Mercredi 7 décembre, le centre hospitalier de Montpellier dans l'Hérault a révélé quelques éléments de son dispositif anti-cyberattaque dans une vidéo. Des mesures à destination de son personnel, mais aussi du grand public.
C'est désormais une crainte récurrente dans les hôpitaux : celle d'une cyberattaque. De nombreux centres ont été touchés ces derniers mois, comme ceux de Corbeil-Essonnes (Essonne) fin août ou du Chesnay-Rocquencourt (Yvelines) dimanche 4 décembre. Il y a quelques années, le CHU de Montpellier (Hérault) a lui aussi été atteint, c'était le 12 mars 2019. Le centre a publié mercredi 7 décembre une vidéo pour signifier au personnel de l'hôpital les raisons qui expliquent pourquoi les établissements de santé subissent autant d'attaques.
Vincent Templier, responsable de la sécurité des systèmes d'information du CHU Montpellier, affirme que "les données de santé valent de l'or dans le cyberespace", estimant qu'un dossier patient "se valorise entre 300 et 400 dollars". Et c'est sur ces fameux dossiers que les pirates font de l'argent, puisque les hôpitaux publics ne paieraient jamais de rançons. Des fichiers d'autant plus intéressants qu'ils sont très complets et sensibles, ce qui peut pousser des patients - parfois directement contactés par les hackers - à leur donner de l'argent.
"L'idée générale de cette vidéo, qui s'inscrit dans une série de quatre, est de sensibiliser nos utilisateurs. Si l'un d'eux a un comportement à risque, il met en danger la communauté toute entière", retrace Laurent Wilmann-Courteau, directeur du pôle numérique et protection des données. Cette vidéo était initialement à destination du personnel, voire d'autres établissements du groupement hospitalier de territoire (GHT) Est-Hérault Sud-Aveyron. "Ce qu'on indique comme mesures préventives, c'est aussi utile pour tout le monde", complète Vincent Templier, responsable de la sécurité des systèmes d'information. C'est la raison pour laquelle ces courts films ont été mis à la disposition du grand public.
De nombreuses dispositions depuis la première attaque
Le CHU en a aussi profité pour évoquer son dispositif de cybersécurité. Ce sont des mesures "mises en place après l'attaque de 2019" précise Vincent Templier : des applications ont été corrigées, le trafic internet est contrôlé, des tests d'intrusion sont organisés en externe, des antivirus sont en place... Les accès aux logiciels internes sont également inspectés, afin qu'un seul piratage d'un compte utilisateur puisse bloquer le système. "Il y a aussi une supervision extérieure pour évaluer les signaux faibles au sein des services", détaille le responsable.
"On ne défie pas les hackers, ce n'est ni notre rôle, ni notre intérêt."
Vincent Templier, responsable de la sécurité des systèmes d'information du CHU Montpellierà France 3 Occitanie
En en parlant ouvertement, est-ce une manière de dissuader les pirates informatiques ? "Le hacker, on sait qu'on ne va ni l'encourager, ni le décourager", oppose Vincent Templier. "Dans la vidéo, on ne dévoile aucun secret particulier, puisqu'on suit les préconisations de l'Agence nationale de la sécurité des systèmes d'information (Anssi)." Et d'assurer : "On ne défie pas les hackers, ce n'est ni notre rôle, ni notre intérêt."
L'hôpital se prépare au pire
Le CHU "s'entraîne à ce genre d'attaque" et "se prépare au pire", mais sans oublier sa mission principale, "la prise en charge de la population". En réalité, les mesures mises en place ne seront "jamais suffisantes" maintient le responsable de la sécurité des systèmes d'information. "La technique ne gère qu'une partie des risques. Les pirates pourront toujours tenter de rentrer, c'est pour ça qu'on demande au personnel d'être vigilant", poursuit-il.
"Peut-être qu'on se fera attaquer, mais en tout cas on sera préparé."
Laurent Wilmann-Courteau, directeur du pôle numérique et protection des données du CHU de Montpellierà France 3 Occitanie
Selon lui, il y a des tentatives de piratage tous les jours. "Personne ne peut se prévaloir d'être entièrement protégé, d'autant plus dans des environnements hyper interconnectés comme des hôpitaux. Il faut rester humble", continue Vincent Templier. "On peut aussi tomber en limitant les dégâts, c'est ce qu'on essaie de faire. Peut-être qu'on se fera attaquer, mais en tout cas on sera préparé", argumente Laurent Wilmann-Courteau.
Un plan de cyberrésilience est également à l'étude. L'idée est de prévoir une cyberattaque, et donc de permettre de s'occuper des patients sans informatique le cas échéant. "Ces travaux ont démarré cette année, il faut qu'on aboutisse en 2023."
"Le maillon faible reste l'usager"
En dévoilant une partie de son système de sécurité, le CHU de Montpellier ne se met-il pas en danger ? "S'ils révèlent leur plan, c'est qu'ils sont relativement sûrs d'eux. En réalité, ce n'est pas forcément grave qu'ils dévoilent ces mesures, parce que le maillon faible reste l'usager", confirme Corinne Henin, experte en cybersécurité.
Concernant le plan de résilience, elle estime que "c'est nécessaire, parce qu'on n'est jamais à l'abri, soit d'une personne à l'intérieur mal intentionnée, soit de la vulnérabilité d'un logiciel, dont on n'avait pas décelé la faille avant". Selon elle, "l'idée est d'avoir des sauvegardes de ses fichiers et un plan d'action pour être de nouveau sur pied le plus rapidement possible après une attaque".
