Auteurs

Contacts

• BARBIER Benoît : benoit.barbier3@gmail.com
• BOSSARD Marie : marie.bossard015@gmail.com
• DURAND Marion : marion.durand.1302@gmail.com
• ROBIN Tho­mas : thomas30500@gmail.com

Citation

A rap­pe­ler pour tout usage : M. BOSSARD, B. BARBIER, M. DURAND, T. ROBIN, « Outiller l'ingénieur bio­mé­di­cal dans la pré­ven­tion des cybe­rat­taques », Uni­ver­si­té de Tech­no­lo­gie de Com­piègne (France), Mas­ter Ingé­nie­rie de la San­té, Mémoire de Pro­jet, jan­vier 2024, https://travaux.master.utc.fr/, réf n° IDS213, https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids213/, https://doi.org/10.34746/ids213

Article publié

Suite à ces tra­vaux, un article a été publié : ID interne : 2024_03_idsap

Remerciements

La concré­ti­sa­tion de ce pro­jet a été pos­sible grâce à la col­la­bo­ra­tion et à l'engagement d'un groupe de contri­bu­teurs qui ont géné­reu­se­ment appor­té leur sou­tien. Nous expri­mons notre pro­fonde gra­ti­tude envers tous ceux qui ont par­ti­ci­pé à la réa­li­sa­tion de ce pro­jet et notam­ment les dif­fé­rents pro­fes­sion­nels qui ont accep­té de faire des entretiens.

Nous tenons éga­le­ment à remer­cier l’ensemble de l’équipe péda­go­gique du Mas­ter Ingé­nie­rie de la San­té de l’Université de Tech­no­lo­gie de Compiègne.

Nous remer­cions notre tutrice de pro­jet Madame Julie Fol­let, pour l’ensemble de ses retours sur nos pro­duc­tions, ses conseils et son accom­pa­gne­ment. Nous remer­cions éga­le­ment les res­pon­sables du Mas­ter, Madame Isa­belle Claude, et Mon­sieur Jean-Mat­thieu Prot, pour leur atten­tion par­ti­cu­lière ain­si que pour leurs recommandations. 

Enfin, nous expri­mons notre sin­cère gra­ti­tude à l'ensemble des ingé­nieurs et tech­ni­ciens bio­mé­di­caux qui ont pris de leur temps pour nous aider à éla­bo­rer ce pro­jet ain­si que pour leurs retours construc­tifs sur nos productions.

Résumé

La numé­ri­sa­tion crois­sante des sys­tèmes d’information dans les ser­vices de soins des éta­blis­se­ments de san­té, a ouvert de nou­velles voies pour l'amélioration des soins. Cepen­dant, cette avan­cée tech­no­lo­gique s'accompagne d'un défi majeur à savoir la cyber­sé­cu­ri­té au sein de ces der­niers. La pro­tec­tion des don­nées médi­cales sen­sibles, la pré­ser­va­tion de l'intégrité des sys­tèmes infor­ma­tiques, et la garan­tie du bon fonc­tion­ne­ment des équi­pe­ments bio­mé­di­caux sont des impé­ra­tifs cru­ciaux. Face à l’émergence des risques cyber, il est néces­saire d'outiller les ingé­nieurs bio­mé­di­caux dans la pré­ven­tion des cyberattaques. 

En s'appuyant sur les ensei­gne­ments de la publi­ca­tion “Sécu­ri­té Numé­rique des équi­pe­ments bio­mé­di­caux" de l'Association Fran­çaise des Ingé­nieurs Bio­mé­di­caux (AFIB), quatre outils ont été éla­bo­rés pour favo­ri­ser l’intégration de la sécu­ri­té numé­rique dans les pro­cé­dures d'achat, défi­nir les moda­li­tés de col­la­bo­ra­tion au sein des éta­blis­se­ments de san­té, assu­rer la sécu­ri­té autour des équi­pe­ments bio­mé­di­caux et éva­luer la cri­ti­ci­té de ces équipements.

Ces outils ont fait l’objet de tests auprès d’ingénieurs bio­mé­di­caux pour véri­fier leur adé­qua­tion aux besoins de la com­mu­nau­té bio­mé­di­cale et déga­ger des pers­pec­tives d’évolution.

Abstract

The increa­sing digi­ti­za­tion of infor­ma­tion sys­tems in heal­th­care ins­ti­tu­tions' care ser­vices has ope­ned new ave­nues for impro­ving patient care. Howe­ver, this tech­no­lo­gi­cal advan­ce­ment comes with a major chal­lenge, name­ly cyber­se­cu­ri­ty within these ins­ti­tu­tions. Safe­guar­ding sen­si­tive medi­cal data, pre­ser­ving the inte­gri­ty of com­pu­ter sys­tems, and ensu­ring the pro­per func­tio­ning of bio­me­di­cal equip­ment are cru­cial impe­ra­tives. Due to emer­ging cyber risks, it is neces­sa­ry to equip bio­me­di­cal engi­neers with tools for pre­ven­ting cyber-attacks.

Dra­wing on the insights from the publi­ca­tion "Digi­tal Secu­ri­ty of Bio­me­di­cal Equip­ment" by the French Asso­cia­tion of Bio­me­di­cal Engi­neers (AFIB), four tools have been deve­lo­ped to pro­mote the inte­gra­tion of digi­tal secu­ri­ty into pur­cha­sing pro­ce­dures, define col­la­bo­ra­tion moda­li­ties within heal­th­care ins­ti­tu­tions, ensure secu­ri­ty around bio­me­di­cal equip­ment, and assess the cri­ti­ca­li­ty of these devices.

These tools have under­gone tes­ting with bio­me­di­cal engi­neers to veri­fy their sui­ta­bi­li­ty for the bio­me­di­cal community's needs and to iden­ti­fy poten­tial areas for improvement.

Téléchargements

"OUTILLER L'INGÉNIEUR BIOMÉDICAL DANS LA PRÉVENTION DES CYBERATTAQUES"

Introduction

À l'ère de la numé­ri­sa­tion crois­sante des sys­tèmes de san­té et plus par­ti­cu­liè­re­ment dans les éta­blis­se­ments de san­té, les ingé­nieurs bio­mé­di­caux sont confron­tés à un défi majeur : Sécu­ri­ser les équi­pe­ments bio­mé­di­caux contre les menaces crois­santes de cybe­rat­taques. En effet, les cybe­rat­taques sont clas­sées au 5e rang des risques les plus impor­tants en 2020 et ces der­nières ont encore aug­men­té depuis la pan­dé­mie du COVID-19 attei­gnant 730 inci­dents décla­rés en 2022 contre 327 en 2018 [10]. L'impact de ces attaques va au-delà de la sphère tech­no­lo­gique (atteintes du Sys­tème Infor­ma­tique Hos­pi­ta­lier, des Dis­po­si­tifs Médi­caux - DM, des don­nées médi­cales d’un patient…) en affec­tant direc­te­ment les mis­sions des ser­vices bio­mé­di­caux (main­te­nance pré­ven­tive et cura­tive des DM, uti­li­sa­tion de la Ges­tion de la Main­te­nance Assis­tée par Ordi­na­teur - GMAO,…). Ce mémoire explore l'impact des cybe­rat­taques sur le métier d'ingénieur bio­mé­di­cal, en met­tant en lumière le contexte glo­bal de la cyber­sé­cu­ri­té en France, l’état des lieux des menaces cyber ciblant les éta­blis­se­ments de san­té, les consé­quences finan­cières de ces cybe­rat­taques et la prise en charge com­plexe des patients.

Face à l'émergence des risques liés à la cyber­sé­cu­ri­té dans le domaine de la san­té, il devient impé­ra­tif de doter les ingé­nieurs bio­mé­di­caux d'outils effi­caces pour pré­ve­nir les cybe­rat­taques. En réponse à ces défis, l'AFIB a déve­lop­pé des tra­vaux dans la publi­ca­tion “Sécu­ri­té Numé­rique des équi­pe­ments bio­mé­di­caux”. Ce mémoire exa­mine le rôle cru­cial de ces tra­vaux dans l'élaboration de recom­man­da­tions et d’outils visant à armer l'ingénieur bio­mé­di­cal dans la pré­ven­tion de cybe­rat­taques. L’accent est mis sur  l'intégration de la sécu­ri­té numé­rique dans les pro­cé­dures d'achat, la défi­ni­tion de la col­la­bo­ra­tion au sein des éta­blis­se­ments de san­té, la garan­tie de la sécu­ri­té entou­rant les équi­pe­ments bio­mé­di­caux, et l'évaluation de la cri­ti­ci­té de ces équipements.

Enfin, ce mémoire se penche sur l'évaluation pra­tique des outils de cyber­sé­cu­ri­té créés pour les ingé­nieurs bio­mé­di­caux et mis en place en sui­vant leurs recom­man­da­tions. En ana­ly­sant les retours ter­rain et en réa­li­sant une éva­lua­tion appro­fon­die des pra­tiques du ser­vice bio­mé­di­cal, il met en évi­dence les impli­ca­tions concrètes de ces outils, iden­ti­fiant leurs avan­tages tout en sou­li­gnant leurs éven­tuelles limi­ta­tions. Cet ensemble de tra­vaux vise à gui­der les ingé­nieurs bio­mé­di­caux vers une inté­gra­tion effi­cace de la sécu­ri­té numé­rique, tout en envi­sa­geant des amé­lio­ra­tions futures pour ren­for­cer la rési­lience des sys­tèmes de san­té face aux cybermenaces.

I. Impacts des cyberattaques sur le métier d’ingénieur biomédical

I.1. Contexte global de la cybersécurité en France

Selon l'Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d'information (ANSSI) qui est l’agence en France char­gée de la veille, de l'alerte et de la réac­tion aux attaques infor­ma­tiques, une cybe­rat­taque peut être défi­nie comme une “ten­ta­tive d’atteinte à des sys­tèmes d’information réa­li­sée dans un but mal­veillant. Elle peut avoir pour objec­tif de voler des don­nées (secrets mili­taires, diplo­ma­tiques ou indus­triels, don­nées per­son­nelles ban­caires), de détruire, endom­ma­ger ou alté­rer le fonc­tion­ne­ment nor­mal de sys­tèmes d’information (dont les sys­tèmes indus­triels)” [11]. Les cybe­rat­taques sont per­pé­trées par dif­fé­rents types d’acteurs (Figure 1) qui visent majo­ri­tai­re­ment 3 types de cibles. Tout d’abord les ordi­na­teurs et ser­veurs iso­lés ou en réseau reliés ou non à inter­net, ensuite les équi­pe­ments péri­phé­riques, et enfin les appa­reils com­mu­ni­cants comme les tablettes notam­ment [11].

Figure 1 : Répartition des auteurs des cyberattaques (Source : [11]) (le glossaire peut être consulté pour plus d'informations)

Il existe 4 types de risques cyber que sont le pira­tage, l’atteinte à l’image, l’espionnage et le sabo­tage [11]. Le top 15 des menaces les plus obser­vées ces der­nières années ain­si que leur ten­dance crois­sante ou décrois­sante est pré­sen­té en figure 2.

Figure 2 : Top 15 des cybermenaces avec leurs tendances au cours des dernières années (Source : [12])

D’après l’ANSSI, les cybe­rat­taques ont connu une aug­men­ta­tion spec­ta­cu­laire, avec une crois­sance de 600 % depuis la pan­dé­mie du COVID-19, fin 2019, sur tous les sec­teurs d’activités en France [12]. Cette hausse signi­fi­ca­tive s'explique en grande par­tie par l'adoption géné­ra­li­sée du télé­tra­vail, qui a expo­sé de nom­breuses entre­prises à un risque accru d'attaques. En effet, cette pra­tique a élar­gi la sur­face d’attaque à tra­vers l’utilisation de connexions inter­net non sécu­ri­sées et a accru la com­plexi­té de la ges­tion de la sécurité. 

En 2021, à tra­vers la pla­te­forme cybermalveillance.gouv.fr, un total de 173 000 demandes d'aide de vic­times de cybe­rat­taques ont été recueillies, ce qui repré­sente une aug­men­ta­tion de 65 % par rap­port à l'année 2020 [13]. Ce nombre de demandes d’assistance a grim­pé à près de 280 000 en 2022 [14]. Entre 2021 et 2022 la fré­quen­ta­tion de la pla­te­forme a aug­men­tée de 55% pour atteindre plus de 8.3 mil­lions de vues en 5 ans. 

Les don­nées four­nies par la pla­te­forme cybermalveillance.gouv.fr sont par­ti­cu­liè­re­ment inté­res­santes car sa mis­sion prin­ci­pale est le sou­tien aux indi­vi­dus, aux entre­prises, aux asso­cia­tions, aux col­lec­ti­vi­tés et aux admi­nis­tra­tions qui sont vic­times de cyber mal­veillance, ain­si que la dif­fu­sion d'informations sur les risques numé­riques et les méthodes pour s'en pré­mu­nir. Des chiffres par­ti­cu­liè­re­ment infor­ma­tifs ont été publiés dans le rap­port annuel de 2021 de cybermalveillance.gouv.fr (Figure 3 et 4). Pour les pro­fes­sion­nels, les ran­som­wares ou ran­çon­gi­ciels demeurent la prin­ci­pale cause de pré­oc­cu­pa­tion, repré­sen­tant envi­ron 22 % des demandes d'aide [15].

Figure 3 : Top 5 des demandes d'assistance d'après les demandes faites sur la plateforme cybermalveillance.gouv.fr (Source : [16])

Figure 4 : Les grandes menaces de la cybersécurité en 2021 (Source : [16])

En 2022, l’hameçonnage est pas­sé à la pre­mière place de chaque caté­go­rie de publics avec une aug­men­ta­tion de 54% des recherches d’informations et d’assistance (Figure 5 et Figure 6) [17].

Figure 5 : Tendances des menaces cyber en 2022 d'après les données recueillies sur la plateforme cybermalveillance.gouv.fr (Auteurs d'après [17])

Figure 6 : Les grandes menaces de la cybersécurité en 2022 (Source : [17])

En France, le baro­mètre du Club des Experts de la Sécu­ri­té de l'information et du Numé­rique (CESIN) révèle que la moi­tié des entre­prises fran­çaises ont été vic­times d'une cybe­rat­taque en 2021. Ces attaques ont un coût non négli­geable et crois­sant au fil des années pour les orga­nismes car selon IBM Secu­ri­ty, le coût total moyen d'une vio­la­tion de don­nées s'élève à envi­ron 3,84 mil­lions d'euros en 2023 en France, com­pa­ra­ti­ve­ment à 3,6 mil­lions d'euros en 2020 [18]. De plus, il est esti­mé que d'ici 2025, la cyber­cri­mi­na­li­té coû­te­ra aux entre­prises du monde entier envi­ron 10 500 mil­liards de dol­lars par an [19].

En 2022, selon l’ANSSI les prin­ci­paux sec­teurs tou­chés par les attaques de ran­som­ware en France étaient les petites et moyennes entre­prises (Très Petite Entre­prises TPE, Petite ou Moyenne Entre­prise PME, Entre­prise de Taille Inter­mé­diaire ETI), sui­vis des col­lec­ti­vi­tés ter­ri­to­riales et des éta­blis­se­ments publics de san­té (Figure 7) [12]. Les sec­teurs sont ciblés pour plu­sieurs rai­sons tels que la dépen­dance à l’automatisation et au numé­rique, le retard en matière de pré­ven­tion du risque cyber et une insuf­fi­sance dans les pro­cé­dures de reprise d’activité.

Figure 7 : Répartition des types de victimes de compromissions par ransomwares en 2021 et 2022 (Source : [20])

Ces attaques ont des consé­quences impor­tantes notam­ment sur la dif­fu­sion d’informations confi­den­tielles qui ali­mentent les mar­chés paral­lèles. En effet, une étude menée par Sekoia.io (socié­té euro­péenne spé­cia­li­sée en cyber­sé­cu­ri­té) au cours du second semestre 2021 révèle que plus de 1000 listes d'accès ont été mises en vente par des hackers uti­li­sant la méthode du ran­çon­gi­ciel. Les prix de ces don­nées varient en fonc­tion de leur nature, par exemple, les don­nées médi­cales d'une per­sonne se négo­cient à 200 $, tan­dis qu'une carte ban­caire peut être ven­due pour seule­ment 1 $ car le numé­ro n’aura plus de valeur lorsque l’usurpation aura été décou­verte. Selon le sec­teur d'activité, la taille de l'entreprise et les pri­vi­lèges d'accès asso­ciés, les prix de revente aux enchères peuvent oscil­ler entre 100 et 100 000 dol­lars par accès. Les cybe­rat­taques ont donc un inté­rêt finan­cier impor­tant, ce qui explique l'augmentation des menaces cyber dans le monde entier [12].

Les acteurs mal­veillants amé­liorent constam­ment leurs tech­niques à des fins de gains finan­ciers, d’espionnage et de désta­bi­li­sa­tion notam­ment en pas­sant par les équi­pe­ments péri­phé­riques qui offrent un accès plus fur­tif et per­sis­tant aux réseaux des cibles. D’après l’ANSSI, les usages numé­riques non maî­tri­sés et les fai­blesses consta­tées dans la sécu­ri­sa­tion des don­nées conti­nuent d’offrir de nom­breuses oppor­tu­ni­tés d’actions mal­veillantes. Pour se pré­mu­nir des menaces les plus cou­rantes, l’agence pré­co­nise notam­ment l’application d’une poli­tique de mise à jour accrue, une sen­si­bi­li­sa­tion régu­lière de tous les uti­li­sa­teurs et le déve­lop­pe­ment de capa­ci­tés de détec­tion et de trai­te­ment d’incidents [13].

