Les établissements de santé devront désormais consacrer "une part de 5 à 10% de leur budget informatique à la cybersécurité" pour bénéficier du soutien de l'Etat, ont annoncé le 22 février Olivier Véran et Cédric O, en marge d'un déplacement au centre hospitalier (CH) de Villefranche-sur-Saône.

Ce déplacement se déroulait quelques jours après les cyberattaques qui ont frappé les CH de Dax et de Villefranche-sur-Saône, survenues mi-février, rappelle-t-on. Les deux établissements avaient notamment été victimes du même rançongiciel, baptisé Ryuk.

Toujours pour renforcer la sécurité des hôpitaux, "d’ici trois mois", les 135 groupements hospitaliers de territoire (GHT) seront intégrés à la liste des opérateurs de services essentiels (OSE), ont aussi annoncé les deux ministres le 22 février.

Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité.

"L'Agence nationale de la sécurité des systèmes d'information (Anssi) sera chargée de contrôler le bon respect de ces règles. Les agences régionales de santé [ARS] accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations", apprenait-on alors.

Pour rappel, la loi du 26 février 2018 transposant la directive européenne 2016/1148 du 6 juillet 2016 établit la liste des "services essentiels au fonctionnement de la société ou de l'économie" devant faire l'objet de mesures spécifiques de sécurité informatique.

Un décret paru en mai 2018 citait déjà en annexe les services "concourant aux activités de prévention, de diagnostic ou de soins", "la réception et la régulation des appels" et "le service mobile d'urgence et de réanimation" dans le cadre de l'aide médicale d'urgence, ainsi que la "distribution pharmaceutique".

Interrogée par APMnews, Caroline Le Gloan, ‎cheffe de bureau "systèmes d'information des acteurs de l'offre de soins" à la DGOS, est revenue le 10 mars sur la mise en œuvre de ces annonces, à l'occasion d'une intervention en visioconférence lors du salon Santexpo Live.

"Concernant l'attribution de 5 à 10% des budgets IT [informatique] à la cybersécurité, cela va être un engagement fort. Nous allons concevoir un plan d'accompagnement pour nous assurer que ce volet cybersécurité est bien intégré par les établissements de santé, au quotidien, et notamment pour faire face à la menace qui se multiplie par rançongiciels", a-t-elle expliqué.

"Nous sommes en train de concevoir ce plan d'accompagnement au ministère, avec l'Agence nationale de sécurité des systèmes d'information et l'objectif est de relancer le plan de cybersécurité, mis en œuvre depuis 2019 et de le renforcer", a-t-elle annoncé. "Les budgets informatiques ne sont pas extensibles, ils sont contraints et nous prenons cela en compte dans le plan d'accompagnement."

Concernant la désignation des GHT comme opérateurs de services essentiels, "là aussi, nous y travaillons", a affirmé à APMnews/TecHopital Caroline Le Gloan. "Il y a déjà un certain nombre d'établissements de santé désignés OSE, notamment les CHU, c'est un modèle que nous allons répliquer pour les 135 GHT."

Des interrogations d'ordre réglementaire subsistent toutefois sur ce volet, les GHT ne disposant pas de la personnalité morale juridique, rappelle-t-on.

Des réunions auront lieu "cette semaine", a fait savoir la cheffe de bureau de la DGOS, qui espère "faire rapidement des annonces et préciser les modalités de ce plan d'accompagnement".

Emmanuel Le Bohec, directeur commercial EMEA (Europe Middle East & Africa) de Claroty, société spécialisée dans la sécurité des environnements OT (Operational Technology) et des systèmes industriels, conseille d'emblée aux hôpitaux "d'éviter certaines erreurs".

"Il ne faut pas penser qu'à la bureautique. En matière de cybersécurité, la sécurité des infrastructures, des bâtiments, est également importante. Au-delà de la bureautique, on peut prendre le contrôle des ascenseurs, des défibrillateurs, des pompes à insuline connectées, etc., lors d'une cyberattaque, et l'environnement hospitalier n'est pas pensé pour la cybersécurité à l'origine", a-t-il expliqué à APMnews/TecHopital le 16 mars.

"Quand la bureautique est bloquée, on peut encore accéder au papier et les médecins peuvent encore soigner, même si c'est plus compliqué, mais quand les équipements de radiothérapie sont inaccessibles par exemple, l'impact est beaucoup plus important", a-t-il détaillé.

Se félicitant que "beaucoup d'investissements [aient] déjà été réalisés, notamment en matière de bureautique", il a ciblé une "priorité" pour les établissements de santé: le meilleur contrôle des tiers distants et les accès externes.

Pour le spécialiste de la cybersécurité, tous ces aspects doivent être pris en compte dans le plan d'accompagnement à la cybersécurité qui sera mis en œuvre par les pouvoirs publics.

"Le lien entre l'informatique et l'industriel doit se faire quand il y a une attaque par rançongiciel. Il faut remonter toute la chaîne. La cybersécurité est un véritable outil, qui va permettre à l'hôpital et aux soignants de continuer à travailler et de se focaliser sur leur activité."

Concernant l'intégration des GHT à la liste des OSE, Emmanuel Le Bohec a salué "une bonne décision".

"Il n'est jamais trop tard pour bien faire. Cette décision démontre la sensibilité des GHT et elle est importante car elle va permettre aux directeurs des systèmes d'information (DSI) de justifier des dépenses pour la sécurité informatique", a-t-il commenté.

Appelant à "faire évoluer le rôle" du responsable sécurité des systèmes d'information (RSSI) hospitaliers, "qui n'est pas qu'un empêcheur de tourner en rond", Emmanuel Le Bohec, a mis en avant son rôle essentiel pour veiller à la sécurité des données du SI et pour "faire le lien avec la direction".

wz/gdl/ed