Par Stéphane Astier et Victoire Grosjean
Le secteur de la santé, en pleine transition digitale, est plus que jamais mobilisé pour faire face aux vagues d’attaques informatiques.
Il s’agit là d’un enjeu majeur pour les cliniques, hôpitaux, établissements de soin et autres organisations traitant des données sensibles qui constituent des cibles privilégiées pour les hackers.
Manque de moyen pour garantir une cyber sécurité efficiente, augmentation constante du volume de données générées par l’activité du fait de la transformation digitale des services, valeur de données de santé qui s’échangent contre dollars sonnant et trébuchants sur le Dark Web, etc. les raisons ne manquent pas pour expliquer le niveau d’exposition des acteurs de la santé au risque cyber.
Les hôpitaux et autres établissements de santé, cibles idéales pour les hackers
Chaque année, chaque mois, chaque semaine, l’actualité vient nous rappeler cette vérité ; les établissements de santé se trouvent sur exposés au risque cyber avec des conséquences particulièrement inquiétante pour un des secteurs les plus sensibles de notre société. La cyberattaque par rançongiciel dont le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a fait l’objet le 21 août 2022 est ainsi un nouvel exemple d’une longue liste de sinistres.
En l’espèce, le groupe russophones Lockbit, qui a depuis revendiqué l’attaque, a exigé une rançon de pas moins de 10 millions d’euros en échange de la restitution des données.
Pour arriver à leurs fins, les attaquants du CHSF ont utilisé un rançongiciel, ou « ransomware » en anglais. Il s’agit d’un logiciel malveillant qui permet aux pirates de prendre en otage des données en les chiffrant, avant d’exiger une rançon en échange de la clé de déchiffrement.
A ce chantage s’ajoute souvent la menace d’une divulgation des données récupérées par les hackers avant le chiffrement de celles-ci, divulgation dont les conséquences peuvent être dramatiques en matière de vie privée des personnes concernées.
La cyberattaque du CHSF en est un exemple : n’ayant pas obtenu la rançon demandée, les pirates ont diffusé sur Internet des milliers de données sensibles, telles que des comptes-rendus d’examens médicaux, des dossiers personnalisés de patients ou encore des numéros de sécurité sociale. Moins de trois jours après cette divulgation, les données avaient déjà été consultées par près de 3.000 personnes.
L’incident ayant touché le CHSF est loin d’être un cas isolé. Depuis juin 2020, le Cyberpeace Institute a comptabilisé pas moins de 384 cyberattaques par rançongiciel ciblant le domaine de la santé. Ce chiffre démontre que ce mode opératoire est désormais privilégié par les hackeurs. Il y a urgence.
Le gouvernement français a du reste récemment annoncé débloquer 25 millions d’euros pour les années 2021 et 2022 afin de renforcer la cybersécurité des établissements de santé. L’objectif de ce financement est notamment d’augmenter le nombre d’hôpitaux bénéficiant d’un parcours de sécurisation et de leur apporter « un accompagnement technologique et humain ».
Au-delà de ce financement c’est bien l’ensemble de la problématique cyber qu’il faut adresser ; tant a niveau de la prévention qu’au niveau de la réaction.
Se préparer à une cyberattaque : sensibiliser, prévenir et anticiper la directive NIS II
L’organisation et l’anticipation sont essentielles dans la prévention des cyberattaques.
Comment anticiper une cyberattaque dans un hôpital ?
A ce titre, une sensibilisation des collaborateurs et des utilisateurs est essentielle pour réduire les risques d’incidents cyber.
Il est également important de connaître en amont les modes opératoires des hackers et d’établir des procédures de gestion de crise afin d’apporter une réponse rapide et efficace en cas de réalisation d’un des scénarios identifiés. La rédaction d’une Politique de gestion des incidents constitue ici non seulement une bonne pratique mais également un élément clé de conformité au regard de la réglementation sur la protection des données[1].
La souscription d’une assurance cyber adaptée aux besoins de l’organisation est également un bon réflexe à adopter, dès lors bien entendu qu’une compagnie accepte de se positionner, ce qui, par les temps qui courent ne va pas de soi.
Attention toutefois à ne pas mobiliser que des équipes techniques dans la mise en place de ces différentes bonnes pratiques : un pilotage juridique est également indispensable dans la prévention des cyberattaques comme dans les réactions à incident.