I.2. Les cyberattaques au sein des établissements de santé français

I.2.1. Établissements visés

Le nombre d'incidents de sécu­ri­té infor­ma­tique ciblant les éta­blis­se­ments de san­té a connu une pro­gres­sion constante, avec près de 730 attaques signa­lées en France en 2021 ce qui équi­vaut à 2 attaques par jour en moyenne en 2021. En 2022, le Com­pu­ter Emer­gen­cy Res­ponse Team (CERT) San­té a enre­gis­tré 588 décla­ra­tions d'incidents de cyber­sé­cu­ri­té dans les éta­blis­se­ments de san­té fran­çais, mais le même pour­cen­tage de décla­ra­tions d’origine mal­veillante (envi­ron 50%). 27 inci­dents étaient liés à une attaque par ran­som­ware en 2022, contre 59 en 2021 [21]. 

Les hôpi­taux publics se dis­tinguent net­te­ment par une sur­re­pré­sen­ta­tion par rap­port aux éta­blis­se­ments pri­vés (Figure 8). De plus, le CERT remarque que la pro­por­tion des éta­blis­se­ments pri­vés à but lucra­tif ayant signa­lé des inci­dents a été réduite d'un peu plus de la moi­tié en 2021.

Figure 8 : Part des signalements comparés à la part des établissements selon leur raison social en 2021 (Source : [15])

I.2.2. Attaques ciblant les systèmes d’information

Le risque majeur pour les éta­blis­se­ments de san­té en France est celui du ran­çon­nage, aus­si bien en fré­quence qu’en volume puisque ce type d’attaque est pas­sé du 6ème au 1er rang entre 2019 et 2020 [12]. Le ran­çon­nage se carac­té­rise par le chif­fre­ment et l'inaccessibilité des don­nées ce qui désor­ga­nise l’activité et la prise en charge des patients, allant même jusqu’à para­ly­ser les ser­vices et à la perte de don­nées sen­sibles. Dans le pire cas, ces cybe­rat­taques peuvent conduire à la mort du patient. 

Le ran­çon­nage se pra­tique de plu­sieurs façons et notam­ment par hame­çon­nage (en anglais phi­shing), le recours à un iden­ti­fiant volé lors de pré­cé­dentes intru­sions ou com­por­te­ments inadap­tés, et enfin par l’exploitation de failles de sécu­ri­té sou­vent liées à un sys­tème d’exploitation obso­lète. Toutes les don­nées col­lec­tées peuvent être com­mer­cia­li­sées sur les mar­chés paral­lèles car les don­nées de san­té ont une valeur mer­can­tile très attrac­tive. Ain­si, près de 80 % des attaques étaient moti­vées par des gains finan­ciers en 2022 [18].

I.2.3. Attaques ciblant les Dispositifs Médicaux exploités

L’essor des solu­tions de san­té numé­rique per­met le par­tage de don­nées, la sur­veillance, la pré­vi­sion des risques, ou encore la ges­tion des dis­po­si­tifs et donc le déve­lop­pe­ment de la télé­mé­de­cine ou des pla­te­formes de sui­vi des patients. Cepen­dant, les risques asso­ciés ne sont pas com­plè­te­ment maî­tri­sés, ni par les fabri­cants des DM, ni par leurs uti­li­sa­teurs, ouvrant de nou­velles portes à la cybercriminalité.

En effet, les fabri­cants peinent encore à pos­sé­der une exper­tise solide en matière de sécu­ri­té infor­ma­tique. Le nombre tou­jours plus impor­tant de DM com­bi­nés le plus sou­vent avec des manques en termes de sécu­ri­té font des hôpi­taux une cible pri­vi­lé­giée pour les cybe­rat­taques. En effet, en 2020, il y avait envi­ron 6 mil­liards d’objets connec­tés dans le monde contre plu­sieurs cen­taines de mil­lions d’ordinateurs [23]. L'Agence de l'Union euro­péenne pour la cyber­sé­cu­ri­té (ENISA) en col­la­bo­ra­tion avec Juni­per Research pré­voit que d'ici 2026, les orga­ni­sa­tions de san­té dans leur ensemble auront déployé plus de 7 mil­lions d'appareils médi­caux connec­tés dans le monde, soit le double par rap­port à 2021 Au niveau hos­pi­ta­lier, cela équi­vaut à une moyenne de plus de 3 850 dis­po­si­tifs par éta­blis­se­ment. Ce chiffre repré­sente une crois­sance totale de 131% par rap­port à 2021 [24]. Étant don­né que la puis­sance d’une cybe­rat­taque dépend du nombre de péri­phé­riques pira­tés, il est aisé de com­prendre l’intérêt des pirates de réa­li­ser des cybe­rat­taques via ces DM connec­tés mal sécu­ri­sés. Ce pira­tage des DM est notam­ment ren­du pos­sible par le fait que les fabri­cants ont besoin d’avoir un accès à dis­tance pour inter­ve­nir sur leur appa­reil rapi­de­ment, ris­quant de per­mettre aux hackers de s’infiltrer à leur place [23]. Pen­dant très long­temps Team Vie­wer était uti­li­sé mais est main­te­nant ban­ni de la plu­part des éta­blis­se­ments du fait de ses nom­breux risques en matière de sécu­ri­té. La sur­veillance des DM et des réseaux à l'hôpital consti­tue une tâche com­plexe pour les ser­vices infor­ma­tiques et bio­mé­di­caux. La ges­tion de ce défi est ren­due dif­fi­cile en rai­son du volume impor­tant de DM et de la néces­si­té de main­te­nir une connec­ti­vi­té avec des réseaux externes pour des acti­vi­tés telles que la télé­main­te­nance et les mises à jour.

I.2.4. Vulnérabilité des établissements face aux cyberattaques

La crois­sance de la fré­quence et du nombre de cybe­rat­taques tou­chant les éta­blis­se­ments de san­té, quelle que soit leur loca­li­sa­tion s’explique par leurs vul­né­ra­bi­li­tés (manque de mise à jour, failles des sys­tèmes d’exploitation et com­por­te­ments humains à risque... Figure 9). Ain­si, en dépit des idées répan­dues, les hôpi­taux ne sont pas direc­te­ment visés par les cyber-atta­quants qui par oppor­tu­nisme exploitent une faille de sécu­ri­té rési­duelle du sys­tème infor­ma­tique. Il y a cepen­dant un réel inté­rêt, lorsque l’opportunité se pré­sente, pour le carac­tère sen­sible et la valeur mar­chande des don­nées trai­tées par le sys­tème infor­ma­tique hos­pi­ta­lier (SIH) [12].

Figure 9 : Les principales vulnérabilités d'une structure de santé (Source : [25])

L'émergence des risques cyber dans le sec­teur de la san­té s’explique éga­le­ment par le manque de prise de conscience de la part des soi­gnants, sub­mer­gés de tra­vail et insuf­fi­sam­ment sen­si­bi­li­sés aux dif­fé­rents risques cyber. Par exemple, les soi­gnants ne sont pas for­cé­ment au fait que les don­nées médi­cales ont une valeur mar­chande très éle­vée sur le Dark Web car leur déten­tion per­met de deman­der des ran­çons, se faire pres­crire des médi­ca­ments ou usur­per une iden­ti­té [23]. Ces don­nées peuvent éga­le­ment être trans­mises aux com­pa­gnies d’assurances ce qui est très pro­blé­ma­tique pour le patient.

I.2.5. Conséquences sur les établissements de santé

Les consé­quences des cybe­rat­taques sur les éta­blis­se­ments de san­té sont signi­fi­ca­tives, puisqu’elles ne se tra­duisent pas seule­ment par des pertes finan­cières, mais aus­si par une dété­rio­ra­tion de la prise en charge des patients et une perte d’intégrité de leurs infor­ma­tions médi­cales (Figure 10).

Figure 10 : Les principaux risques et impacts de la cybersécurité en santé (Source : [25])

I.3. Impacts financiers

En 2021, l'hôpital de Dax a été dans l’obligation de dépro­gram­mer des opé­ra­tions et d'orienter les patients vers d’autres éta­blis­se­ments. En plus de la perte de chiffre d'affaires pour l'hôpital, les cyber-atta­quants peuvent deman­der des ran­çons en échange d’un déblo­cage du sys­tème d’information. En France, il est deman­dé de ne pas céder au chan­tage mais dans d’autres pays comme aux Etats-Unis,il n’est pas rare que les éta­blis­se­ments acceptent de payer pour déblo­quer leur système. 

La recons­truc­tion de l’environnement numé­rique est éga­le­ment coû­teuse car elle peut prendre plu­sieurs semaines à plu­sieurs mois. Les coûts sont donc liés aux res­sources humaines mobi­li­sées pen­dant la ges­tion de la crise, de nom­breux employés doivent faire des heures sup­plé­men­taires pour par­ti­ci­per à l’effort de crise, et à la com­mande de pres­ta­tion infor­ma­tiques pour accé­lé­rer la remé­dia­tion. Dans le cas de l’attaque du centre hos­pi­ta­lier d’Albertville Mou­tiers en décembre 2020, l’impact finan­cier est esti­mé à 1.5 M€ [11].

En 2019, le CH d’Issoudun dans l’Indre a dû débour­ser plus de 40 000 euros pour se doter d’un nou­veau pare-feu après avoir refu­sé de payer la ran­çon asso­ciée au virus Anti­re­cu­va ANDB [12].

Ce bilan peut s’alourdir dans le cas de sanc­tions finan­cières pro­non­cées par la Com­mis­sion natio­nale de l'informatique et des liber­tés (CNIL) en cas de non-res­pect du Règle­ment Géné­ral de Pro­tec­tion des Don­nées (RGPD) notam­ment lors de fuites de don­nées de san­té des patients. Selon les don­nées recueillies par le CERT en 2021, la répar­ti­tion des inci­dents par caté­go­rie de don­nées tou­chées est la sui­vante : 56 % ont tou­ché des don­nées de san­té à carac­tère per­son­nel, 34 % des infor­ma­tions à carac­tère per­son­nel autres que les don­nées patients, 16 % des infor­ma­tions confi­den­tielles ou stra­té­giques, prin­ci­pa­le­ment des iden­ti­fiants de compte uti­li­sa­teur, et enfin 12 % des don­nées tech­niques sen­sibles [22]. Ces sta­tis­tiques sou­lignent que les don­nées per­son­nelles sont les pre­mières tou­chées par les inci­dents de sécu­ri­té déclarés.

L’étude de 2023, “Menaces et risques cyber pesant sur les éta­blis­se­ments de san­té en France” conduite par Relyens qui est un groupe mutua­liste euro­péen d'Assurance et Mana­ge­ment des risques spé­cia­liste des acteurs du soin et des ter­ri­toires, consi­dère le scé­na­rio d'une attaque par ran­çon­gi­ciel d’un éta­blis­se­ment de san­té de type CHU. Cette der­nière suit un mode opé­ra­toire clas­sique des cyber­cri­mi­nels au cours duquel les atta­quants envoient un logi­ciel mal­veillant ou un virus à l'établissement, blo­quant l'accès à ses don­nées ou à son maté­riel en les chif­frant [26]. Les cri­mi­nels exigent ensuite le paie­ment d'une ran­çon pour réta­blir l'accès. Ce type d'attaque peut entraî­ner les consé­quences suivantes :

• Le chif­fre­ment d'une par­tie signi­fi­ca­tive du SIH, pro­vo­quant des per­tur­ba­tions dans les soins, notam­ment l'indisponibilité du dos­sier patient infor­ma­ti­sé (DPI), d'applications métiers et de divers équi­pe­ments médicaux.
• L'exfiltration de don­nées de san­té par les attaquants.

Selon cette étude, l'impact finan­cier d'un tel scé­na­rio pour ce type d'établissement est repré­sen­té sur la Figure 11.

Figure 11 : Estimation de l'impact financier d'une cyberattaque sur un établissement de santé type CHU (Source : [26])

En rai­son des consé­quences graves, tant pour l'établissement que pour la sécu­ri­té des patients, il est essen­tiel que les diri­geants des éta­blis­se­ments de san­té et leurs RSSI aient une vision pré­cise de leur expo­si­tion aux risques cyber afin de com­prendre les menaces, d'estimer leur niveau et d'évaluer leur capa­ci­té de défense afin de mettre en place une poli­tique de cyber­sé­cu­ri­té adap­tée à leur établissement.

I.4. Impacts sur la prise en charge des patients

Un constat pré­oc­cu­pant révèle qu'en 2022, 39% des struc­tures de san­té ont dû opé­rer en mode dégra­dé pour assu­rer la prise en charge des patients, met­tant en lumière la vul­né­ra­bi­li­té du sec­teur face aux inci­dents de cyber­sé­cu­ri­té et la néces­si­té d'une pré­pa­ra­tion ren­for­cée. De plus, les consé­quences des inci­dents de cyber­sé­cu­ri­té en 2022 sont clai­re­ment illus­trées par le fait que 63% des struc­tures tou­chées signalent un impact direct sur leurs don­nées, qu'elles soient liées aux patients ou aux opé­ra­tions internes de la struc­ture [27].

Ain­si, lors d’une cybe­rat­taque, les éta­blis­se­ments de san­té peuvent se retrou­ver para­ly­sés. Par exemple, le 10 août 2019, les 120 éta­blis­se­ments du groupe Ram­say ont été ciblés par une attaque infor­ma­tique, affec­tant les ser­veurs gérant les infra­struc­tures et les mes­sa­ge­ries, les ren­dant inuti­li­sables pen­dant une période de cinq jours. Cela com­plique les soins qui sont pro­di­gués au patient puisque la par­tie numé­rique est para­ly­sée. Évi­dem­ment, l’organisation peut conti­nuer de fonc­tion­ner, même en mode dégra­dé (papier, télé­phone…) mais la prise en charge des patients est tout de même impac­tée du fait du temps de réor­ga­ni­sa­tion néces­saire des soi­gnants. Le 15 novembre 2019, le CHU de Rouen a été gra­ve­ment tou­ché par une attaque infor­ma­tique, obli­geant l'arrêt de tous les ordi­na­teurs pour limi­ter sa pro­pa­ga­tion, pro­vo­quant une per­tur­ba­tion signi­fi­ca­tive dans la sécu­ri­té et la conti­nui­té des soins. Cet arrêt empêche sou­vent les équipes soi­gnantes de com­mu­ni­quer entre elles comme elles en ont l’habitude ce qui ralen­tit la conti­nui­té des soins et la tra­ça­bi­li­té des patients et des actes réalisés.

Un peu plus récem­ment, en août 2022, le Centre Hos­pi­ta­lier Sud Fran­ci­lien a été vic­time d'une attaque par ran­som­ware qui a entraî­né une per­tur­ba­tion majeure de l’accès aux don­nées et aux appli­ca­tions du sys­tème d'information, ce qui a ren­du très com­plexe la tra­ça­bi­li­té des don­nées du patient et le par­tage d’informations entre ser­vices. Le 23 sep­tembre 2022, envi­ron 11 giga­oc­tets de don­nées, dont des infor­ma­tions médi­cales et per­son­nelles concer­nant les patients et le per­son­nel hos­pi­ta­lier, ont été divul­gués sur le site web du groupe de cyber­cri­mi­nels à l’origine de l’attaque [28]. Bien que les équipes tech­niques du Centre Hos­pi­ta­lier, en col­la­bo­ra­tion avec l'ANSSI et divers pres­ta­taires, aient réus­si à réta­blir les ser­vices cri­tiques, la recons­truc­tion sécu­ri­sée du sys­tème d'information et le retour à un fonc­tion­ne­ment nor­mal demandent des efforts à long terme. En effet, le Centre Hos­pi­ta­lier (CH) a annon­cé un chan­tier de 12 à 18 mois pour ren­for­cer son infra­struc­ture infor­ma­tique, mené en col­la­bo­ra­tion avec l’Agence régio­nale de san­té (ARS) [29]. Ain­si la prise en charge des patients n’est tou­jours pas rede­ve­nue opti­male et leurs don­nées sont encore pré­sentes à cer­tains endroits du Web. Pour le moment, aucune attaque n’a abou­ti à la mort avé­rée d’un patient mais il s’agit d’un scé­na­rio tout à fait envisageable. 

Ces retours ter­rains témoignent de l’impact des cybe­rat­taques sur la sécu­ri­té des soins et la perte de chances pour les patients. Il s’agit d’une réor­ga­ni­sa­tion com­plète de l’hôpital qui impacte néces­sai­re­ment pro­fon­dé­ment la prise en charge du patient, tout du moins au début de la cyberattaque.

I.5. Mesures de sécurité dans les établissements de santé

La cyber­cri­mi­na­li­té est deve­nue une pré­oc­cu­pa­tion prio­ri­taire pour l'hôpital, les patients et la socié­té du fait de la mul­ti­pli­ca­tion des attaques et de l’augmentation de leur ampleur. De fait, dans le sec­teur de la san­té émergent de nom­breuses réflexions en lien avec la cyber­sé­cu­ri­té défi­nie alors comme “l’ensemble des mesures tech­niques ou orga­ni­sa­tion­nelles mises en place pour assu­rer l’intégrité et la dis­po­ni­bi­li­té d’un DM ain­si que la confi­den­tia­li­té des infor­ma­tions conte­nues ou issues de ce DM contre le risque d’attaques dont il pour­rait faire l’objet“ [30].

La cyber­sé­cu­ri­té s’appuie sur un trip­tyque : tech­nique, orga­ni­sa­tion­nel et juri­dique [31] pour être efficace.

