L’état inquiétant de la sécurité des SI hospitaliers

Cette constatation générale est doublement inquiétante : non seulement les SI sont de plus en plus soumis au risque cyber, mais en plus, toutes choses étant égales par ailleurs, quand le SI d’une entreprise croît en taille, cette dernière est de plus en plus dépendante du bon fonctionnement de celui-ci, rendant tout incident cyber d’autant plus dommageable. Fréquence des incidents en hausse, impact de chaque incident en hausse, l’équation est terrible.

Dans le monde de la santé, quels que soient les critères retenus – nombre de PC, nombre de serveurs, nombre d’applications métiers, taille du tuyau Internet, etc. –, le constat est clair : depuis dix ans, la taille, la complexité, la couverture fonctionnelle des SI hospitaliers a au bas mot doublé. Dans le même temps, les budgets sont restés à peu près stables, puisque les établissements consacrent en moyenne entre 1,7 % et 1,9 % de leur budget d’exploitation au SI. Pas besoin d’avoir fait de grandes études pour comprendre que quand on gère un système deux fois plus gros avec la même tirelire, au bout d’un moment le système en question va se déliter, partir en lambeaux, et qu’au final ce sont les utilisateurs qui vont payer la facture : toute réduction de moyens dans une fonction support n’est en fait qu’un déplacement temporel ou géographique des emmerdements. Et les exemples de manquements aux bonnes pratiques élémentaires sont légion : dispositifs de protection périmétriques obsolètes ou jamais audités, protection antivirale partielle quand elle n’est pas absente, procédures de bascule sur les salles de secours jamais testées, maîtrise presque nulle des technologies déployées, installation d’équipements de type « boîte noire » avec un accès direct des mainteneurs sur le réseau sans passer par des équipements de contrôle, lien LAN to LAN, etc.

Autrement dit : SI en croissance constante, dépendance toujours plus grande des organisations au bon fonctionnement du SI, état général de sécurité SI pas ou peu mesuré et en baisse, menace extérieure en augmentation. Que l’on pense aux exigences de continuité des DPI, des remontées nécessaires aux plateformes telles que Sidep dans le dispositif national Covid, les exemples ne manquent pas. Cela ne peut pas bien se terminer, il est urgent de changer de logiciel. Audits, remontée systématique des incidents, pilotage par le risque : ce sont les trois piliers indispensables. C’est ce qui a été fait dans le domaine de la sécurité routière, de l’aviation civile, du nucléaire : cette démarche fonctionne et a le mérite non pas de brider a priori le déploiement des systèmes, mais de les bloquer avant que les moyens de sécurisation ne suivent plus et que l’on se retrouve un beau matin avec une situation incontrôlable et irréversible.

Le point d’amélioration le plus urgent concerne les audits : les dispositifs existants sont à ce jour inefficaces. Plan Hop’en, que du déclaratif, peu de contrôles et peu de moyens à l’arrivée. Pour le premier programme Hôpital numérique le nombre déclaré de RSSI sur le territoire était dix fois plus élevé que dans la réalité de terrain et personne ne semble en avoir été ému. L’Anssi, qui réalise un travail remarquable (on se souvient de son intervention au CHU de Rouen en décembre dernier) n’est pas staffée pour marquer à la culotte 135 GHT. Il existe des acteurs qui eux le sont : les commissaires aux comptes. Rien n’empêche de leur demander d’auditer en plus le volet SSI selon le mode qu’ils maîtrisent parfaitement, à savoir un début très « soft », puis une montée croissante des exigences. Une autre piste à creuser serait l’obligation assurantielle, mais aujourd’hui l’offre des assureurs sur le risque cyber est inexistante ou inachevée.

Que l’on s’entende : le propos n’est pas de demander toujours plus de sous, toujours plus de bonshommes. Le propos est de mettre les moyens en adéquation avec les besoins et les enjeux, ce qui est tout à fait différent. Et enfin d’avoir le courage de dire que le SI ne peut plus s’étendre, ce trimestre, cette année, parce que les moyens de sécurité ne suivent pas.

Si la sécurité des SI de santé ne change pas de paradigme, un hacker dans son garage ou l’officine semi-officielle d’un dictateur décidera un jour de se payer quelques CHU et de bloquer pendant trois semaines tout leur SI. On sera obligé de dérouter des wagons entiers de patients à 300 kilomètres pour qu’ils puissent y être opérés, on sera obligé de refaire les payes de milliers d’agents à la main, on n’aura plus aucun moyen de coter les actes, d’accéder aux historiques médicaux, etc. Et, à ce moment-là, les économies de bouts de chandelle que l’on aura faites pendant des années vont nous rester en travers de la gorge, tout comme la pénurie des masques et de gel début 2020.

[1]   https://www-silicon-fr.cdn.ampproject.org/c/s/www.silicon.fr/cybersecurite-dsi-cigref-gouvernement-351773.html/amp