II. L'INDISPENSABLE PROTECTION DES SYSTÈMES D'INFORMATION DU SECTEUR DE LA SANTÉ
?Une fragilité structurelle, fruit d'un sous-investissement chronique
Déjà dans un récent rapport en décembre dernier, 12 ( * ) nous avions noté que le ministère de la santé et des solidarités et ses opérateurs principaux avaient subi, en 2018 , 8 attaques cyber nécessitant l'intervention de l'ANSSI, dont 2 qualifiées de « majeures » . L'année 2019 a confirmé cette fragilité avec les attaques récentes par rançongiciels du CHU de Montpellier au printemps, de 120 établissements privés du groupe Ramsay-Générale de santé, en août, et du CHU de Rouen en novembre . Au total, en 2019, l'ANSSI a répertorié 18 attaques par rançongiciels contre ce secteur d'activité 13 ( * ) . Cette densité d'attaques résulte d'un sous-investissement chronique en sécurité informatique. Sous la contrainte budgétaire, le développement des applications a été privilégié à la sécurité informatique laissant les établissements à la merci d'attaquants pour lesquelles les entités, dont la rupture d'activité aurait un impact social important, sont des cibles intéressantes.
? Des attaques sporadiques mais de faible intensité depuis le début de la crise sanitaire
Dans un communiqué de presse, plusieurs groupes de hackers ont indiqué qu'ils suspendaient provisoirement leurs attaques contre les établissements de santé.
Pour autant, l'ANSSI a relevé des attaques par déni de service contre l'AP-HP (Paris) le 22 mars dernier 14 ( * ) et contre l'AP-HM (Marseille) sans grands dommages, et une attaque par rançongiciel contre l'établissement public de santé de Lomagne (Gers).
À l'étranger, des attaques ont touché le CHU de Brno (République tchèque), l'OMS, le département fédéral de la santé des Etats-Unis et l'agence de santé de l'Illinois.
Enfin des attaques, a priori sans lien avec la crise, perturbent certains services publics locaux (région de Marseille, communes du Morbihan) 15 ( * ) avec des conséquences sur la gestion de la crise (remontées des informations de l'état-civil vers Santé publique France, services funéraires...).
? Une remise à niveau très partielle et une vigilance renforcée
Depuis l'automne dernier, l'ANSSI a développé une procédure d'intervention d'urgence auprès des quinze principaux CHU pour renforcer leur niveau de protection tout en recherchant un effet de levier de ces établissements chefs de file sur les quelque 3000 établissements du secteur de santé. Elle n'est plus en mesure de poursuivre cette action actuellement car les DSI des hôpitaux sont totalement mobilisées pour assurer le fonctionnement des installations nécessaires à la lutte contre le Covid 19.
Paradoxalement, l'hétérogénéité actuelle du parc hospitalier pourrait éviter une contamination massive d'un établissement à un autre mais on ne pourra se dispenser à terme d'augmenter le niveau de la cybersécurité de tout ce secteur et d'y consacrer des moyens importants.
L'ANSSI a aussi renforcé sa vigilance sur le système de santé et les secteurs périphériques : environnement des établissements hospitaliers, certaines industries pharmaceutiques, acteurs de plus petite taille et nouveaux entrants comme les entreprises ou les laboratoires de recherche impliqués dans la fabrication de produits (masques....) ou la recherche (tests, vaccins, médicaments) moins coutumiers de cybersécurité.
Nous relevons une grande fluidité dans l'échange d'informations et de solutions au sein de l'Union européenne, par exemple après l'attaque contre l'hôpital de Brno. La coopération entre les agences fonctionne et les initiatives de la Commission portent aussi leurs fruits.
* 12 http://www.senat.fr/rap/a19-142-9/a19-142-9-syn.pdf
* 13 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf
* 14 consistant à générer une grande quantité de connexions simultanées pour surcharger les serveurs.
* 15 https://www.ssi.gouv.fr/actualite/lanssi-sensibilise-et-transmet-des-recommandations-de-securite-a-destination-des-collectivites-territoriales/ , https://lexpansion.lexpress.fr/high-tech/cyberattaques-de-nouvelles-mairies-ranconnees-a-l-heure-du-coronavirus_2122763.html