I.5.1. Mesures techniques et financières

En 2021, le Pré­sident de la Répu­blique a deman­dé aux éta­blis­se­ments de san­té de consa­crer 5 à 10% du bud­get infor­ma­tique à la cyber­sé­cu­ri­té. Cette demande sus­cite plu­sieurs réflexions. Il faut tout d’abord remettre cela en pers­pec­tive avec la réa­li­té des bud­gets des éta­blis­se­ments de san­té dont le bud­get est sou­vent déjà ser­ré pour le fonc­tion­ne­ment glo­bal des soins.  D'un point de vue cri­tique, on pour­rait se deman­der si l'allocation de 5 à 10% est suf­fi­sante, compte tenu de l'évolution constante des menaces cybers. Dans la réa­li­té, les éta­blis­se­ments de san­té pour­raient être confron­tés à des défis plus impor­tants et à des coûts plus éle­vés pour main­te­nir une cyber­sé­cu­ri­té effi­cace. Une éva­lua­tion régu­lière et une adap­ta­tion aux nou­velles menaces sont donc essen­tielles. Cepen­dant cette annonce du Pré­sident de la Répu­blique sou­ligne la recon­nais­sance de l'importance de la cyber­sé­cu­ri­té dans le sec­teur de la san­té. Cela est posi­tif puisque les ins­ti­tu­tions médi­cales traitent des don­nées sen­sibles et donc allouer des res­sources finan­cières à la pro­tec­tion de ces don­nées est essen­tiel pour garan­tir la confi­den­tia­li­té, l'intégrité et la dis­po­ni­bi­li­té des infor­ma­tions médi­cales. Cepen­dant, il est impor­tant de sou­li­gner que la cyber­sé­cu­ri­té ne devrait pas être consi­dé­rée comme une pré­oc­cu­pa­tion uni­que­ment finan­cière. Elle néces­site une approche com­plète qui englobe la mise en place de poli­tiques de sécu­ri­té, la sur­veillance constante des réseaux, et la col­la­bo­ra­tion avec d'autres ins­ti­tu­tions pour par­ta­ger des infor­ma­tions sur les menaces. Il est néces­saire que ces fonds soient uti­li­sés de manière judi­cieuse, en inves­tis­sant dans des tech­niques de sécu­ri­sa­tion modernes et robustes ain­si que dans des for­ma­tions adé­quates pour le per­son­nel des ser­vices infor­ma­tique, bio­mé­di­cal et de soins. La qua­li­té des inves­tis­se­ments est sou­vent plus cru­ciale que la quantité. 

A ce titre, l'État annon­çait en 2021 allouer 25 mil­lions d’euros à l’ANSSI pour la réa­li­sa­tion d’audits dans les hôpi­taux et 350 mil­lions pour la sécu­ri­sa­tion infor­ma­tique des établissements. 

La réa­li­sa­tion d’audits apporte un accom­pa­gne­ment tech­no­lo­gique et humain. Effec­ti­ve­ment, la réa­li­sa­tion d'audits par l'ANSSI dans les hôpi­taux vise à éva­luer la sécu­ri­té des sys­tèmes d'information en place, à iden­ti­fier les éven­tuelles vul­né­ra­bi­li­tés et à for­mu­ler des recom­man­da­tions pour ren­for­cer la pos­ture de sécu­ri­té. Ces audits couvrent dif­fé­rents aspects tels que les infra­struc­tures réseau, les appli­ca­tions, les pro­cé­dures de ges­tion des accès. Ain­si, ils four­nissent une base pour mettre en œuvre des mesures cor­rec­tives ciblées. Les 350 mil­lions d'euros dédiés à la sécu­ri­sa­tion infor­ma­tique des éta­blis­se­ments de san­té per­mettent de finan­cer des ini­tia­tives plus larges, telles que l'acquisition de tech­no­lo­gies de sécu­ri­té, la for­ma­tion du per­son­nel, la mise en place de pro­cé­dures de réponse aux inci­dents, et la créa­tion d'une culture de sécu­ri­té au sein des établissements. 

D’après le Ministre délé­gué de la Tran­si­tion Numé­rique, la démarche a per­mis de dou­bler le nombre d'établissements de san­té qui béné­fi­cient du par­cours de sécu­ri­sa­tion des éta­blis­se­ments. Mais les finan­ce­ments ayant été octroyés en 2021 il y a pour le moment assez peu de retours d’expérience sur l’efficacité de ces finan­ce­ments. Il serait donc inté­res­sant de recen­ser ces retours et d’en faire une syn­thèse pour gui­der les pou­voirs publics.

Concer­nant des mesures tech­niques autres que finan­cières, la Haute Auto­ri­té de San­té (HAS) a révi­sé en fin d’année son guide de cer­ti­fi­ca­tion des éta­blis­se­ments de san­té vis-à-vis la qua­li­té des soins dis­pen­sés en incluant la prise en compte de la ges­tion des risques numé­riques dans la pres­ta­tion des soins. La ver­sion la plus récente du manuel de cer­ti­fi­ca­tion élève le niveau d'exigence en inté­grant la ges­tion des risques numé­riques en tant que cri­tère stan­dard (cri­tère 3.6-02) pour éva­luer la qua­li­té des soins dis­pen­sés par les éta­blis­se­ments de san­té à par­tir du 1er jan­vier 2024. Ce cri­tère gui­de­ra l’appréciation de la qua­li­té des soins pro­di­gués par les éta­blis­se­ments de san­té, et per­met­tra l’évaluation de cri­tères impé­ra­tifs comme le 3.6-01 (La ges­tion des ten­sions hos­pi­ta­lières et des situa­tions sani­taires excep­tion­nelles est maî­tri­sée) et le 3.7-03 (L’établissement ana­lyse, exploite et com­mu­nique les indi­ca­teurs qua­li­té et sécu­ri­té des soins).

Le cri­tère 3.6-02 dont le titre est “Les risques de sécu­ri­té numé­rique sont maî­tri­sés” est donc cen­tral. Les élé­ments d’évaluation de la gou­ver­nance pour obte­nir la cer­ti­fi­ca­tion portent notam­ment sur la pré­sence de plans de conti­nui­té d'activité et de reprise d'activité, les actions de sen­si­bi­li­sa­tion régu­lières pour les pro­fes­sion­nels de san­té. On retrouve éga­le­ment la dési­gna­tion de réfé­rents sécu­ri­té SI for­més dans les sec­teurs à risques et la décla­ra­tion immé­diate des inci­dents de sécu­ri­té des SI à l'Agence du Numé­rique en San­té (ANS). Concer­nant les pro­fes­sion­nels, on retrouve la connais­sance des pro­cé­dures en cas d'incident/attaque, la connais­sance du contact du réfé­rent de la sécu­ri­té numé­rique ou encore la sen­si­bi­li­sa­tion à la sup­pres­sion de docu­ments de san­té avec don­nées per­son­nelles sur les postes de travail.

I.5.2. Mesures organisationnelles

I.5.2.a. Cadre des mesures organisationnelles

La cyber­sé­cu­ri­té ne se limite pas à l’acquisition du meilleur maté­riel mais elle repose sur une orga­ni­sa­tion struc­tu­rée par le sys­tème de mana­ge­ment de la sécu­ri­té de l’information (norme ISO 27001) [13].

Les mesures orga­ni­sa­tion­nelles se concentrent sur les aspects humains, admi­nis­tra­tifs et struc­tu­rels de la cyber­sé­cu­ri­té, c'est-à-dire à la mise en place de bonnes pra­tiques et le sui­vi de la régle­men­ta­tion à l’échelle d’un éta­blis­se­ment. Il s’agit de for­mer et de sen­si­bi­li­ser les pro­fes­sion­nels de san­té aux bonnes pra­tiques de sécu­ri­té, de répar­tir rôles et res­pon­sa­bi­li­tés entre les ser­vices bio­mé­di­caux et infor­ma­tiques, d’établir des poli­tiques internes et des pro­cé­dures opé­ra­tion­nelles pour réduire les risques.

I.5.2.b. Sensibilisation et formation des professionnels

L’instauration d’une culture de sécu­ri­té et de démarches d’amélioration conti­nue par­mi les per­son­nels d’un éta­blis­se­ment per­met d’encourager la vigi­lance et de res­pon­sa­bi­li­ser cha­cun. Cepen­dant, les démarches qui visent à amé­lio­rer la com­pré­hen­sion des risques et l’importance de la sécu­ri­té numé­rique dans les éta­blis­se­ments de san­té n’émergent que depuis quelques années et impliquent des efforts nour­ris de la part de tous les acteurs pour être efficaces.

Le Guide d’hygiène infor­ma­tique de l’ANSSI inti­tu­lé Ren­for­cer la sécu­ri­té de son sys­tème d’information en 42 mesures com­porte de nom­breux conseils mais qui sont plus à des­ti­na­tion de la direc­tion des ser­vices infor­ma­tiques.
Intro­duit à la fin de l'année 2022, le label régio­nal NOUVEY, éla­bo­ré en col­la­bo­ra­tion avec l'ARS et le Grou­pe­ment de Coopé­ra­tion Sani­taire (GCS) Tesis, vise à amé­lio­rer la sen­si­bi­li­sa­tion des acteurs de san­té en matière de cyber­sé­cu­ri­té, inci­ter l'ensemble des pro­fes­sion­nels à adop­ter les bonnes pra­tiques (Figure 12) et illus­trer la dyna­mique en cours dans le domaine médi­cal et médi­co-social en matière de cyber­sé­cu­ri­té, à tra­vers le mes­sage sui­vant : "En infor­ma­tique comme en méde­cine, il y a des règles d’hygiène à res­pec­ter !" [32] Cette ini­tia­tive, dont le nom signi­fie "on veille" en créole, se fixe pour mis­sion de sen­si­bi­li­ser les acteurs de san­té aux risques liés à des com­por­te­ments tels que les clics sur des mails frau­du­leux, l'usage per­son­nel d'outils pro­fes­sion­nels, ou l'utilisation de mots de passe par­ta­gés et faci­le­ment déchif­frables sont clai­re­ment identifiés.

Figure 12 : Campagne de sensibilisation aux risques cyber en santé initiée par le label régional NOUVEY (Source : [33])

Entre fin 2022 et début 2023, une cam­pagne de com­mu­ni­ca­tion édu­ca­tive a été ini­tiée pour infor­mer et sen­si­bi­li­ser les acteurs de san­té aux sujets du label NOUVEY. Cette cam­pagne a employé divers moyens, tels que des affiches (Figure 13), des cam­pagnes sur les réseaux sociaux, des vidéos, des quiz et des info­gra­phies. Un site inter­net dédié a été mis en place pour cen­tra­li­ser les infor­ma­tions. Enfin, des ses­sions de for­ma­tions et de sen­si­bi­li­sa­tion, sous forme de webi­naires, ont été orga­ni­sées, et un évé­ne­ment annuel spé­ci­fique a été ins­tau­ré dans le cadre de cette initiative.

Figure 13 : Campagne de sensibilisation aux risques cyber en santé initiée par le label régional NOUVEY (Source : [32])

Le but des dif­fé­rentes actions de sen­si­bi­li­sa­tion enga­gées sur tout le ter­ri­toire Fran­çais est de faire prendre conscience que les uti­li­sa­teurs et les ache­teurs sont aus­si res­pon­sables de la bonne ges­tion des risques cyber pour garan­tir la sécu­ri­té des patients pris en charge dans les éta­blis­se­ments de san­té et éga­le­ment la confi­den­tia­li­té des don­nées. Le ser­vice bio­mé­di­cal a donc un rôle pré­pon­dé­rant dans cette prise de conscience pour pou­voir adop­ter les bonnes pra­tiques et les actions néces­saires pour faire face à ces risques cyber.

I.5.2.c. Collaboration entre les services informatiques, médicaux et administratifs pour assurer une approche cohérente et intégrée de la sécurité informatique

His­to­ri­que­ment, les fonc­tions de sup­port infor­ma­tique et bio­mé­di­cal étaient déli­mi­tées en fonc­tion de l'infrastructure : le ser­vice bio­mé­di­cal gérait les dis­po­si­tifs médi­caux tan­dis que le ser­vice infor­ma­tique était char­gé des ordi­na­teurs, ser­veurs et équi­pe­ments réseau.

Cepen­dant, la ges­tion des don­nées bio­mé­di­cales exige désor­mais une col­la­bo­ra­tion plus étroite entre les ser­vices infor­ma­tiques et bio­mé­di­caux. Selon l’AFIB (Asso­cia­tion Fran­çaise des Ingé­nieurs Bio­mé­di­caux), il est néces­saire de fusion­ner leurs com­pé­tences et de les appli­quer conjoin­te­ment à un domaine d'intérêt com­mun [34]. Cette fusion est d’autant plus impor­tante qu’un des enjeux majeurs dans la thé­ma­tique de la cyber­sé­cu­ri­té est l’opposition de la vision du Res­pon­sable de la Sécu­ri­té des Sys­tèmes d’Information (RSSI) et du res­pon­sable bio­mé­di­cal à pro­pos des équi­pe­ments bio­mé­di­caux (Figure 14). Effec­ti­ve­ment, le pre­mier, char­gé de défi­nir la poli­tique de sécu­ri­té des sys­tèmes d’information et qui veille à son appli­ca­tion, sou­haite sou­vent limi­ter les connexions pour garan­tir la sécu­ri­té des appa­reils et la confi­den­tia­li­té des don­nées alors que le der­nier sou­haite l’ouverture et la connexion des DM pour faci­li­ter leur uti­li­sa­tion et leurs sau­ve­gardes. Il y a donc un enjeu majeur de dia­logue entre les deux ser­vices qui doit notam­ment être faci­li­té par le comi­té de ges­tion de la sécu­ri­té numé­rique désor­mais mis en place dans une grande majo­ri­té d’établissements de san­té. L’objectif est fina­le­ment de trou­ver un com­pro­mis entre les règles de sécu­ri­té maxi­mum et les fonc­tion­na­li­tés de tra­vail néces­saires au per­son­nel soi­gnant. De plus, les ingé­nieurs bio­mé­di­caux doivent affir­mer que la sécu­ri­té numé­rique des équi­pe­ments est au cœur de leurs pré­oc­cu­pa­tions et le faire clai­re­ment savoir aux four­nis­seurs [31].

Figure 14 : Différences de visions entre le RSSI et le responsable biomédical à propos des équipements connectés (Source : [31])

Ain­si la ges­tion de la cyber­sé­cu­ri­té en termes de moyens, de stra­té­gie et de solu­tions tech­niques doit se faire à l’échelle de chaque struc­ture sani­taire et médi­co-sociale et mobi­li­ser un nombre impor­tant et divers d’acteurs.

Les mis­sions des acteurs de la sécu­ri­té infor­ma­tique à l'hôpital com­mencent d’ores et déjà à évo­luer [31]. 

Par­mi eux, on retrouve le RSSI qui est éga­le­ment char­gé de don­ner des conseils, une assis­tance et d’assurer la for­ma­tion, dont la pré­ven­tion ain­si qu’un tra­vail de veille à la fois tech­no­lo­gique mais éga­le­ment régle­men­taire. Il doit notam­ment accom­pa­gner le ser­vice bio­mé­di­cal dans ses mis­sions. Ensuite il y a les réfé­rents tech­no­lo­giques de chaque domaine du sys­tème d’information en san­té et qui sont les inter­lo­cu­teurs pri­vi­lé­giés du RSSI. Puis la direc­tion des sys­tèmes d’information doit jouer le rôle de faci­li­ta­teur et d’architecte des solu­tions infor­ma­tiques. Enfin, face à la numé­ri­sa­tion de l’hôpital, l’ingénieur bio­mé­di­cal a un rôle de plus en plus cru­cial dans la sécu­ri­té. Tous ces acteurs doivent donc col­la­bo­rer le mieux pos­sible et il s’agit d’un des enjeux majeurs.

Actuel­le­ment de plus en plus d'établissements opèrent une réor­ga­ni­sa­tion avec la fusion du ser­vice bio­mé­di­cal et de la Direc­tion des Ser­vice Infor­ma­tiques (DSI). À mesure que la tech­ni­ci­té des DM aug­mente, englo­bant de nom­breuses com­po­santes infor­ma­tiques et com­mu­ni­cantes, les res­pon­sa­bi­li­tés des DSI et des ser­vices bio­mé­di­caux se che­vauchent. A titre d’exemple, l’expérience réus­sie au sein du Grou­pe­ments hos­pi­ta­liers de ter­ri­toires (GHT) Nord Saône et Loire Bresse Mor­van a abou­ti à une gou­ver­nance par­ta­gée entre la DSI et le bio­mé­di­cal [35]. Cette approche a per­mis une réor­ga­ni­sa­tion effi­cace des espaces, une cen­tra­li­sa­tion des accès, et la mise en place d'un socle infor­ma­tique solide. Sa confor­mi­té aux direc­tives du Ségur du numé­rique, a amé­lio­ré la ges­tion des acti­vi­tés en cas de dys­fonc­tion­ne­ment, ren­for­çant les liens avec la ville, et garan­tis­sant la dis­po­ni­bi­li­té des don­nées sur tout le ter­ri­toire. Au Centre Hos­pi­ta­lier d’Aix-en-Provence, la DSI a été char­gée d'englober le bio­mé­di­cal, mais des obs­tacles liés à l'autonomie et au sou­tien de la direc­tion ont ren­du le pro­jet com­plexe [35]. 

Ain­si, bien que le rap­pro­che­ment entre le bio­mé­di­cal et la DSI semble être une évo­lu­tion incon­tour­nable à long terme, sa réus­site dépen­dra d'une fusion sou­te­nue par les dif­fé­rents col­la­bo­ra­teurs, d'une culture par­ta­gée, d'une tra­jec­toire com­mune, et de l'engagement de la direc­tion géné­rale. L’intérêt d’une telle fusion n’est cepen­dant pas par­ta­gé et seul le temps mon­tre­ra le modèle le plus robuste, fusion ou non. 

