enjeu n’est pas technologique. Il s’agit aujourd’hui d’un enjeu de gouvernance, qui concerne à la fois les patrons des CHU et les ministres. Les arbitrages doivent se faire au plus haut niveau, et je ne parle pas seulement des arbitrages budgétaires, qui sont bien sûr nécessaires, mais loin d’être suffisants.

Il faut absolument que tous les personnels, et d’abord les décideurs dans les hôpitaux, soient sensibilisés à la cybersécurité. Mais ensuite, tous les agents hospitaliers doivent également être au fait des mesures de sécurité à adopter. En réalité, même si ce sujet est très anxiogène, il est paradoxalement facile de dissuader les attaquants. À partir du moment où les pirates rencontrent une résistance, ils sont freinés dans leurs attaques et y renoncent.

 DSIH : Comment l’Anssi va-t-elle participer à cette campagne de sensibilisation sur la cybervigilance ?

L’objectif est de sécuriser les systèmes d’information. Des solutions industrielles existent. Elles doivent être mises en place, mais pas uniquement sur la bureautique, qui ne pose pas de problème particulier. Nous sommes en train d’installer des pare-feu. La question est de savoir comment poser des capteurs sur des matériels non sécurisés comme les scanners et les IRM. Pour l’instant, nous n’avons pas de réponse définitive. C’est tout l’enjeu.

Nous devons aussi réaliser des exercices d’attaque simulée, construire des scénarios. Par exemple, si l’on coupe Internet dans un CHU, quel en sera l’impact ? Nous avons mené cette expérience il y a plus de dix ans, et je me souviens qu’à l’époque on m’avait répondu : « Oh ! mais nous n’avons pas besoin d’Internet pour soigner. » Or, le personnel s’est rendu compte que la chaîne de stérilisation dépend d’Internet et que les conséquences de la coupure étaient donc concrètes.

La particularité du secteur hospitalier tient à son hétérogénéité. Certains hôpitaux ont compris très tôt l’importance de sécuriser les systèmes informatiques, d’autres ont commencé à s’atteler au chantier, et d’autres encore n’ont toujours pas pris le train. Mais il n’y a aucun moyen de les contraindre, et ce n’est pas du tout l’idée. La campagne que lance aujourd’hui Agnès Buzyn représente un outil essentiel pour tenter d’impulser un élan collectif et une prise de conscience. Il est temps de passer à la phase d’action.

DSIH : Que faire pour éviter des incidents comme celui du CHU de Rouen ? Pourquoi avez-vous verrouillé l’information ? Les autres CHU déplorent un retour d’expérience trop faible.

Effectivement, ce qu’il s’est passé au CHU de Rouen le 15 novembre dernier est malheureusement un exemple concret de la menace qui plane sur les établissements de santé. Et s’il ne s’agit que d’un type isolé de menace, un virus avec rançon, l’événement a permis à tous les autres acteurs de santé de comprendre le phénomène. Il est vrai que nous n’avons pas diffusé beaucoup d’informations, mais il ne faut pas y voir un quelconque verrouillage ; ne soyons pas complotistes. Nous ne voulions tout simplement pas perdre des informations sensibles et précieuses. Nous avons donc agi avec un ordre établi des priorités. Mais les gros CHU et CHR ont eu un niveau d’information suffisant. Nous nous trouvons devant un impératif : il est urgent de développer un écosystème de confiance.

(1) Retrouvez l'intégratlité de cette interview dans notre magazine à paraitre en février 2020