Les hôpitaux et établissements de santé et français sont des cibles privilégiées des cybercriminels, à raison d’une attaque par semaine en moyenne en 2021. Jean-Noël de Galzain, président du groupement Hexatrust et CEO de Wallix, éditeur spécialisé en cybersécurité, répond aux questions de Channelnews. 

Channelnews : Sur les 3.000 établissements de santé en France, quel est le niveau de maturité face à la cybersécurité, la capacité de récupération après incident ?

Jean-Noël de Galzain : Il varie d’un établissement à l’autre. L’hôpital d’Oloron dans les Pyrénées-Atlantiques a été paralysé le 8 mars dernier par une attaque par rançongiciel. Six mois après l’incident, le problème n’est toujours pas complètement résolu. Les équipes informatiques des hôpitaux sont sur-sollicitées. Elles font ce qu’elles peuvent avec les moyens mis à leur disposition pour maintenir les outils informatiques opérationnels et sécurisés. En 2021, certains établissements sont encore équipés de dispositifs vieux de 20 ans, faute de moyens. Comme pour les voitures qui doivent passer le contrôle technique, les équipements numériques des hôpitaux devraient passer régulièrement des contrôles de sécurité.

Channelnews : L’Etat a lancé un plan d’un milliard d’euros pour moderniser la filière cybersécurité. Cela va-t-il régler le problème selon vous ?

Jean-Noël de Galzain : L’initiative est accueillie de façon mitigée. La somme peut sembler dérisoire comparée aux coûts des cyberattaques : 1000 milliards de dollars en 2020, soit deux fois plus qu’en 2018.

Channelnews : Quelle action est prioritaire selon vous ?

Jean-Noël de Galzain : La mise en place d’une gouvernance. Les directeurs d’hôpitaux doivent se positionner en chefs d’orchestre. Malgré la bonne volonté des DSI, il est impératif d’impliquer l’ensemble des parties prenantes au fonctionnement du centre hospitalier.

En mars 2019, plus de 600 ordinateurs du CHU de Montpellier ont été infectés suite à une attaque. En cause : une petite négligence d’un employé du CHU qui avait cliqué sur un lien malveillant dans un email d’hameçonnage. La plupart des cyberattaques interviennent à cause du ‘phishing’. Cet exemple prouve que la vigilance doit s’opérer à tous les niveaux.

En février 2020, l’ENISA, l’agence européenne pour la cybersécurité, a sorti un guide de cybersécurité à destination des hôpitaux européens. Ce guide fournit des recommandations et bonnes pratiques pour inclure les problématiques de cybersécurité dans les processus d’acquisition d’équipements des hôpitaux. Il a le mérite d’exister et rejoint la feuille de route de l’Agence du Numérique en Santé (ANS) et de la Délégation du Numérique en Santé (DNS).

Channelnews : La solution proposée semble toute simple : l’adoption de bonnes pratiques ?

Jean-Noël de Galzain : Pour protéger le système d’information d’un hôpital, il est essentiel d’avoir des solutions de gestion des mots de passe, de protection des accès aux données et de gouvernance des identités mais pour maximiser le niveau de sécurité, il faut que l’utilisateur de ces solutions soit sensibilisé et formé. Il est important d’avoir une éducation « citoyenne » à la cybersécurité : intégrer des formations de cybersécurité à l’école primaire, au collège et jusqu’aux études post-baccalauréat. Tout ne changera pas du jour au lendemain.