I.5.3. Mesures juridiques

Les mesures juri­diques de la cyber­sé­cu­ri­té consistent en la mise en place des dis­po­si­tifs légaux et régle­men­taires pour pro­té­ger les Sys­tèmes d’Information (SI), pro­té­ger les don­nées médi­cales sen­sibles, garan­tir la conti­nui­té des soins, et pré­ve­nir les cybe­rat­taques. Cela implique le res­pect des règle­ments euro­péens sur les Dis­po­si­tifs Médi­caux (2017/745 et 2017/746) et la pro­tec­tion des Don­nées Per­son­nelles, ain­si que les lois fran­çaises telle que la direc­tive SG/DSSIS/2016/309. Ces dif­fé­rents règle­ments émettent des exi­gences sur la pro­tec­tion des don­nées et la défi­ni­tion des res­pon­sa­bi­li­tés en cas d’incidents.

I.5.3.a. Règlements Européens

• Règle­ment Géné­ral sur la Pro­tec­tion des Don­nées (RGPD) n°2016/679

Le but de ce règle­ment est d’informer les patients et les pro­fes­sion­nels de leurs droits en matière de ges­tion des don­nées à carac­tère per­son­nel et de garan­tir leur confi­den­tia­li­té. Dans ce cadre, il faut nom­mer un Délé­gué à la Pro­tec­tion des Don­nées (DPO). Le ser­vice bio­mé­di­cal assure donc les mis­sions d’identifier les DM pro­dui­sant des don­nées per­son­nelles, de com­prendre les risques liés au SI, aux flux de don­nées et à la nature des don­nées lors de l’achat. Il est éga­le­ment char­gé d’annexer le contrat RGPD au contrat de main­te­nance en impli­quant le DPO, s’assurer de la des­truc­tion des don­nées lors de l’élimination des DM et enfin signa­ler au DPO tout pro­blème de confi­den­tia­li­té consta­té en exploi­ta­tion des DM.

• Règle­ments euro­péens 2017/745 et 2017/746 rela­tifs aux dis­po­si­tifs médi­caux et dis­po­si­tifs médi­caux de diag­nos­tic in vitro

Ils imposent des exi­gences spé­ci­fiques en matière de sécu­ri­té et de per­for­mance pour les DM, et les articles 14.2.d, 17.4. et 6.1.b du règle­ment 2017/745 intro­duisent le concept de DM numé­rique. Ces mesures doivent être appli­quées dès la phase de concep­tion des DM et être inté­grées aux spé­ci­fi­ca­tions des pro­duits pour garan­tir leur uti­li­sa­tion sécu­ri­sée dans le domaine médical. 

Bien que ces nou­veaux règle­ments per­mettent de faire entrer cer­tains logi­ciels et SI dans le champ des DM et d’augmenter les exi­gences liées aux risques numé­riques et aux mises à jour, peu d’articles abordent spé­ci­fi­que­ment le lien entre DM et cybersécurité. 

Par­mi les articles qui abordent cette thé­ma­tique, on retrouve l'article 14.5 qui sti­pule que les dis­po­si­tifs des­ti­nés à être uti­li­sés avec d'autres dis­po­si­tifs ou pro­duits doivent être conçus et fabri­qués de manière à garan­tir une inter­opé­ra­bi­li­té et une com­pa­ti­bi­li­té fiables et sécu­ri­sées. Cepen­dant, aucune norme requise pour l'obtention du mar­quage CE, en vue de la mise sur le mar­ché de ces dis­po­si­tifs, ne traite spé­ci­fi­que­ment de l'interopérabilité.

Enfin, l'article 103 du règle­ment exige la créa­tion d'un groupe de coor­di­na­tion euro­péen des DM, qui a éla­bo­ré en 2019 un guide des­ti­né aux fabri­cants concer­nant la cyber­sé­cu­ri­té des DM. Il est impor­tant de noter que ce guide n'a cepen­dant pas de valeur légale contrai­gnante et ne ren­seigne pas l’ingénieur bio­mé­di­cal sur les exi­gences qu’il doit appliquer.

Il est éga­le­ment impor­tant d’évoquer la maté­rio­vi­gi­lance, régie par ces Règle­ments euro­péens. En effet, ce champ est cru­cial pour assu­rer la sécu­ri­té des pro­duits médi­caux sur le mar­ché. Ces règle­ments imposent aux fabri­cants la mise en place de sys­tèmes de maté­rio­vi­gi­lance, englo­bant la col­lecte, l'évaluation, et le signa­le­ment des inci­dents graves et des effets indé­si­rables. Tant pour les dis­po­si­tifs médi­caux que pour les dis­po­si­tifs médi­caux de diag­nos­tic in vitro, le signa­le­ment aux auto­ri­tés com­pé­tentes et aux orga­ni­sa­tions concer­nées en cas d'incident majeur est une obli­ga­tion essen­tielle. L'objectif prin­ci­pal est d'assurer une sur­veillance sys­té­ma­tique et effi­cace, ain­si que la prise de mesures cor­rec­tives appro­priées pour garan­tir la sécu­ri­té des patients et des utilisateurs.

• Direc­tive Net­work and Infor­ma­tion Sys­tem Secu­ri­ty (NIS)

Cette direc­tive, entrée en vigueur en 2023, vise à assu­rer un niveau de sécu­ri­té éle­vé com­mun aux réseaux et SI de l’Union euro­péenne et à mettre en place des actions face aux risques de cybe­rat­taques [36]. Les 4 enjeux sont les sui­vants : mettre en place une stra­té­gie natio­nale de sécu­ri­té numé­rique coor­don­née par l’ANSSI, de même que la coopé­ra­tion entre les États de l’Union Euro­péenne, ren­for­cer la cyber­sé­cu­ri­té des opé­ra­teurs de ser­vice essen­tiels (OSE) et ren­for­cer la cyber­sé­cu­ri­té des four­nis­seurs de ser­vice numérique.

• Recom­man­da­tions de l’Agence Natio­nale de Sécu­ri­té du Médi­ca­ment et des pro­duits de santé : 

Le guide Cyber­sé­cu­ri­té des DM inté­grant du logi­ciel au cours de leur cycle de vie indique que les fabri­cants doivent res­pec­ter le RGPD et réa­li­ser une ana­lyse des risques des DM liée à la cyber­sé­cu­ri­té. Il donne la manière dont les four­nis­seurs peuvent atteindre un niveau de risque accep­table mais pas com­ment les ingé­nieurs bio­mé­di­caux vont pou­voir juger l’acceptabilité du risque. 

I.5.3.b. Lois françaises

S’agissant de sécu­ri­té, en France, le res­pect de réfé­ren­tiels est une exi­gence entrée dans le Code de la San­té Publique. Le Code de la San­té Publique regroupe l'ensemble des dis­po­si­tions légis­la­tives et régle­men­taires qui encadrent le sys­tème de san­té en France. Il évo­lue au fil du temps pour s'adapter aux enjeux contem­po­rains, y com­pris ceux liés à la sécu­ri­té des sys­tèmes d'information dans le domaine de la san­té. Les éta­blis­se­ments de san­té sont tenus de se confor­mer à ces réfé­ren­tiels de sécu­ri­té, et des audits peuvent être réa­li­sés pour véri­fier la confor­mi­té de leurs pra­tiques. Les sanc­tions en cas de non-res­pect de ces obli­ga­tions peuvent inclure des amendes et d'autres mesures coer­ci­tives, sou­li­gnant l'importance de la sécu­ri­té des don­nées de san­té dans le contexte légal français.

Une des prin­ci­pales lois fran­çaises concer­nant la cyber­sé­cu­ri­té est la direc­tive SG/DSSIS/2016/309 du 14 octobre 2016 rela­tive à la mise en œuvre du plan d’action sur la sécu­ri­té des sys­tèmes d’information dans les éta­blis­se­ments de san­té.  Cette direc­tive concerne la mise en œuvre du Plan d'action sur la sécu­ri­té des sys­tèmes d'information (SSI) dans les éta­blis­se­ments de san­té. Ce plan vise à ren­for­cer la sécu­ri­té des sys­tèmes d'information au sein des dif­fé­rents ser­vices d’un éta­blis­se­ment. Les détails spé­ci­fiques de cette ins­truc­tion incluent des direc­tives sur les mesures de sécu­ri­té à mettre en place, les pro­to­coles à suivre et les res­pon­sa­bi­li­tés assi­gnées aux éta­blis­se­ments et ser­vices concer­nés. En résu­mé, l'instruction four­nit un cadre pour ren­for­cer la pro­tec­tion des sys­tèmes d'information dans le contexte des éta­blis­se­ments visés par cette réglementation.

Par consé­quent, en cas d’incidents, la mise en œuvre de pro­cé­dures légales, telles que des enquêtes ou des pour­suites judi­ciaires, contri­bue à dis­sua­der les atta­quants poten­tiels. Les sanc­tions pré­vues par la loi peuvent consti­tuer un élé­ment dis­sua­sif effi­cace pour les indi­vi­dus ou les orga­ni­sa­tions cher­chant à com­pro­mettre la sécu­ri­té des sys­tèmes et des éta­blis­se­ments. Il est cepen­dant néces­saire de rap­pe­ler que la mise en place de ces lois et de sanc­tions asso­ciées en cas de non-res­pect, ne repré­sente pas réel­le­ment un frein pour les cyber attaquants.

Le Gou­ver­ne­ment fran­çais se mobi­lise éga­le­ment pour ins­tau­rer des mesures visant à ren­for­cer la sécu­ri­té de l'espace numé­rique. À tra­vers le pro­jet de loi inti­tu­lé « Sécu­ri­ser et régu­ler l'espace numé­rique », l'objectif pre­mier est d'offrir une pro­tec­tion accrue aux citoyens fran­çais et aux entre­prises, en tenant compte des enjeux sociaux et éco­no­miques liés au numé­rique. Dans un contexte où la France aspire à jouer un rôle pré­pon­dé­rant dans la régu­la­tion digi­tale en Europe, le gou­ver­ne­ment ambi­tionne de créer un cadre pro­pice à la confiance dans l'environnement numé­rique. Ce pro­jet de loi vise à éta­blir un ordre public en ligne, inter­di­sant les acti­vi­tés qui ne sont pas auto­ri­sées dans la vie réelle pour garan­tir la cyber­sé­cu­ri­té des acti­vi­tés quo­ti­diennes des Fran­çais [37]. En ce qui concerne le volet lié au cloud, les dépu­tés ont inté­gré un nou­vel article 10 bis A, impo­sant à l'État et à ses opé­ra­teurs l'obligation de faire appel à des entre­prises euro­péennes pour l'hébergement des don­nées stra­té­giques et sen­sibles. Par ailleurs, des pré­ci­sions sup­plé­men­taires ont été appor­tées concer­nant les obli­ga­tions spé­ci­fiques des héber­geurs de don­nées de santé. 

I.5.3.c. Limites des mesures juridiques liant la cybersécurité et les dispositifs médicaux

Les enjeux régle­men­taires de la cyber­sé­cu­ri­té à l'hôpital sont donc cru­ciaux et visent à garan­tir la pro­tec­tion des don­nées médi­cales sen­sibles, la conti­nui­té́ des soins, et la pré­ven­tion des cybe­rat­taques. Il est donc impor­tant d’avoir une vision glo­bale des dif­fé­rents règle­ments, direc­tives et bonnes pra­tiques les plus per­ti­nentes et com­prendre les enjeux qui gra­vitent autour de la cyber­sé­cu­ri­té. Cet enjeu est d’autant plus impor­tant que le cor­pus régle­men­taire autour des DM et des SI demeure res­treint. En effet, contrai­re­ment aux risques phy­siques (élec­tro­nique, méca­nique, magné­tique, etc..), les risques et contraintes numé­riques sont peu abor­dés dans les règle­ments euro­péens 2017/745 et 2017/746 rela­tifs aux dis­po­si­tifs médi­caux [34]. Bien que ces nou­veaux règle­ments per­mettent de faire entrer cer­tains logi­ciels et SI dans le champ des DM et d’augmenter les exi­gences liées aux risques numé­riques et aux mises à jour, peu d’articles abordent spé­ci­fi­que­ment le lien entre DM et cybersécurité.

I.6. Apports des travaux de l’Association Française des Ingénieurs Biomédicaux en matière de Sécurité Numérique des équipements biomédicaux

L’ingénieur bio­mé­di­cal pos­sède plu­sieurs mis­sions en lien avec la cyber­sé­cu­ri­té mais qui ne sont pas tou­jours faciles à mettre en place sur le ter­rain. Comme expli­ci­té dans les sec­tions pré­cé­dentes, il existe des conseils don­nés par dif­fé­rentes enti­tés comme l’ANSSI ou l’ANS mais assez peu d’outils uti­li­sables direc­te­ment dans les mis­sions quo­ti­diennes des ser­vices biomédicaux. 

Dans le cadre de ce pro­jet, plu­sieurs docu­ments et guides abor­dant la cyber­sé­cu­ri­té dans le monde de la san­té ont été exa­mi­nés. 75% des docu­ments étaient des­ti­nés à l’ensemble des ser­vices de l’établissement de san­té, 15% concer­naient le sys­tème infor­ma­tique et 10% concer­naient le ser­vice bio­mé­di­cal. Une cer­taine hété­ro­gé­néi­té des publics cibles peut être consta­tée de même qu’un faible nombre de recom­man­da­tions spé­ci­fiques aux ser­vices bio­mé­di­caux, et assez peu d’outils uti­li­sables alors même que le ser­vice bio­mé­di­cal a un rôle pré­pon­dé­rant dans la pré­ven­tion des cyberattaques. 

L’AFIB a mené un groupe de tra­vail entre 2019 et 2020 visant à étu­dier l’impact de la régle­men­ta­tion euro­péenne en matière de DM sur les mis­sions de l’ingénieur bio­mé­di­cal dont la prise en compte de la sécu­ri­té numé­rique dans toutes les étapes du cycle de vie des équi­pe­ments bio­mé­di­caux. A l’issue des tra­vaux, une série de recom­man­da­tions sur la sécu­ri­té numé­rique des équi­pe­ments bio­mé­di­caux a été publiée par l’AFIB (Figure 15) [31].

Figure 15 : Tableau des 5 recommandations de l'AFIB pour une meilleure prise en compte des systèmes d'information associés aux équipements biomédicaux (Source : [31])

La pre­mière recom­man­da­tion concerne l’introduction de la sécu­ri­té numé­rique dans les pro­cé­dures d'acquisition. Le but est d’intégrer la sécu­ri­té numé­rique dès les étapes d'acquisition en uti­li­sant un ques­tion­naire stan­dar­di­sé qui aborde les aspects infor­ma­tiques et de sécu­ri­té numé­rique. L'objectif est d'augmenter les exi­gences impo­sées aux four­nis­seurs en géné­ra­li­sant ce ques­tion­naire à tous.

En ce qui concerne la col­la­bo­ra­tion au sein des éta­blis­se­ments, l’AFIB insiste sur la néces­si­té d’établir des recom­man­da­tions concer­nant la col­la­bo­ra­tion entre le ser­vice bio­mé­di­cal et le ser­vice infor­ma­tique. Les prin­ci­paux enjeux incluent la défi­ni­tion des res­pon­sa­bi­li­tés et des moda­li­tés de col­la­bo­ra­tion, ain­si que l'identification et la ges­tion des logiciels.

A pro­pos de la sécu­ri­té des équi­pe­ments, les ingé­nieurs bio­mé­di­caux ont pour mis­sion de sécu­ri­ser les accès et de véri­fier l’intégrité des DM. Il est éga­le­ment néces­saire d’élaborer une car­to­gra­phie détaillée et de par­ti­ci­per à une plus grande sen­si­bi­li­sa­tion des uti­li­sa­teurs aux risques cybers des DM. 

Dans la qua­trième recom­man­da­tion, il est men­tion de la défi­ni­tion de la cri­ti­ci­té des équi­pe­ments médi­caux et donc la réa­li­sa­tion d’une car­to­gra­phie des risques asso­ciée à des plans d’actions adap­tés à ces risques.

Enfin, pour la réponse rapide en cas de cybe­rat­taque, il s’agit de four­nir des recom­man­da­tions visant à per­mettre une réac­tion rapide en cas de cybe­rat­taque. Cette recom­man­da­tion s'appuie sur les direc­tives émises par le minis­tère de la San­té en réponse à un Mes­sage d'Alerte Rapide Sani­taire (MARS).

Ain­si 80% des recom­man­da­tions émises par l’AFIB concernent la pré­ven­tion des cybe­rat­taques dont la démarche est géné­ra­li­sable entre les dif­fé­rents éta­blis­se­ments (Figure 16) et ce pour plu­sieurs rai­sons. Tout d’abord, au niveau des recom­man­da­tions de l’AFIB, la pré­ven­tion représente.

Figure 16 : Schéma des recommandations de l'AFIB concernant la prévention pour une meilleure prise en compte des systèmes d'information associés aux équipements biomédicaux (Source : Auteurs)

Mais des outils concrets faci­li­tant leur mise en appli­ca­tion res­tent à conce­voir. La pro­blé­ma­tique adres­sée par le pré­sent mémoire est donc la suivante : 

Com­ment outiller les ingé­nieurs bio­mé­di­caux pour mettre en place et amé­lio­rer la pré­ven­tion des cybe­rat­taques au sein des éta­blis­se­ments de san­té fran­çais en se basant sur les recom­man­da­tions de l’AFIB et sur des retours d’expériences ?

II. Création d’outils à partir des recommandations de l’Association Française des Ingénieurs Biomédicaux

II.1. État des lieux des pratiques biomédicales concernant les risques cyber

Deux ques­tion­naires ont donc été réa­li­sés. Le pre­mier ques­tion­naire était construit en trois par­ties dis­tinctes. La pre­mière par­tie, qui est celle d’intérêt dans cette sec­tion, se concen­trait sur les pra­tiques glo­bales des éta­blis­se­ments de san­té en matière de cyber­sé­cu­ri­té (Figure 17) et seront détaillées dans cette section.