Le professionnel du droit assistera aussi bien les opérationnels dans la mise en place des mesures conservatoire et autres actions à réaliser pour se conformer aux obligations légales applicables (notification aux autorités de contrôle et de tutelle, information des personnes) que les décideurs dans la gestion globale du risque que ce soit au niveau de la gestion contractuelle des sous-traitants, de l’activation des polices d’assurance ou encore de la communication de crise.
En ce sens, les entreprises sont invitées à suivre les dernières recommandations de l’ANSSI en matière de cybersécurité.
Quelles sont les nouvelles réglementations en matière de cybersécurité avec la directive NIS II
Rappelons ici que le secteur de la santé fait déjà l’objet de plusieurs réglementations en matière de protection des données : Règlement général sur la protection des données (RGPD), règlementation applicable aux Opérateurs de Services Essentiels (OSE) et aux Opérateurs d’Importance Vitale (OIV), Certification HDS, ordonnance du 12 mai 2021 relative à l’identification électronique des utilisateurs de services numériques de santé…
Il s’agira également d’anticiper les conséquences de la prochaine adoption de la révision de la directive « Network and Information Security » (NIS II).
Cette version révisée renforce en effet les exigences de sécurité mises à la charge des acteurs publics – les hôpitaux compris – en leur imposant l’adoption d’une procédure de gestion des incidents, la mise en œuvre d’audits pour évaluer l’efficacité des mesures ou encore la sécurisation de la chaîne d’approvisionnement et en augmentant la responsabilité des dirigeants.
Comment réagir efficacement en cas de cyberattaque d'un hôpital ?
La prévention des risques cyber est un aspect essentiel de la protection des établissements de santé. Ces derniers sont attaqués chaque jour et la question n’est pas de savoir si ces attaques vont finir par prospérer et percer les défenses mais quand ?
A ce titre, chaque établissement doit se préparer à réagir étant rappelé qu’une réaction à une cyber attaque suppose le respect de nombreuses règles dépassant la seule mise en œuvre de solutions techniques de protection (ex. mise en quarantaine) et de résilience (ex. reconstitution des données de sauvegarde).
En voici quelques-unes :
L’intervention d’un professionnel du droit aux côtés des dirigeants et des équipes opérationnelles dès l’identification de l’incident permettra ainsi non seulement de gérer la crise (suivi des procédures internes et du respect des obligations légales, identification et neutralisation des risques juridiques, …) mais également d’anticiper les conséquences de celle-ci (contentieux prestataires, engagement de la responsabilité pénale de la structure, contrôle des Autorités compétentes, procédure administrative de sanction, tensions sociales, risques réputationnels et financiers etc.).
En sus du dépôt de plainte certes non obligatoire mais vivement recommandé ne serait-ce que pour acter du statut de victime de l’établissement, précisons enfin qu’une attention particulière devra être portée sur les obligations juridiques ayant trait aux différentes notifications devant intervenir dans des délais particulièrement courts.
- Notification à la CNIL, au plus tard, en principe, dans les 72 heures suivant la connaissance de la violation des données (article 33 du RGPD) ;
- Notification à l’Agence du Numérique en Santé (ANS), et à l’Agence Régionale de Santé qui travaillent de concert pour analyser, qualifier et traiter les déclarations d’incident (article L 1111-8-2 du Code de la santé publique) ;
- Déclaration d’incident de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) lorsque l’établissement a la qualité d’OSE ;
- Notification aux personnes concernées par la violation (patients, salariés…) lorsque celle-ci présente un risque élevé pour ces personnes, ce qui est souvent le cas en matière de données de santé (article 34 du RGPD) ;
- Notification au responsable de traitement, dès lors que l’hôpital agit en tant que sous-traitant dans ses rapports avec lui ;
- Enfin, en tant que fonctionnaires, les directeurs d’hôpitaux sont tenus d’informer sans délai le procureur de la République en cas de découverte d’un crime ou délit dans l’exercice de leurs fonctions (article 40, alinéa 2 du Code de procédure pénale).
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques.
[1] La formalisation d’une politique de gestion des incidents est en effet une « mesure organisationnelle » dédiée à la sécurité et à la confidentialité des données au sens de l’article 32 du RGPD.