Piratage informatique: un système d'alerte des établissements de santé à "consolider" (FSSI)

Une réflexion doit être menée pour "consolider le système d'alerte des autorités en cas de piratage informatique dans les établissements de santé", a indiqué fin février à APMnews Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales et de la santé. Il réagissait à l'infection par un "rançongiciel" d'un hôpital de Los Angeles.

Victime d'un piratage informatique d'ampleur, la direction du Hollywood Presbyterian Medical Center, à Los Angeles, a annoncé mercredi 17 février avoir payé une rançon de 17.000 dollars afin de récupérer l'accès à ses données, cryptées par un "rançongiciel" ("ramsomware").

Ce type de programme malveillant, qui s'exécute par une action de l'utilisateur en général via l'ouverture de la pièce jointe d'un courriel, procède au chiffrement d'un grand nombre de documents (fichiers image, texte, tableur) présents sur la machine de l'utilisateur, et l'invite ensuite à payer en ligne une certaine somme pour obtenir de nouveau l'accès à ses fichiers, sans aucune garantie.

Contacté par APMnews, Philippe Loudenot a confié que les établissements de santé français n'étaient pas épargnés par ces piratages, et faisaient l'objet "d'attaques quasi hebdomadaires par des ramsomwares". "Nous n'avons toutefois jamais eu à déplorer d'interruption de service due à une attaque", a-t-il assuré.

En cas d'infection par un ramsomware, Philippe Loudenot conseille aux établissements de "déconnecter les appareils identifiés comme compromis" et à "ne surtout jamais payer de rançon", de peur de créer un "appel d'air" pour d'autres piratages.

Le FSSI a invité les directions des établissements de santé à se saisir de la chaîne d'alerte mise en place par le ministère des affaires sociales et de la santé, en faisant remonter les incidents informatiques à l'adresse mail ssi@sg.social.gouv.fr, "surveillée 24 heures sur 24 et sept jours sur sept".

"Cela nous permet, après réception d'une alerte, de la transmettre à l'ensemble des établissements de santé pour qu'ils puissent se prémunir d'une attaque similaire, mais aussi de proposer un appui à celui qui a été touché", a poursuivi le FSSI.

"Nous ne sommes pas là pour résoudre le problème à la place des établissements, mais nous pouvons leur donner des premiers conseils sur ce qu'il convient de vérifier ou de mettre en place à la suite d'un piratage", a-t-il détaillé, ajoutant vouloir proposer un appui pour le dépôt de plainte dans le cadre des réflexions à mener pour "industrialiser" cette chaîne d'alerte.

L'article 110 de la loi "de modernisation de notre système de santé" rend cette alerte obligatoire "sans délai" pour les "incidents graves de sécurité des systèmes d'information", a rappelé Philippe Loudenot.

Politique générale de sécurité

La politique de sécurité des systèmes d'information de l'État a été précisée par une circulaire de Matignon du 17 juillet 2014, déclinée dans le secteur de la santé par un arrêté du 1er octobre 2015.

Un ensemble de documents, élaborés conjointement par le FSSI, la délégation à la stratégie des systèmes d'information en santé (DSSIS) et l'Agence des systèmes d'information partagés de santé (Asip santé), forment la politique générale de sécurité des systèmes d'information de santé (PGSSI-S).

"Avec la PGSSI-S, la certification de la sécurité des systèmes d'information des établissements par la Haute autorité de santé (HAS), la mise en place obligatoire de plans de reprise d'activité, on assiste depuis quelques années à une vraie pression des pouvoirs publics sur le sujet", a estimé auprès d'APMnews Vincent Trely, président de l'Association pour la promotion de la sécurité des systèmes d'information en santé (Apssis).

"Le programme Hôpital numérique a également intégré cette priorité de la sécurité dans ces prérequis et permis de sensibiliser les directeurs généraux d'établissements", a-t-il ajouté, même si le système de santé reste selon lui "l'un des systèmes les plus poreux avec l'éducation nationale et les collectivités locales".

Ce phénomène tient à ce que le secteur de la santé a entamé sa modernisation "plus tardivement", et qu'"il subit actuellement les piratages et extorsions auxquels ont été confrontés plus tôt les banques et le secteur industriel", a-t-il analysé.

Pour le FSSI Philippe Loudenot, il y a surtout "un travail d'évangéliste" à mener pour "faire comprendre que la sécurité des systèmes est davantage un sujet de gouvernance et de sensibilisation des agents qu'un problème purement technique".

Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), rattaché à l'Agence nationale de la sécurité des systèmes d'information (Anssi), a émis plusieurs alertes depuis décembre 2015 sur une vague de mails non sollicités (pourriels) visant à diffuser un rançongiciel baptisé "TeslaCrypt".

Des postes informatiques de trois conseils départementaux de l'ordre des médecins (CDOM) ont été infectés par ce type de programme entre fin 2015 et début 2016. L'incident n'aurait toutefois occasionné aucun dégat significatif sur les données.