Figure 17 : Tableau récapitulatif de la nature et du type de données recueillies dans le premier questionnaire concernant les pratiques globales des établissements de santé en matière de cybersécurité (Source : Auteurs)

La répar­ti­tion des 75 per­son­nels sol­li­ci­tés, tous for­més dans le domaine bio­mé­di­cal, est indi­quée en figure 18 selon leur struc­ture d’exercice.

Figure 18 : Répartition des personnes contactées par structure d’appartenance (Source : Auteurs)

Par­mi les 75 sol­li­ci­ta­tions envoyées, 6 réponses ont été obte­nues à nos ques­tion­naires après deux relances. La moi­tié des répon­dants sont des ingé­nieurs bio­mé­di­caux et l’autre moi­tié des res­pon­sables d’atelier biomédical/techniciens tra­vaillant majo­ri­tai­re­ment dans des CHU (Centres Hos­pi­ta­liers Uni­ver­si­taires). Le faible nombre de réponses peut s’expliquer par la courte durée du pro­jet ain­si que par le manque de temps des ingé­nieurs bio­mé­di­caux pour répondre à ce type de sol­li­ci­ta­tions comme expli­qué dans la par­tie limi­ta­tion de ce mémoire.

En plus des réponses au ques­tion­naire, 8 entre­tiens ont été menés à la fois pour obte­nir des avis sur les outils réa­li­sés mais éga­le­ment pour avoir une idée des mis­sions et du quo­ti­dien des ser­vices bio­mé­di­caux en rap­port avec la cyber­sé­cu­ri­té. La majo­ri­té des per­sonnes inter­ro­gées sont des ingé­nieurs bio­mé­di­caux (Figure 19) et tra­vaillent dans des Centres Hos­pi­ta­liers Uni­ver­si­taires (CHU)

Figure 19 : Répartition des personnes interrogées par fonction (Source : Auteurs)

Les entre­tiens menés per­mettent de croi­ser les visions com­plé­men­taires de dif­fé­rents types d’acteurs selon leur fonc­tion et la taille de leur éta­blis­se­ment d’appartenance. A la ques­tion, “vous sen­tez-vous prêt à faire face à une cybe­rat­taque ?”, les réponses sont assez conver­gentes. 50% des répon­dants ne se sentent pas vrai­ment prêts, 16,7% pas du tout prêts et 33,3% des répon­dants ont répon­du qu’ils se sentent par­tiel­le­ment prêts (Figure 20). Ce sen­ti­ment de manque de pré­pa­ra­tion face aux risques de cybe­rat­taques res­sort éga­le­ment dans les entretiens.

Figure 20 : Réponses à la question : Vous sentez-vous prêts à faire face à une cyberattaque (Source : Auteurs)

La par­tie géné­rale du ques­tion­naire s’est ensuite concen­trée sur les prin­ci­paux outils et méthodes uti­li­sés par les ser­vices bio­mé­di­caux pour pré­ve­nir les cybe­rat­taques. Les prin­ci­pales pra­tiques qui ont été remon­tées, clas­sées par fré­quence de retour, sont les suivantes : 

• Recen­se­ment de tous les DM géné­rant de la don­née sur le réseau et regrou­pe­ment de ces DM sur un même Vir­tual Local Area Net­work (VLAN) pour les iso­ler du réseau en cas d’attaque ou de cou­pure réseau.
• Tra­vail en étroite col­la­bo­ra­tion avec le ser­vice infor­ma­tique et grande confiance dans le tra­vail du ser­vice infor­ma­tique qui par­ti­cipe sou­vent aux com­mis­sions d’achats des DM pour anti­ci­per les moda­li­tés de connexion au réseau de l’hôpital
• Mises à jour des OS
• Uti­li­sa­tion d’antivirus et de bas­tion de sécurité.

Dans 66,7% des cas, ces outils étaient consi­dé­rés comme effi­caces. En effet, la plu­part des ser­vices s’appuient sur des VLAN iso­lés et donc sécu­ri­sés. Si ce switch est décon­nec­té du réseau, les DM seront auto­nomes pour ceux qui le peuvent comme les cen­trales de sur­veillance et de moni­to­rage. La confiance por­tée au ser­vice infor­ma­tique, qui a une part impor­tante dans la sécu­ri­té des DM, contri­bue éga­le­ment à cette majo­ri­té des avis. 

Il est à noter que les per­sonnes ayant répon­du que leurs outils sont suf­fi­sants sont des pro­fes­sion­nels du ser­vice bio­mé­di­cal qui délèguent une grande par­tie de la ges­tion de la cyber­sé­cu­ri­té à la DSI. Cer­tains entre­tiens mettent en évi­dence l’hétérogénéité des com­pé­tences infor­ma­tiques dans les ser­vices bio­mé­di­caux en fonc­tion des éta­blis­se­ments. Cer­tains ser­vices bio­mé­di­caux ayant des com­pé­tences suf­fi­santes par­ti­cipent aux mis­sions de cyber­sé­cu­ri­té alors que d’autres délèguent cette par­tie à la DSI.  

Mais les craintes des  per­son­nels bio­mé­di­caux per­sistent. Il a par exemple été men­tion­né que tous les éta­blis­se­ments hos­pi­ta­liers de France et d’ailleurs sont atta­qués tous les jours. Un inter­lo­cu­teur a même cité un dys­fonc­tion­ne­ment total de leur super­vi­sion sur leur ser­vice de sté­ri­li­sa­tion peu de temps avant le rem­plis­sage du ques­tion­naire. Près de 67% des répon­dants estiment que leurs outils ne sont pas suf­fi­sants pour pré­ve­nir les cybe­rat­taques : Un anti-virus ne peut pas tout blo­quer, cer­tains répon­dants signalent le peu de mise à jour des logi­ciels et des Sys­tèmes d’Exploitation (OS) ain­si qu’un manque de sen­si­bi­li­sa­tion de tous les pro­fes­sion­nels de san­té aux risques liés aux DM spé­ci­fi­que­ment.

Un autre constat est que l’utilisation des VLAN est de plus en plus com­plexe du fait de l'interconnexion des DM avec d’autres logi­ciels et notam­ment du fait des flux de don­nées vers le Dos­sier Patient Infor­ma­ti­sé (DPI). Pou­voir iso­ler l’environnement infor­ma­tique du ser­vice de soins est une solu­tion seule­ment si celui-ci n’a pas l’utilité de com­mu­ni­quer avec l'extérieur.

Le ser­vice bio­mé­di­cal gagne­rait à mon­ter en com­pé­tences en infor­ma­tique géné­rale et le ser­vice infor­ma­tique en ges­tion des risques cyber intrin­sèques aux DM. Il s’agit effec­ti­ve­ment d’une pro­blé­ma­tique majeure au vu des réponses qui font part de cybe­rat­taques récentes et au fait que 83% des par­ti­ci­pants disent réa­li­ser des réunions au sein de leur ser­vice à pro­pos des pro­blé­ma­tiques de cybersécurité.

Les échanges avec les pro­fes­sion­nels de san­té font émer­ger le manque de solu­tions concrètes et de sup­ports liés aux risques cyber à des­ti­na­tion des ingé­nieurs bio­mé­di­caux qui croulent sous le tra­vail. Les pro­blèmes majeurs semblent être la dif­fi­cul­té de la col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et infor­ma­tique lors de l’achat d’un dis­po­si­tif médi­cal ain­si que le manque de pro­cé­dures dégra­dées du fait d’un manque d’analyse des risques des dis­po­si­tifs médi­caux. Les recom­man­da­tions pro­po­sées par l’AFIB cor­res­pondent aux attentes ter­rains dans leur for­mu­la­tion mais les solu­tions pro­po­sées ne sont pas sous la forme d’outils exploi­tables. Dans le cadre de ce pro­jet, il a donc été déci­dé que des outils concrets et adap­tés aux besoins des ingé­nieurs bio­mé­di­caux devraient être pro­po­sés. Dans cha­cune des sous-par­ties les attentes des répon­dants seront détaillées.

II.2. Introduire la sécurité numérique dans les procédures d’achats

Les pro­cé­dures d’achats sont cen­trales dans les mis­sions de l’ingénieur bio­mé­di­cal mais aucun réfé­ren­tiel n’est adop­té par tous les éta­blis­se­ments de san­té comme en témoignent les dif­fé­rents entre­tiens. Face à ce manque d’harmonisation, la cyber­sé­cu­ri­té n’est pas plus que ça prise en compte dans le pro­ces­sus d’achat par l’ingénieur bio­mé­di­cal ce qui com­plique éga­le­ment la tâche pour les four­nis­seurs de DM qui ne com­prennent pas néces­sai­re­ment les attentes des éta­blis­se­ments de san­té en termes de cyber­sé­cu­ri­té. Il s’agit donc de four­nir un outil simple d’utilisation regrou­pant les dif­fé­rentes ques­tions en lien avec la sécu­ri­té numé­rique vali­dées par des experts en cyber­sé­cu­ri­té. Il y a de nom­breuses attentes pour que cet outil soit uti­li­sable à la fois par les four­nis­seurs, les ser­vices bio­mé­di­cal et informatique.

Dans ce sens, l’AFIB a pro­po­sé un ques­tion­naire stan­dar­di­sé por­tant sur les ques­tions d’informatique et de sécu­ri­té numé­rique des DM et qui a pour objec­tif de mieux prendre en compte la cyber­sé­cu­ri­té dans les choix d’achats. Les objec­tifs visés par l’AFIB sont de géné­ra­li­ser un même ques­tion­naire afin de sen­si­bi­li­ser tous les acteurs à la sécu­ri­té infor­ma­tique et faci­li­ter le tra­vail lors des pro­cé­dures d’achats. Ce ques­tion­naire stan­dar­di­sé vise à aider les pro­fes­sion­nels de san­té dans la ges­tion du risque cyber tout au long du cycle d’achat des équi­pe­ments bio­mé­di­caux (Figure 21).

Figure 21 : Schématisation de l'utilisation du questionnaire standardisé de l'AFIB dans le cycle d'achat des équipements biomédicaux (Source : Auteurs)

Il est cepen­dant impor­tant de prendre en compte que l’utilisation de ce ques­tion­naire implique une col­la­bo­ra­tion étroite entre le ser­vice bio­mé­di­cal, le ser­vice infor­ma­tique (RSSI notam­ment) et les uti­li­sa­teurs pour défi­nir les besoins. En effet, d’après l’AFIB : “cer­taines contraintes doivent être prises en compte en amont de l’achat de tout dis­po­si­tif médi­cal pour pré­ve­nir le manque de sécu­ri­té infor­ma­tique”[31]. Les contraintes majeures sont donc les suivantes : 

• Choi­sir entre les ordi­na­teurs et les ser­veurs four­nis par les four­nis­seurs ou ceux gérés par le ser­vice informatique.
• Indi­quer com­ment les don­nées doivent cir­cu­ler entre l'équipement et d'autres logi­ciels de l'établissement.
• Défi­nir les règles internes pour l'accès aux ordi­na­teurs lors de la main­te­nance à distance.
• Éta­blir les règles de l'établissement pour gérer les accès de tous les utilisateurs

La prise en compte des réponses au ques­tion­naire infor­ma­tique doit influen­cer l'évaluation, la sélec­tion de l'équipement et son ins­tal­la­tion, mais elle n'est pas un cri­tère de blo­cage. Il est recom­man­dé d'inclure le ser­vice infor­ma­tique dans le pro­ces­sus d'analyse pour éva­luer la fai­sa­bi­li­té. Cela leur per­met de pla­ni­fier en amont les res­sources tech­niques et finan­cières néces­saires à l'installation.

Ce ques­tion­naire per­met donc de prendre en compte les enjeux cybers dès l’achat et de faci­li­ter la col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et infor­ma­tique pour leur faire gagner du temps à tra­vers une com­mu­ni­ca­tion faci­li­tée par le biais de ques­tions pré­cises. Cepen­dant, les pre­miers retours ter­rains pour ce pro­jet ont mis en lumière que ce ques­tion­naire n’est pas tou­jours connu et qu’il est dif­fi­cile d’évoluer dans les cen­taines de ques­tions qu’il com­prend. Un outil inter­ac­tif pour navi­guer entre les dif­fé­rentes ques­tions a été éla­bo­ré. Des logi­grammes ont été réa­li­sés pour aider l’homme du métier à pro­duire un ques­tion­naire spé­ci­fi­que­ment des­ti­né aux four­nis­seurs (Figure 22). 

Figure 22 : Comparaison entre les présentations du questionnaire : en haut extraction d'une partie d'une page du questionnaire de la publication de l'AFIB, en bas extraction d'un des logigrammes réalisés pour ce projet (Source : Auteurs)

Le logi­gramme reprend l'enchaînement de toutes les ques­tions du ques­tion­naire AFIB regrou­pées en quatre par­ties, cha­cune ciblant une carac­té­ris­tique par­ti­cu­lière du dispositif : 

• Sa des­crip­tion générale ;
• La des­crip­tion du ou des serveur(s) et une des­crip­tion géné­rique du ou des logiciel(s) ;
• La des­crip­tion du ou des logiciel(s) et leur inté­gra­tion dans la struc­ture de l’établissement ;
• La des­crip­tion de la main­te­nance et de la sécu­ri­té du ou des logiciel(s).

Pour cha­cune d’entre elles, une cou­leur a été assi­gnée pour faci­li­ter le repé­rage dans la car­to­gra­phie inter­ac­tive (Figure 23).

Figure 23 : Les quatre parties de notre questionnaire

Le logi­gramme affiche les ques­tions sous forme de blocs. En cli­quant sur ces blocs, l’utilisateur peut aller direc­te­ment aux ques­tions concer­nées par l’intitulé du bloc, ce qui faci­lite la lec­ture du ques­tion­naire ain­si que la navi­ga­tion entre les dif­fé­rentes ques­tions. Pour chaque bloc, les ques­tions sont lis­tées et un logo indique le type de réponse atten­du. Des infor­ma­tions com­plé­men­taires pour gui­der le rem­plis­sage et sen­si­bi­li­ser les équipes aux risques cyber sont éga­le­ment don­nées dans les enca­drés avec le logo infor­ma­tion (Figure 24).

Figure 24 : Présentation d'une partie du logigramme et de la page de question associée à l'interlocuteur chargé du projet d'installation (Source : Auteurs)

II.3. Définir la collaboration dans les établissements de santé

Les retours ter­rains ont mon­tré que le manque de col­la­bo­ra­tion entre les ser­vices bio­mé­di­cal et infor­ma­tique freine le déploie­ment de mesures de pré­ven­tion des cybe­rat­taques. La dif­fi­cul­té de col­la­bo­ra­tion s’explique par la répar­ti­tion des com­pé­tences inégale au niveau des logi­ciels et des postes de tra­vail, le nombre impor­tant d’interlocuteurs concer­nés et l’éventail des diverses exper­tises requises. En outre, les per­son­nels des ser­vices infor­ma­tique et bio­mé­di­caux ont leurs propres mis­sions, bud­gets et contraintes fai­sant que­la col­la­bo­ra­tion est sou­vent per­çue comme une sur­charge de tra­vail des deux côtés. 

A l’heure où les DM sont de plus en plus connec­tés, les com­pé­tences infor­ma­tiques sont deve­nues obli­ga­toires dans le monde bio­mé­di­cal. Les per­son­nels de tous les éta­blis­se­ments ne sont pas encore par­fai­te­ment for­més aux pro­blé­ma­tiques de réseau et de cyber­sé­cu­ri­té en géné­ral. C’est pour cela que la col­la­bo­ra­tion, sou­hai­table et sou­hai­tée par les per­sonnes inter­ro­gées, est cru­ciale dans les éta­blis­se­ments de san­té et néces­site d’être accompagnée.

Ain­si, la deuxième recom­man­da­tion de l’AFIB pro­pose un fonc­tion­ne­ment et un par­tage des com­pé­tences et des acti­vi­tés entre per­son­nels bio­mé­di­caux et infor­ma­ti­ciens basés sur les retours d’expérience de dif­fé­rents éta­blis­se­ments. Il s'agit de grandes lignes de conduite favo­ri­sant l’instauration du dia­logue à adap­ter au fonc­tion­ne­ment de chaque établissement. 

En outre, l’AFIB pré­co­nise la pré­pa­ra­tion anti­ci­pée d'une stra­té­gie de sécu­ri­té numé­rique spé­ci­fique pour les équi­pe­ments bio­mé­di­caux, éla­bo­rée en col­la­bo­ra­tion avec le RSSI et le ser­vice bio­mé­di­cal [28]. La pre­mière démarche consiste ain­si à éta­blir un accord de ser­vice entre les ser­vices infor­ma­tique et bio­mé­di­cal, afin de for­ma­li­ser les attentes mutuelles. Cet accord per­met­tra de défi­nir clai­re­ment les attentes et les objec­tifs de cha­cun des ser­vices impli­qués. L’AFIB pro­pose trois axes majeurs de tra­vail pour éta­blir cet accord de service :

• Défi­nir le péri­mètre : Il est essen­tiel dans un pre­mier temps de déter­mi­ner de manière expli­cite, par­mi les logi­ciels et les postes infor­ma­tiques, ceux rele­vant de la com­pé­tence et de la res­pon­sa­bi­li­té du ser­vice bio­mé­di­cal. Cette éva­lua­tion mérite une révi­sion annuelle pour exa­mi­ner ce qui a bien fonc­tion­né et ce qui n'a pas fonc­tion­né, per­met­tant ain­si d'ajuster les res­pon­sa­bi­li­tés en conséquence.
• Défi­nir les moda­li­tés de la col­la­bo­ra­tion : Il s’agit de répar­tir clai­re­ment les tâches entre le ser­vice bio­mé­di­cal et le ser­vice infor­ma­tique afin de ne pas perdre de temps et de mieux anti­ci­per les risques de sécu­ri­té numérique.
• Iden­ti­fier et suivre les logi­ciels : Chaque appli­ca­tion doit faire l’objet d’une fiche d’identification de l’application. Cette fiche doit être conser­vée par le ser­vice concer­né afin de gérer l’obsolescence des sys­tèmes d’exploitation et de mieux répar­tir le sui­vi et les actions entre ser­vices bio­mé­di­cal et informatique.

