Menaces cyber dans la santé : de quelle poche vont sortir les budgets ?

Dans Fight Club, le personnage principal joué par Edward Norton exerce un métier particulièrement cynique : il intervient pour le compte de constructeurs automobiles qui ont détecté un défaut de série dans une gamme de véhicules et souhaitent savoir s’il faut ou non procéder à leur rappel. E. Norton est chargé de calculer deux chiffres :
– A : le coût total du rappel des véhicules de la gamme (bien entendu à la charge du constructeur) ;
– B : le coût des dommages et intérêts qui devront être versés aux veuves et veufs de ceux qui auront succombé sur la route à cause dudit défaut.

Si A est supérieur à B, on ne rappelle pas, si B est supérieur à A, on rappelle.
Si le raisonnement peut vous paraître cynique, c’est pourtant ce que nous faisons tous à notre échelle : frauder le fisc, inviter un match Tinder au restaurant, dépenser des sous pour l’anniversaire de Mamie, etc. : combien ça va coûter, combien ou qu’est-ce que ça peut rapporter ?

Prenons quelques chiffres simples (et le lecteur curieux ou critique pourra toujours faire varier les hypothèses de départ) :
– Un établissement de santé attaqué toutes les semaines, soit 52 par an ;
–  Avec environ 5 000 structures de soins privées ou publiques sur le territoire (et encore sans compter les Ehpad, sinon le nombre dépasse les 20 000), la probabilité P de se faire attaquer est donc approximativement de 1/100.
Il nous manque l’impact : nous allons évacuer l’impact d’image, l’impact juridique et l’impact d’activité pour nous concentrer sur l’impact financier (I). Existe-t-il seulement ? Oui, bien sûr : perte d’activité, etc., mais chacun sait que la structure des sources de financement des établissements publics (Cnam et budgets fixés par l’ARS) est telle qu’en cas d’arrêt total l’État ferait un gros chèque, parce qu’il faudrait de toute manière payer les agents (entre 50 % et 60 % des budgets tout de même). Mais imaginons qu’après un mois d’arrêt total l’établissement hospitalier ait perdu, disons, I = 1/12 de ses recettes annuelles (chiffre surestimé car malgré un ransomware très méchant certaines activités, sources de financement, ne seraient pas stoppées, telles celles des Ehpad, des SSR, etc.). Le risque est donc A = P x I = 1/100 x 1/12 de son budget annuel.

Pour recruter ne serait-ce qu’un ingénieur dédié à la SSI (et à condition d’en trouver un vu la tension sur le marché de l’emploi dans ce secteur – à titre informatif le coût annuel du poste (B) est de l’ordre de 75 000 euros), il faut que A > B : un petit calcul montre qu’il faut recruter un ingénieur par tranche de 90 millions d’euros de budget (un établissement hospitalier avec 180 millions d’euros de budget serait donc candidat à recruter deux ingénieurs). On en déduit qu’un CHU de 600 millions d’euros de budget est donc candidat à six ou sept recrutements, et basta.

Sauf que non.
Parce que A est très largement surestimé : aucun GHT ne perdrait un mois de recettes puisque la fraction du financement à l’activité n’est jamais de 100 % et que, même si l’on arrêtait totalement l’activité, l’État accourait ventre à terre pour renflouer les caisses.
Parce que B est très largement sous-estimé : dans le cas des défauts de série sur les voitures, le rappel corrige 100 % des défauts. Mais recruter un ingénieur ne réduit pas le risque à zéro – personne n’est seulement capable de calculer la diminution du risque.
Si on divise A par deux et que l’on multiple B par deux (et encore c’est très gentil), on quadruple le résultat final : un recrutement d’ingénieur par tranche de 360 millions d’euros de budget. Bon, pour faire court : l’intérêt économique est nul, et si vous pensez que ce calcul est biaisé et sortez les poncifs du genre « La santé n’a pas de prix », sachez qu’elle a tout de même un coût pour celui qui tient le stylo au-dessus du chèque, et que lui va faire ces calculs, et avec des hypothèses nettement moins optimistes. Une estimation à la louche démontre qu’il faudrait recruter plus de 1 000 ingénieurs pour les 135 GHT, sans même parler de leur disponibilité, et il est peu probable qu’au final on en engage seulement le quart.

En fait, la conclusion inévitable à laquelle aboutit ce raisonnement, c’est que la cyber relève des communs, concept hérité des travaux des économistes britanniques du xviii^e siècle qui ont compris que certains biens (les routes, les ponts) n’appartenaient à personne mais que les laisser à l’abandon pénaliserait tout un chacun et qu’à ce titre leur gestion relève des missions de l’État. Un hôpital ne se préoccupe pas des routes bitumées pour que les véhicules puissent parvenir jusqu’à lui. Dans quelle mesure la sécurité d’un réseau (Internet) qu’il n’a pas mis en place et qu’il ne maintient pas relèverait de ses propres budgets ? Dans quelle mesure les travaux ne relèveraient-ils pas des opérateurs réseaux, d’une restructuration de l’Internet français et de sa maîtrise des points de passage ? De dispositifs de filtrage par niveau de confiance ? De création de sous-réseaux nationaux (il en existe déjà) par typologie d’activité avec des interfaces maîtrisées et sous surveillance ?

Peu de réponses, et beaucoup de questions dont le traitement est structurant pour les 15 années à venir.

T.D