Les retours ter­rains indiquent que les per­son­nels des ser­vices bio­mé­di­caux ne peuvent pas inves­tir le temps néces­saire à la lec­ture de l’intégralité des recom­man­da­tions de l’AFIB. Une affiche syn­thé­tique en deux pages qui rap­pelle d’abord pour­quoi la col­la­bo­ra­tion est cru­ciale puis com­ment pro­cé­der a donc été pro­po­sée. Ce for­mat affi­chette, dont le conte­nu concerne à la fois le ser­vice bio­mé­di­cal et infor­ma­tique et liste des solu­tions concrètes com­bi­nant les deux points de vue,est plus facile d’accès et s’affiche aisé­ment pour aider les pro­fes­sion­nels au quotidien.

La pre­mière page de l’affiche repose le contexte de la cyber­sé­cu­ri­té dans les hôpi­taux, et s’axe plus par­ti­cu­liè­re­ment sur les DM. A l’aide des recom­man­da­tions de l’AFIB et des retours ter­rain, les dif­fé­rents risques cyber majeurs liés aux DM ont été recen­sés. En effet, les risques géné­raux liés à la bureau­tique sont sou­vent défi­nis dans les docu­ments mais ceux spé­ci­fiques aux DM ne sont pas ceux les plus mis en avant. En paral­lèle, le recen­se­ment des mau­vaises pra­tiques, qui consti­tuent des risques majeurs pour les cybe­rat­taques, a été effec­tué. En plus de l’exposition des risques et des mau­vaises pra­tiques, un sché­ma glo­bal d’une cybe­rat­taque typique a été réa­li­sé à par­tir de don­nées biblio­gra­phiques et de retours ter­rain. Le but recher­ché n’était pas seule­ment de for­ma­li­ser une attaque typique mais éga­le­ment de mon­trer avec un exemple concret les mau­vaises pra­tiques et erreurs fré­quentes et des pro­po­si­tions d’actions à mettre en place pour évi­ter que la cybe­rat­taque atteigne sa cible. L’objectif de cette affiche est donc de mon­trer que les ser­vices bio­mé­di­caux et infor­ma­tiques, en col­la­bo­rant, peuvent per­mettre de réduire les risques cyber et donc de moti­ver les par­ties pre­nantes à réa­li­ser l’accord de service.

La deuxième page de l’affiche se concentre sur les trois axes de tra­vail majeurs pour une col­la­bo­ra­tion entre ser­vices infor­ma­tique et bio­mé­di­cal défi­nis par l’AFIB plus haut. Il s’agit d’expliciter de façon syn­thé­tique l’essentiel de la démarche pour don­ner des pistes d’actions et de répar­ti­tion des tâches entre les ser­vices. L’objectif est donc de ser­vir à la fois de mémo mais éga­le­ment de cata­ly­seur à une meilleure répar­ti­tion des tâches en don­nant à la fois des exemples concrets et des actions adap­tées au milieu hospitalier.

II.4. Assurer la sécurité autour des équipements biomédicaux

La troi­sième recom­man­da­tion de l’AFIB concerne la sécu­ri­té des équi­pe­ments bio­mé­di­caux. Ain­si, dans ses recom­man­da­tions, l’AFIB pro­pose 4 axes de tra­vail [31] : 

• L’ingénieur bio­mé­di­cal est le garant de la sécu­ri­té des équi­pe­ments bio­mé­di­caux : L’ingénieur est en effet res­pon­sable de la défi­ni­tion des règles de sécu­ri­té spé­ci­fiques aux équi­pe­ments bio­mé­di­caux, la confor­mi­té au mar­quage CE, le main­tien de la conti­nui­té des soins, le signa­le­ment des inci­dents et la réa­li­sa­tion d’audits de sécu­ri­té en col­la­bo­ra­tion avec le RSSI.
• Seules les per­sonnes auto­ri­sées peuvent uti­li­ser un équi­pe­ment bio­mé­di­cal : L’ingénieur bio­mé­di­cal gère les droits d’accès, la sécu­ri­sa­tion des codes d’accès et le contrôle des accès phy­siques aux locaux.
• L’intégrité des équi­pe­ments bio­mé­di­caux doit être res­pec­tée : L’ingénieur bio­mé­di­cal se doit de gérer le sui­vi des acces­soires et élé­ments ins­tal­lés, la docu­men­ta­tion des chan­ge­ments et la pro­tec­tion des don­nées sen­sibles liées à l’installation.
• Les connexions et trans­ferts de don­nées doivent être sécu­ri­sées : Par­mi ses mis­sions, l’ingénieur bio­mé­di­cal gère le blo­cage des ports d’entrées non uti­li­sés, la res­tric­tion des sup­ports mobiles USB, la docu­men­ta­tion des inter­faces de com­mu­ni­ca­tion, et la seg­men­ta­tion des réseaux d’équipements.

L’ingénieur bio­mé­di­cal a donc de mul­tiples mis­sions, ce qui implique un rôle de sen­si­bi­li­sa­tion des uti­li­sa­teurs pour garan­tir la sécu­ri­té des DM à l’échelle de tout l’établissement de san­té. Cepen­dant, d’après les retours ter­rains, le ser­vice bio­mé­di­cal n’est pas très pré­sent dans la réa­li­sa­tion de cette tâche étant don­né que d’autres mis­sions appa­raissent comme plus prio­ri­taires et c’est bien sou­vent le ser­vice infor­ma­tique qui s’occupe de la pré­ven­tion auprès des uti­li­sa­teurs. Cela semble notam­ment lié à un manque de temps pour cher­cher et pré­pa­rer des res­sources concer­nant spé­ci­fi­que­ment les risques cyber liés aux DM. Il y a en effet de nom­breuses res­sources concer­nant les dan­gers des mails étant don­né que c’est la pre­mière cause d’intrusion [38]. Or, le phi­shing ne concerne pas direc­te­ment les DM mais plu­tôt toutes les suites bureau­tiques qui sont sous la res­pon­sa­bi­li­té du ser­vice infor­ma­tique. cyber

Les péri­phé­riques USB sont sou­vent direc­te­ment connec­tés aux DM pour des mises à jour, des trans­ferts de don­nées ou d'autres opé­ra­tions [39]. Une infec­tion par un mal­ware pro­ve­nant d'un péri­phé­rique USB peut direc­te­ment com­pro­mettre la sécu­ri­té du DM et des infor­ma­tions médi­cales. Ensuite, dans les éta­blis­se­ments de san­té, les péri­phé­riques USB sont sou­vent uti­li­sés fré­quem­ment, et il peut être dif­fi­cile de contrô­ler leur uti­li­sa­tion. Par consé­quent, il existe une pro­ba­bi­li­té plus éle­vée que des logi­ciels mal­veillants soient intro­duits par des péri­phé­riques USB infec­tés. Les péri­phé­riques USB sont de plus en plus blo­qués dans les hôpi­taux mais ce n’est pas le cas par­tout. Les retours ter­rains de quelques soi­gnants ont mon­tré que de nom­breux pra­ti­ciens uti­lisent tout de même des péri­phé­riques USB et qu’ils ne sont pas aus­si sen­si­bi­li­sés aux risques des clés USB com­pa­rés aux mails. Il est pos­sible d’émettre l’hypothèse que les poli­tiques de sécu­ri­té peuvent être plus dif­fi­ciles à appli­quer sur les péri­phé­riques USB et que moins d’outils de sen­si­bi­li­sa­tion ont été réa­li­sés que pour les risques liés aux mails. Les employés pour­raient être moins conscients des risques asso­ciés à leur uti­li­sa­tion, aug­men­tant les chances d'introduire des logi­ciels malveillants.

Une vidéo de moins de 4 minutes a donc été réa­li­sée se concen­trant spé­ci­fi­que­ment sur la pro­blé­ma­tique des DM dans l’objectif de four­nir un outil rapide aux ingé­nieurs bio­mé­di­caux à dif­fu­ser à tous les pro­fes­sion­nels de san­té. La vidéo se veut la plus simple et ergo­no­mique pos­sible avec de nom­breuses images, des expli­ca­tions assez brèves et des exemples spé­ci­fiques au milieu hos­pi­ta­lier. Les infor­ma­tions uti­li­sées pro­viennent prin­ci­pa­le­ment de docu­ments pro­duits par l’Etat, des retours ter­rains et d’expériences pro­fes­sion­nelles en tant que sta­giaires [40]. Le ser­vice bio­mé­di­cal est invi­té à com­plé­ter cette vidéo d’explications plus détaillées concer­nant leur struc­ture de san­té pour maxi­mi­ser les mes­sages de prévention.

II.5. Définir la criticité des équipements biomédicaux

La qua­trième recom­man­da­tion de l’AFIB concerne la défi­ni­tion de la cri­ti­ci­té des équi­pe­ments bio­mé­di­caux. Afin de défi­nir cette cri­ti­ci­té et d’identifier des actions à mettre en place pour les réduire, l’AFIB rap­pelle qu’il est néces­saire d'évaluer la vul­né­ra­bi­li­té des DM indi­vi­duel­le­ment en uti­li­sant une ou plu­sieurs échelle(s) de nota­tion. Ain­si l’association recom­mande de com­bi­ner une échelle de cri­ti­ci­té et une échelle de vul­né­ra­bi­li­té pour déter­mi­ner avec le plus de pré­ci­sion pos­sible la gra­vi­té du risque asso­cié à l’équipement bio­mé­di­cal [28].

La cri­ti­ci­té est défi­nie selon la norme ISO 60812 comme “la com­bi­nai­son de la sévé­ri­té d’un effet et de la fré­quence de son appa­ri­tion, ou d’autres attri­buts d’une défaillance comme une mesure de la néces­si­té d’un trai­te­ment ou d’une atté­nua­tion” [32].

La vul­né­ra­bi­li­té d’un réseau ou d’un sys­tème d’information est défi­ni par l’ANSSI comme : “une faute, par mal­veillance ou mal­adresse, dans les spé­ci­fi­ca­tions, la concep­tion, la réa­li­sa­tion, l’installation ou la confi­gu­ra­tion d’un sys­tème, ou dans la façon de l’utiliser” [33].

Les ingé­nieurs bio­mé­di­caux ne réa­lisent pas de cota­tion nor­mée des risques de chaque équi­pe­ment bio­mé­di­cal. Ils réa­lisent la plu­part du temps des ana­lyses pour inté­grer les DM en limi­tant les risques cyber et l’introduction de nou­velles menaces dans le réseau. Mais ces ana­lyses des risques sont res­treintes dans la mesure où elles n’ont lieu uni­que­ment lors de l’installation d’un nou­veau DM dont le cycle de vie n’est pas tou­jours pris en compte. Les ingé­nieurs bio­mé­di­caux manquent donc d’un outil syn­thé­tique qui pro­pose une cota­tion nor­mée des risques avec des cri­tères d’évaluation spé­ci­fiques aux risques cyber pertinents

Pour ce faire deux échelles de nota­tions ont été retenues : 

• Concer­nant la cri­ti­ci­té des équi­pe­ments médi­caux, le choix s’est por­té sur la Méthode d’Analyse de la Cri­ti­ci­té des DM en Exploi­ta­tion (MACE) [41]. La méthode MACE est consi­dé­rée comme l'une des plus per­ti­nentes pour défi­nir la cri­ti­ci­té des équi­pe­ments bio­mé­di­caux pour plu­sieurs rai­sons. Tout d’abord, cette méthode est spé­cia­le­ment conçue pour les DM et donc prend en compte les carac­té­ris­tiques uniques de ces équi­pe­ments, y com­pris leur impact sur la sécu­ri­té des patients et la qua­li­té des soins de san­té. De plus, la méthode MACE éva­lue la cri­ti­ci­té en pre­nant en consi­dé­ra­tion divers aspects, tels que la sécu­ri­té des patients, l'impact sur les soins, la dis­po­ni­bi­li­té de l'équipement, l’usage fait de l’équipement et la main­te­nance notam­ment. Enfin, les cri­tères étant orien­tés spé­ci­fi­que­ment sur les DM, la méthode MACE aide les éta­blis­se­ments de san­té à hié­rar­chi­ser leurs efforts en matière de main­te­nance, de ges­tion des risques et d'investissements en équipements.

• En ce qui concerne la vul­né­ra­bi­li­té, le choix s’est por­té sur les 10 cri­tères de vul­né­ra­bi­li­tés numé­riques des équi­pe­ments bio­mé­di­caux du groupe de tra­vail de l’AFIB 2019-2020 [31]. En effet, l’échelle de cota­tion per­met de poin­ter les carac­té­ris­tiques liées au sys­tème infor­ma­tique des DM qui consti­tuent une porte d’entrée per­met­tant l’accès aux don­nées per­son­nelles du patient, la modi­fi­ca­tion de ces don­nées, inter­fé­rer sur le fonc­tion­ne­ment du dis­po­si­tif médi­cal et/ou de consti­tuer un point d’entrée vers d’autres équi­pe­ments. Cette notion de vul­né­ra­bi­li­té est assez peu abor­dée dans la lit­té­ra­ture et lorsque c’est le cas, les ques­tion­naires ne portent pas spé­ci­fi­que­ment sur la thé­ma­tique du numé­rique. Ce ques­tion­naire est donc par­ti­cu­liè­re­ment per­ti­nent pour cet outil d’analyse des risques.

L’outil vise donc à réa­li­ser une car­to­gra­phie des risques en com­bi­nant les méthodes MACE et les 10 points de vul­né­ra­bi­li­té afin de déter­mi­ner un score qui per­met­tra de se pla­cer dans une matrice plus globale.

Ces trois matrices sont inté­grées dans une car­to­gra­phie inter­ac­tive. En effet, le but n'est pas seule­ment de four­nir les ques­tions et un score de risque mais éga­le­ment d'expliquer l’intérêt de cha­cune des ques­tions et de four­nir quelques infor­ma­tions com­plé­men­taires afin d'aider au rem­plis­sage. Enfin, une fois le risque déter­mi­né, pour cha­cun des 3 niveaux défi­nis (accep­table, modé­ré, fort), plu­sieurs solu­tions sont pro­po­sées aux uti­li­sa­teurs. Ces solu­tions sont répar­ties en 9 catégories : 

• Réfé­ren­cez-vous suf­fi­sam­ment votre parc informatique ?
• Effec­tuez-vous des sau­ve­gardes régulièrement ?
• Appli­quez-vous régu­liè­re­ment des mises à jour ?
• Uti­li­sez-vous des dis­po­si­tifs infor­ma­tiques afin de sécu­ri­ser vos données ?
• Avez-vous implé­men­té une poli­tique d’usage des mots de passe robustes ?
• Avez-vous une uti­li­sa­tion sûre des outils numériques
• Maî­tri­sez-vous le risque numé­rique lié au noma­disme des professionnels ?
• Gérez-vous cor­rec­te­ment les rela­tions avec vos col­la­bo­ra­teurs et tiers-personnes ?
• Quelles actions met­tez-vous en place pour réagir en cas de cyberattaques ?

Ces ques­tions ont été ins­pi­rées par le docu­ment La cyber­sé­cu­ri­té pour le social et le médi­co-social en 13 ques­tions pro­duit par l’Agence du Numé­rique en San­té (ANS) [42]. Les réponses appor­tées sont issues de ce docu­ment, des autres lec­tures citées dans la biblio­gra­phie [12, 30, 31, 34], de retours ter­rains et de retours d’expérience en tant que sta­giaires. Les dif­fé­rentes per­sonnes inter­ro­gées ont par­ta­gé les dif­fé­rents points d’attention dans leur quo­ti­dien. On retrouve notam­ment l’utilisation d’antivirus, de VLAN, une bonne com­pré­hen­sion de l’architecture réseau de l’établissement ou faire atten­tion aux ver­sions d’OS. Cha­cune des caté­go­ries est donc enri­chie de ces recommandations. 

L’utilisation de cet outil d’analyse des risques fonc­tionne donc selon un pro­ces­sus en 4 étapes (Figure 25). Pour réa­li­ser une ana­lyse des risques com­plète pour une caté­go­rie de DM, il faut comp­ter entre 5 et 10 minutes.

Figure 25 : Schématisation du processus de notre outil (Source : Auteurs)

Un exemple est éga­le­ment don­né à pro­pos d’un moni­teur para­mé­trique (résul­tat en figure 26) pour expli­ci­ter la mise en œuvre du pro­ces­sus en 4 étapes.La pre­mière étape est donc de cal­cu­ler un score de cri­ti­ci­té en uti­li­sant la méthode MACE qui est ici de 22/36 et donc une cri­ti­ci­té modé­rée. Puis il faut rem­plir le ques­tion­naire de vul­né­ra­bi­li­té qui donne ici un score de 5/10, don­nant une vul­né­ra­bi­li­té modé­rée. En pla­çant les résul­tats dans la matrice, le risque est éva­lué comme modé­ré ce qui donne accès à 9 cri­tères pour éla­bo­rer des plans afin de réduire les risques asso­ciés à ce DM.

Figure 26 : Matrice du niveau de risque cyber associé à un dispositif médical, prenant en compte la vulnérabilité et la criticité de celui-ci (Source : Auteurs)

Cet outil n’est pas uti­li­sable pour chaque équi­pe­ment déjà pré­sent sur le parc hos­pi­ta­lier par manque de temps et de moyens humains. Il semble donc pré­fé­rable de réa­li­ser cette ana­lyse dans les cas suivants : 

• A l’achat d’une nou­velle caté­go­rie de DM
• Par code CNEH (Centre Natio­nal de l’Expertise Hospitalière)
• Par code EMDN (Nomen­cla­ture euro­péenne des dis­po­si­tifs médicaux)

Ain­si uti­li­sé, l’outil per­met d’établir une car­to­gra­phie des risques des DM et de les clas­ser par ordre de prio­ri­té en ce qui concerne les actions de cyber­sé­cu­ri­té à mettre en place. Les plans d’actions devront donc être réa­li­sés en s'inspirant des 9 caté­go­ries pro­po­sées plus haut dans ce mémoire.

III. Retours terrain et analyse approfondie des outils de cybersécurité

III.1. Présentation des modalités de recueil des avis sur les 4 outils de cybersécurité

Afin d’améliorer les outils pré­sen­tés dans le cha­pitre II et de les rendre  per­ti­nents pour la com­mu­nau­té bio­mé­di­cale, il était néces­saire de sou­mettre les pre­mières ver­sions aux uti­li­sa­teurs cibles. La par­tie III de ce mémoire s’attachera à pré­sen­ter les dif­fé­rents retours obtenus. 

Pour cela, deux ques­tion­naires ont donc été réa­li­sés (Figure 27) : 

• Le pre­mier ques­tion­naire était construit en trois par­ties dis­tinctes comme expli­qué pré­cé­dem­ment. Les deuxième et troi­sième par­ties se concentrent sur les opi­nions et retours sur le ques­tion­naire d’introduction de la sécu­ri­té numé­rique dans les achats et sur l’analyse des risques.
• Le deuxième for­mu­laire visait à recueillir les avis des pro­fes­sion­nels sur la vidéo de sen­si­bi­li­sa­tion et sur la fiche de faci­li­ta­tion de la collaboration.

Figure 27 : Tableau récapitulatif de la nature et du type de données recueillies dans les 2 questionnaires (Source : Auteurs)

III.2. Introduire la sécurité numérique dans les procédures d’achats

La majo­ri­té des répon­dants ont recon­nu ne pas connaître le ques­tion­naire stan­dar­di­sé pro­po­sé par l’AFIB. Les répon­dants au fait de l’existence du ques­tion­naire indiquent pour la plu­part ne pas l’utiliser dans leurs pro­cé­dures d’achat. Ce ques­tion­naire, pour­tant consi­dé­ré comme inté­res­sant par la plu­part des pro­fes­sion­nels, manque donc de visi­bi­li­té. Les entre­tiens avec un Tech­ni­cien bio­mé­di­cal de l’AP-HP et un Cor­res­pon­dant Sécu­ri­té du Sys­tème d’information pour le Bio­mé­di­cal au sein d’un CHU montrent cepen­dant que des réflexions sont en cours sur l’intégration de ce ques­tion­naire dans les cen­trales d’achats et qu’il y a une prise de conscience du fait que la cyber­sé­cu­ri­té doit être incluse tout au long des pro­ces­sus d’achats. L’outil créé dans le cadre de ce pro­jet pour­ra donc per­mettre une plus large dif­fu­sion de ce ques­tion­naire et, tout du moins une prise de conscience du fait que des solu­tions existent et sont déjà utiles et utilisables.

Concer­nant l’évaluation par les pre­miers uti­li­sa­teurs de la car­to­gra­phie pro­po­sée pour navi­guer dans le ques­tion­naire stan­dar­di­sé de l’AFIB, tous les répon­dants estiment que l’outil est de prise en main aisée et qu’il est agréable au niveau de sa navi­ga­tion et de son desi­gn. Ain­si, la moi­tié des par­ti­ci­pants estiment que cet outil est facile d’utilisation et l’autre moi­tié qu’il est clair. Près de 16% des par­ti­ci­pants estiment que l’outil est uti­li­sable en l’état et 84% comptent uti­li­ser cet outil sous réserve d’une appro­pria­tion interne et après per­son­na­li­sa­tion à la poli­tique de leur éta­blis­se­ment. Ces résul­tats démontrent l l'intérêt des pro­fes­sion­nels bio­mé­di­caux pour cette car­to­gra­phie inter­ac­tive, le carac­tère utile et uti­li­sable de cet outil qui sera vrai­sem­bla­ble­ment uti­li­sé : plu­sieurs répon­dants nous ont indi­qué pen­ser à l’intégrer doré­na­vant dans l’évaluation des achats sous réserve que leur ser­vice infor­ma­tique le apporte son point de vue sur l’outil et le valide. 

Une des prin­ci­pales limi­ta­tions remon­tées est la néces­si­té que les socié­tés pos­tu­lant aux appels d’offres répondent de façon expli­cite à toutes les ques­tions et qu’elles soient satis­fai­santes et prou­vées par le ser­vice infor­ma­tique de l’établissement. L’utilisation de ce ques­tion­naire néces­site donc une pleine col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et informatique.

Il pour­rait donc être inté­res­sant de sou­mettre ce ques­tion­naire  aux pro­fes­sion­nels des ser­vices infor­ma­tiques hos­pi­ta­liers. Cela amé­lio­re­ra le conte­nu du ques­tion­naire et faci­li­te­ra sa diffusion.

III.3. Définir la collaboration dans les établissements de santé

Tous les entre­tiens montrent que la col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et ser­vice infor­ma­tique est d’une impor­tance majeure dans la ges­tion des risques cyber. Cepen­dant, cette col­la­bo­ra­tion est loin d’être opti­male dans tous les ser­vices. Dans cer­tains ser­vices, les ingé­nieurs bio­mé­di­caux doivent com­mu­ni­quer avec un nombre impor­tant d’interlocuteurs du ser­vice infor­ma­tique. Par exemple un inter­lo­cu­teur pour la connec­ti­vi­té, un spé­cia­li­sé dans l’applicatif, et un autre ayant des com­pé­tences dans la sécu­ri­té pour mettre en place les accès à dis­tance pour les four­nis­seurs. Cette diver­si­té d’interlocuteurs et le manque de réfé­rents du ser­vice infor­ma­tique, dans cer­tains éta­blis­se­ments, pour gérer les pro­jets du bio­mé­di­cal rend la ges­tion de la cyber­sé­cu­ri­té plus com­plexe. La col­la­bo­ra­tion entre les ser­vices inter­vient cepen­dant à toutes les étapes du cycle de vie du dis­po­si­tif médi­cal et mérite d’être améliorée.

L’outil pro­duit sous forme d’une affiche a été bien accueilli par les ser­vices où la col­la­bo­ra­tion est en train de se mettre en place mais que le bud­get ou les tâches ne sont pas assez bien répar­ties. Cette affiche a été décrite comme résu­mant bien les enjeux de la col­la­bo­ra­tion et 2 des ingé­nieurs inter­ro­gés l’avaient déjà impri­mée lors des entre­tiens et comp­taient l’afficher et la trans­mettre à leurs col­lègues de l’informatique. Le sché­ma sim­pli­fié d’une cybe­rat­taque avec des exemples d’erreurs et de solu­tions semble être la par­tie de l’affiche qui a le plus répon­du aux attentes des ingé­nieurs bio­mé­di­caux. En effet, ils esti­maient que ce sché­ma était très com­plet et résu­mait par­fai­te­ment les besoins et les problèmes.

III.4. Assurer la sécurité autour des équipements biomédicaux

Selon les retours du ter­rain, le ser­vice infor­ma­tique semble davan­tage impli­qué dans des ini­tia­tives de sen­si­bi­li­sa­tion par rap­port au ser­vice bio­mé­di­cal, même si ce der­nier est res­pon­sable de l'utilisation appro­priée des DM et de la sécu­ri­té autour des équi­pe­ments bio­mé­di­caux [31]. Les deux ser­vices pré­co­nisent cepen­dant d'éviter l'utilisation des clés USB sur les DM, mais les entre­tiens indiquent qu'il existe peu de solu­tions de rem­pla­ce­ment viables. Ce pro­blème consti­tue une pré­oc­cu­pa­tion majeure, et une sen­si­bi­li­sa­tion accrue pour­rait en effet contri­buer à trou­ver des solu­tions alter­na­tives. Les ques­tion­naires adres­sés aux pro­fes­sion­nels bio­mé­di­caux et de san­té révèlent que la pro­blé­ma­tique des péri­phé­riques USB fait l'objet de moins de sen­si­bi­li­sa­tion que les dan­gers liés aux cour­riels. Par exemple, il est fré­quent que des méde­cins uti­lisent des disques durs per­son­nels dans les blocs opé­ra­toires pour pré­sen­ter des images lors de congrès ou les étu­dier en dehors de l'établissement. Un autre exemple concerne l'utilisation d'une clé USB par un ingé­nieur d'application sur un écho­graphe neuf pour confi­gu­rer dif­fé­rentes options. Il est évident que les ser­vices infor­ma­tiques et bio­mé­di­caux ont des limites quant à leur capa­ci­té à contrô­ler toutes les pra­tiques et à blo­quer toutes les menaces.

La vidéo a été qua­li­fiée de péda­go­gique et per­met pré­sente un réel poten­tiel de sen­si­bi­li­sa­tion car les soi­gnants n’ont pas for­cé­ment conscience que sur un DM il y a les mêmes risques que chez eux sauf qu’il y a un impact fort sur le patient. 

III.5. Définir la criticité des équipements biomédicaux

L'analyse des risques pour l'ensemble des DM dans un éta­blis­se­ment de san­té se révèle être une tâche com­plexe et chro­no­phage pour le ser­vice bio­mé­di­cal. Selon les entre­tiens réa­li­sés dans le cadre du pro­jet, il est noté que cette ana­lyse est sou­vent omise. La majo­ri­té des répon­dants indiquent n'avoir pas effec­tué de car­to­gra­phie des risques infor­ma­tiques liés à leurs DM. Tou­te­fois, tous recon­naissent que l'outil d'analyse des risques des DM pro­po­sé dans le cadre du pro­jet est par­ti­cu­liè­re­ment inté­res­sant pour pré­ve­nir les cybe­rat­taques et éla­bo­rer des plans d'actions. Cer­tains par­ti­ci­pants sou­lignent même que cette approche d'analyse des risques apporte une dimen­sion sup­plé­men­taire dans le pro­ces­sus de sélec­tion des DM lors de leur mise en concurrence.

Une majo­ri­té des par­ti­ci­pants indique que l’outil est facile à prendre en main et est agréable au niveau de son uti­li­sa­tion glo­bale. Un tiers des par­ti­ci­pants indique vou­loir uti­li­ser cet outil dans leur ser­vice dans l’état actuel, la moi­tié sous réserve d’améliorations dans sa forme (conver­sion au for­mat Excel), ou d’appropriation, c'est-à-dire plus de temps à y consa­crer. Près de 17% des par­ti­ci­pants ne sou­haite pas l’utiliser par manque de temps et de moyens.

Les prin­ci­pales amé­lio­ra­tions concernent la per­son­na­li­sa­tion à la poli­tique de l’établissement et avoir plus de temps à y consa­crer pour vrai­ment être en mesure de l’utiliser. En effet, d’après les retours, cet outil est rela­ti­ve­ment simple à mettre en place mais il faut prendre le temps d’intégrer ce nou­veau cri­tère de cri­ti­ci­té. L’analyse des risques par l’outil est per­çue comme très poin­tue au point de frei­ner sa mise en œuvre. En effet, l’ingénieur bio­mé­di­cal manque de temps pour trai­ter les sujets en pro­fon­deur mal­gré l’intérêt que pré­sente une telle démarche.

Une conver­sion de l’outil au for­mat Excel a donc été réa­li­sée pour faci­li­ter sa prise en main, sur la base d’une pré­sen­ta­tion de l’analyse des risques des achats de DM créée au for­mat ppt. La conver­sion per­met de rendre l’analyse des risques plus inter­ac­tive, là où la pré­sen­ta­tion se concentre sur l’exposé de la démarche, des notions et des ques­tions de l’approche par les risques. Ain­si, l’outil pré­sente 3 onglets avec les­quels l’utilisateur peut inter­agir. Le pre­mier onglet pré­sente l’analyse MACE et per­met d’attribuer un score pour chaque cri­tère que l’analyse prend en compte. Le second onglet per­met d’établir un score de vul­né­ra­bi­li­té du DM et de son envi­ron­ne­ment dans le SI. Le der­nier pré­sente la matrice du risque à l’utilisateur pour lui indi­quer son niveau de risque et ensuite le gui­der dans son amé­lio­ra­tion de la dimi­nu­tion du risque lié aux cybe­rat­taques sur ses DM.

En plus de la déter­mi­na­tion du niveau de risque, l’utilisateur est redi­ri­gé vers un onglet ras­sem­blant des recom­man­da­tions d’actions à mettre en place ou à péren­ni­ser selon le niveau de risque du DM par une série de bou­tons cli­quables pré­sen­tée en figure 28. Les indi­ca­tions pré­sen­tées dans l’outil Excel sont, de fait, celles qui sont pré­sen­tées dans l’outil de pré­sen­ta­tion de l’analyse des risques uti­li­sant la méthode MACE. Il est à noter que l’outil laisse la pos­si­bi­li­té à l’utilisateur de consul­ter les recom­man­da­tions pour chaque type de risque. Il peut ain­si se ren­sei­gner sur d’autres actions qu’il pour­rait mettre en place pour amé­lio­rer sa ges­tion des risques liés à la cybermalveillance.

Figure 28 : Boutons de renvoi vers le plan de gestion des risques selon le niveau de risque calculé par l’utilisateur (Source : Auteurs)

Une autre amé­lio­ra­tion pro­po­sée lors des entre­tiens est de pré rem­plir la matrice de risques pour les grandes familles de dis­po­si­tifs, en sui­vant par exemple les codes CNEH ou EMDN. Il s’agirait d’uniformiser les nota­tions entre tous les opé­ra­teurs et tous les ser­vices bio­mé­di­caux et de dis­po­ser d’une base com­mune la plus objec­tive pos­sible, ce qui favo­ri­se­rait la dif­fu­sion de l'outil.

Des futures amé­lio­ra­tions consistent en l’intégration des résul­tats dans la GMAO afin de cen­tra­li­ser les infor­ma­tions et aider le ser­vice bio­mé­di­cal dans ses prises de décisions.

III.6. Limitations du projet et ouverture vers de futures améliorations

Cer­taines limi­ta­tions concer­nant la métho­do­lo­gie de ce pro­jet ont été remon­tées. En effet, dans le recueil des avis de la com­mu­nau­té bio­mé­di­cale, de nom­breux télé­char­ge­ments ont été consta­tés, 28 télé­char­ge­ments sur les 60 mails envoyés mais une faible part de réponses. Cela peut s’expliquer par le fait que tes­ter tous les outils est par­ti­cu­liè­re­ment chro­no­phage or les ingé­nieurs bio­mé­di­caux n’ont que peu de temps pour trai­ter leurs mails. Ces der­niers pré­fèrent par­ta­ger leurs avis via de courts entre­tiens plu­tôt qu’en répon­dant à des ques­tion­naires. Ce constat peut ser­vir aux pro­chains étu­diants qui vont réa­li­ser des pro­jets dans le cadre de ce Master. 

Ensuite, ce pro­jet, de par son large champ d'étude, a per­mis de pro­po­ser des pre­miers outils à la com­mu­nau­té bio­mé­di­cale. Afin de véri­fier l’utilisation concrète de ces outils sur le ter­rain, un tra­vail de dif­fu­sion ain­si que de recueil des expé­riences d’utilisation devra se pour­suivre par d’autres étu­diants du Mas­ter Ingé­nie­rie de la San­té  de l'Université de Tech­no­lo­gies de Com­piègne pour obte­nir des infor­ma­tions détaillées sur la prise en main de ces outils. Ce tra­vail pour­rait éga­le­ment être réa­li­sé dans le cadre des tra­vaux de l’AFIB.

Conclusion

Les cybe­rat­taques dans les éta­blis­se­ments de san­té, d’incidence crois­sante, impactent signi­fi­ca­ti­ve­ment la sécu­ri­té et la conti­nui­té de la prise en charge des patients ain­si que le bud­get des éta­blis­se­ments. L'ingénieur bio­mé­di­cal, à la croi­sée de ces nou­veaux enjeux, doit être accom­pa­gné dans la ges­tion du risque cyber des dis­po­si­tifs médicaux.

L'Asso­cia­tion Fran­çaise des Ingé­nieurs Bio­mé­di­caux (AFIB) joue un rôle cen­tral en pro­po­sant des recom­man­da­tions spé­ci­fiques pour ren­for­cer la sécu­ri­té numé­rique des équi­pe­ments bio­mé­di­caux. L’approche pro­po­sée par l’AFIB, axée sur l'intégration de la sécu­ri­té numé­rique dans les pro­cé­dures d'achats, la défi­ni­tion de la col­la­bo­ra­tion la plus effi­cace pos­sible entre ser­vices infor­ma­tique et bio­mé­di­cal, l'assurance de la sécu­ri­té des équi­pe­ments, et l'évaluation de la cri­ti­ci­té des dis­po­si­tifs, offre un cadre com­plet pour armer l'ingénieur bio­mé­di­cal face à ces cybermenaces. 

Pour amé­lio­rer l’appropriation et la mise en œuvre effec­tive de ces recom­man­da­tions, des outils spé­ci­fiques ont été éla­bo­rés avec l’appui de pro­fes­sion­nels du ser­vice bio­mé­di­cal. Ces outils de cyber­sé­cu­ri­té adap­tés aux besoins des DM sont uti­li­sables en l’état et déjà exploi­tés dans cer­tains ser­vices.  Pour répondre davan­tage aux attentes de la com­mu­nau­té bio­mé­di­cale, cer­taines évo­lu­tions ont été pro­po­sées, comme stan­dar­di­ser la matrice de risques par famille de DM et inté­grer les résul­tats de l'analyse de cri­ti­ci­té des DM à la GMAO, qui pour­ront faire l’objet de tra­vaux ulté­rieurs par de futurs étu­diants du Mas­ter Ingé­nie­rie de la San­té de l’Université de Tech­no­lo­gie de Compiègne.

Bibliographie

[1] Centre gouvernemental de veille, d'alerte, et de réponse aux attaques informatiques, « À propos du CERT-FR », 2023, [En ligne]. Disponible sur : https://www.cert.ssi.gouv.fr/a-propos/ (consulté le déc. 19, 2023).

[2] Club des Experts de la Sécurité de l’Information et du Numérique, « CESIN », 2023, [En ligne]. Disponible sur : https://cesin.fr (consulté le déc. 19, 2023).

[3] Proofpoint, « Threat reference : répertoire des cybermenaces et attaques internet », mars 2021, [En ligne]. Disponible sur : https://www.proofpoint.com/fr/threat-reference (consulté le déc. 19, 2023).

[4] Agence de l’Union Européenne pour la Cybersécurité, « À propos de l’ENISA », 2023, [En ligne]. Disponible sur : https://www.enisa.europa.eu/about-enisa/about/fr (consulté le déc. 19, 2023).

[5] Futura, « Botnet : qu’est-ce que c’est ? » [En ligne]. Disponible sur : https://www.futura-sciences.com/tech/definitions/internet-botnet-4368/ (consulté le déc. 19, 2023).

[6] Gouvernement, « Cybercriminalité - risques », mai 2022, [En ligne]. Disponible sur : https://www.gouvernement.fr/risques/cyber-criminalite (consulté le déc. 19, 2023).

[7] Kaspersky, « Que sont le deep web et le dark web ? » août 2023, [En ligne]. Disponible sur : https://www.kaspersky.fr/resource-center/threats/deep-web (consulté le déc. 19, 2023).

[8] Ministère de la Santé et de la Prévention, « Système de santé, médico-social et social », 2023, [En ligne]. Disponible sur : https://sante.gouv.fr/systeme-de-sante/systeme-de-sante/article/systeme-de-sante-medico-social-et-social (consulté le déc. 19, 2023).

[9] J. Vance, « Qu’est-ce qu’un vlan et comment fonctionne-t-il ? », Le monde informatique », juin 2022, [En ligne]. Disponible sur : https://www.lemondeinformatique.fr/actualites/lire-qu-est-ce-qu-un-vlan-et-comment-fonctionne-t-il-87023.html (consulté le déc. 19, 2023).

[10] E. Boussin and J. Schreiber, « Retour sur les grandes cyberattaques en France en 2022 : quelles résolutions pour 2023 ? » Portail de l’Intelligence Economique, janvier 2023, [En ligne]. Disponible sur : https://www.portail-ie.fr/univers/risques-et-gouvernance-cyber/2023/retour-sur-les-grandes-cyberattaques-en-france-en-2022-quelles-resolutions-pour-2023/ (consulté le déc. 19, 2023).

[11] Y. Forest, F. Gama, S. Rasle, O. Declerck, and N. Amani, Webinaire de sensibilisation à la cybersécurité, avril 2022, [En ligne]. Disponible sur : https://www.auvergne-rhone-alpes.ars.sante.fr/cybersecurite-en-etablissement-de-sante-webinaire-replay (consulté le déc. 19, 2023).

[12] V. Branger, B. Louvois, and B. Serre, Guide « Comment se prémunir des cyberattaques ? », Resah-Editions, 2022, [En ligne]. Disponible sur : https://www.resah.fr/centre-de-ressources-et-d-expertise/publications/ (consulté le sept. 20, 2023).

[13] J. Notin, C. Lemal, and M. Derville, « Rapport d’activité sur les chiffres et tendances des cybermenaces : Cybermalveillance.gouv.fr dévoile son rapport d’activité 2021 », mars 2022, [En ligne]. Disponible sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2021 (consulté le nov. 3, 2023).

[14] J. Notin, C. Lemal, M. Derville, S. Azzoli, and B. Hervieu, « Rapport d’activité sur les chiffres et tendances des cybermenaces : Cybermalveillance.gouv.fr dévoile son rapport d’activité 2022 », mars 2023, [En ligne]. Disponible sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2022 (consulté le nov. 3, 2023).

[15] Assemblée Nationale, Amendement n°470 du 09/11/2022, Texte n°436, adopté par la Commission sur le projet de loi adopté par le Sénat d’orientation et de programmation du Ministère de l’Intérieur (n°343), novembre 2022, [En ligne]. Disponible sur : https://www.assemblee-nationale.fr/dyn/16/amendements/0436/AN/470 (consulté le sept. 20, 2023).

[16] J. Notin, C. Lemal, and M. Derville, « Retour sur 2021 en infographie », Agence cybermalveillance.gouv, mars 2022, [En ligne]. Disponible sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2021 (consulté le nov. 3, 2023).

[17] J. Notin, M. Derville, C. Lemal, S. Azzoli, and B. Hervieu, « Retour sur 2022 en infographie, Agence cybermalveillance.gouv, mars 2023, [En ligne]. Disponible sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2022 (consulté le nov. 3, 2023).

[18] NDMN, « Cybersécurité en France, 10 statistiques clés à connaître en 2022 ! », juin 2022, [En ligne]. Disponible sur : https://www.ndnm.fr/statistiques-cybersecurite-2022 (consulté le sept. 20, 2023).

[19] C. Thierache and C. Leroy-Blanvillain, « Cybercriminalité : l’UE présente son projet de règlement « cyber solidarity act » », Alerion Avocats Paris, avril 2023, [En ligne]. Disponible sur : https://www.alerionavocats.com/cybercriminalite-ue-presente-projet-reglement-cyber-solidarity-act/ (consulté le dec. 6, 2023).

[20] Agence nationale de la sécurité des systèmes d’information, Rapport « Panorama de la cybermenace 2022 », 2023, [En ligne]. Disponible sur : https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/ (consulté le dec. 6, 2023).

[21] W. Zirar, « Cybersécurité : le cert santé recense 588 déclarations d’incidents en 2022 », février 2022, [En ligne]. Disponible sur : https://www.ticsante.com/story?ID=6572 (consulté le sept. 20, 2023).

[22] J.-M. Manach, « Cybersécurité : le cert santé relève 5 mises en danger patient avérées en 2021 », Next, mai 2022, [En ligne]. Disponible sur : https://next.ink/1886/cybersecurite-cert-sante-releve-5-mises-en-danger-patient-averees-en-2021/ (consulté le dec. 6, 2023).

[23] D. Mennecier, « Cyberattaques et hôpital », Médecine de Catastrophe - Urgences Collectives, vol. 4, no. 4, p. 327–330, décembre 2020.

[24] S. Smith, « Smart hospitals to deploy over 7 million internet of medical things », Juniper Research, janvier 2022, [En ligne]. Disponible sur : https://www.juniperresearch.com/press/smart-hospitals-to-deploy-over-7mn-iomt (consulté le dec. 19, 2023).

[25] Agence du Numérique en Santé, Guide « La sécurité numérique, socle de la transformation du numérique en santé », 2021, [En ligne]. Disponible sur : https://industriels.esante.gouv.fr/sites/default/files/media/document/cybersecurite_3_volets_a4_210607.pdf (consulté le dec. 3, 2023).

[26] Relyens, « Etablissement de santé : combien coûte une cyberattaque ? » octobre 2023, [En ligne]. Disponible sur : https://www.relyens.eu/fr/newsroom/blog/cybersecurite-comment-estimer-le-cout-dune-cyberattaque-par-rancongiciel (consulté le dec. 6, 2023).

[27] Agence du Numérique en Santé, « L’observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social 2022 est en ligne ! », juin 2023, [En ligne]. Disponible sur : https://esante.gouv.fr/espace-presse/lobservatoire-des-incidents-de-securite-des-systemes-dinformation-pour-les-secteurs-sante-et-medico-social-202 (consulté le dec. 19, 2023).

[28] F. Reynaud and L. Adam, « Cyberattaque contre l’hôpital de Corbeil-Essonnes : ce que l’on sait sur les données diffusées », Le Monde.fr, septembre 2022, [En ligne]. Disponible sur : https://www.lemonde.fr/pixels/article/2022/09/26/apres-la-cyberattaque-contre-l-hopital-de-corbeil-essonnes-ce-que-l-on-sait-sur-les-donnees-diffusees_6143245_4408996.html  (consulté le dec. 6, 2023).

[29] « L’hôpital de Corbeil-Essonnes veut renforcer sa sécurité informatique », 20MINUTES, janvier 2023, [En ligne]. Disponible sur : https://www.20minutes.fr/societe/4017361-20230104-corbeil-essonnes-cinq-mois-apres-cyberattaque-hopital-renforce-securite-informatique (consulté le sept. 20, 2023).

[30] S. Nogaret, « Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie », ANSM, 2022, [En ligne]. Disponible sur : https://ansm.sante.fr/documents/reference/cybersecurite-des-dm-et-dmdiv (consulté le sept. 20, 2023).

[31] V. Boissart, D. Laurent, L. Monnin, M.-J. Ory, F. Raji, and S. Roussel, « Groupe de travail AFIB 2019–2020 : Sécurité numérique des équipements biomédicaux », IRBM News, vol. 42, no. 1, p. 18, février 2021.

[32] Agence Régionale de Santé de la Réunion, « Cybersécurité : comment protéger les données de santé des réunionnais ? », mars 2023, [En ligne]. Disponible sur : https://www.lareunion.ars.sante.fr/cybersecurite-comment-proteger-les-donnees-de-sante-des-reunionnais (consulté le dec. 6, 2023).

[33] C. Duval, « Cyberattaques : scénarios redoutés par les hôpitaux », TGS France, mars 2021, [En ligne]. Disponible sur : https://www.tgs-france.fr/blog/cyberattaques-scenarios-redoutes-par-les-etablissements-hospitaliers-et-medico-sociaux/(consulté le dec. 6, 2023).

[34] R. Parodi, « Informatique biomédicale exploitation des données biomédicales et organisation des fonctions supports », juin 2023, [En ligne]. Disponible sur : https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids198 (consulté le sept. 20, 2023).

[35] B. Benque, « Un accompagnement institutionnel fort pour une intégration DSI », Cadresanté, octobre 2023, [En ligne]. Disponible sur : https://www.cadredesante.com/spip/profession/management/article/un-accompagnement-institutionnel-fort-pour-une-integration-dsi-biomedical-reussie (consulté le dec. 6, 2023).

[36] Commission Européenne, septembre 2023, « Directive on measures for a high common level of cybersecurity across the union (Directive NIS2) », [En ligne]. Disponible sur : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive (consulté le dec. 19, 2023).

[37] Vie-Publique, « Projet de loi visant à sécuriser et réguler l’espace numérique », octobre 2023, [En ligne]. Disponible sur : https://www.vie-publique.fr/loi/289345-projet-de-loi-numerique-sren (consulté le dec. 19, 2023).

[38] Agence nationale de la sécurité des systèmes d’information, « 5 réflexes à avoir lors de la réception d’un courriel », 2023, [En ligne]. Disponible sur : https://www.ssi.gouv.fr/entreprise/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/ (consulté le nov. 3, 2023).

[39] C. Blanc-Rolin, « Sécurité, RGPD, code de la santé publique : les ports USB devraient-ils rester fermés ? » février 2019, [En ligne]. Disponible sur : https://www.dsih.fr/article/3233/securite-rgpd-code-de-la-sante-publique-les-ports-usb-devraient-ils-rester-fermes.html (consulté le nov. 3, 2023).

[40] Agence nationale de la sécurité des systèmes d’information, « Attaques par rançongiciels, tous concernés. comment les anticiper et réagir en cas d’incident ? », août 2020, [En ligne]. Disponible sur : https://www.ssi.gouv.fr/guide/attaques-par-rancongiciels-tous-concernes-comment-les-anticiper-et-reagir-en-cas-dincident/(consulté le nov. 3, 2023).

[41] J. Lhomme, J. Humbert, and G. Farges, « La criticité des dispositifs médicaux : état de l’art et calcul », IRBM News, vol. 34, no. 5-6, pp. 150–154, octobre 2013.

[42] Agence du Numérique en Santé, « La cybersécurité pour le social et le médico-social en 13 questions », octobre 2022, [En ligne]. Disponible sur : https://esante.gouv.fr/actualites/un-nouveau-guide-cybersecurite-destination-du-medico-social (consulté le nov. 3, 2023).

Liste des sigles

AFIB : Asso­cia­tion Fran­çaise des Ingé­nieurs Biomédicaux

ANSSI : Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d'information 

ARS : Agence Régio­nale de Santé

CERT : Com­pu­ter Emer­gen­cy Res­ponse Team [1]

CESIN : Club des Experts en Sécu­ri­té de l'Information et du Numé­rique [2]

DDoS : Dis­tri­bu­ted Denial of Ser­vice [3]

DM : Dis­po­si­tif Médical

DPO : Délé­gué à la Pro­tec­tion des Données

DSI : Direc­tion des Sys­tèmes d’Information

ENISA : The Euro­pean Union Agen­cy for Cyber­se­cu­ri­ty [4]

GHT : Grou­pe­ments hos­pi­ta­liers de territoires

GMAO : Ges­tion de la Main­te­nance Assis­tée par Ordinateur

MACE : Méthode d’Analyse de la Cri­ti­ci­té des dis­po­si­tifs médi­caux en Exploitation 

OS : Ope­ra­ting Sys­tem (Sys­tème d’exploitation)

RGPD : Règle­ment Géné­ral de Pro­tec­tion des Données

RSSI : Res­pon­sable de la Sécu­ri­té des Sys­tèmes d’Information

SI : Sys­tème d’InformationVLAN : Vir­tual Local Area Net­work (Réseau Local Virtuel)

Glossaire

Bot­nets : Ordi­na­teurs zom­bies inté­grés dans un réseau sans le consen­te­ment de leurs pro­prié­taires. En plus de leur uti­li­sa­tion pour para­ly­ser le tra­fic (dans le cadre d'une attaque par déni de ser­vice) et pro­pa­ger du spam, les bot­nets peuvent éga­le­ment être exploi­tés dans des acti­vi­tés cri­mi­nelles telles que le vol mas­sif de don­nées ban­caires et d'identité [5].

CESIN (Club des Experts en Sécu­ri­té de l'Information et du Numé­rique) : Com­mu­nau­té regrou­pant des pro­fes­sion­nels de la cyber­sé­cu­ri­té issus de diverses entre­prises et admi­nis­tra­tions. Son prin­ci­pal but est de col­la­bo­rer pour ren­for­cer le niveau de pré­pa­ra­tion des orga­ni­sa­tions en matière de cyber­sé­cu­ri­té [2].

CERT (Com­pu­ter Emer­gen­cy Res­ponse Team) : Équipe spé­cia­li­sée dans la ges­tion des inci­dents de cyber­sé­cu­ri­té. Son rôle prin­ci­pal est de sur­veiller, détec­ter, ana­ly­ser et répondre aux inci­dents de sécu­ri­té infor­ma­tique, notam­ment les cybe­rat­taques, les vio­la­tions de don­nées et les inci­dents liés à la sécu­ri­té des réseaux et des sys­tèmes [1].

Cryp­to­ja­cking :  Attaque qui consiste à uti­li­ser les res­sources infor­ma­tiques d'un uti­li­sa­teur ou d'une orga­ni­sa­tion pour miner des cryp­to­mon­naies sans leur consen­te­ment [3].

Cyber­cri­mi­nels : Ce terme englobe toute per­sonne ou groupe qui com­met des crimes en uti­li­sant des tech­no­lo­gies infor­ma­tiques ou le cybe­res­pace. Cela peut inclure un large éven­tail d'activités, allant du vol d'identité, du phi­shing, du vol de don­nées, du hacking de sys­tèmes, de la dif­fu­sion de logi­ciels mal­veillants (comme des virus ou des ran­som­wares), à d'autres formes de cybe­rat­taques et de fraudes en ligne [6].

Cybe­res­pion­nage : Consiste en des acti­vi­tés mal­veillantes menées par des gou­ver­ne­ments, des orga­ni­sa­tions ou des indi­vi­dus pour voler des infor­ma­tions sen­sibles, sou­vent à des fins d'espionnage ou de vol de pro­prié­té intel­lec­tuelle [3].

Cyber­ma­fias : Groupes orga­ni­sés, sou­vent inter­na­tio­naux, qui uti­lisent des tech­niques de cyber­cri­mi­na­li­té pour com­mettre des acti­vi­tés illé­gales à grande échelle. Ils opèrent de manière simi­laire à des orga­ni­sa­tions cri­mi­nelles tra­di­tion­nelles, mais en exploi­tant les failles du cybe­res­pace pour mener des acti­vi­tés illé­gales telles que le vol de don­nées, la fraude, le chan­tage, voire le sabo­tage à des fins lucra­tives [3].

Dark Web : ensemble caché de sites Inter­net acces­sibles uni­que­ment par un navi­ga­teur spé­cia­le­ment conçu à cet effet. Il est uti­li­sé pour pré­ser­ver l'anonymat et la confi­den­tia­li­té des acti­vi­tés sur Inter­net, ce qui peut être utile aus­si bien pour les appli­ca­tions légales que pour les appli­ca­tions illé­gales [7].

Data Breach : Une vio­la­tion de don­nées se pro­duit lorsqu'une per­sonne ou une orga­ni­sa­tion non auto­ri­sée accède à des don­nées sen­sibles ou confi­den­tielles, expo­sant ain­si ces infor­ma­tions à un risque de divul­ga­tion ou de vol [3].

DDoS (Dis­tri­bu­ted Denial of Ser­vice) : Une attaque par déni de ser­vice dis­tri­buée vise à sub­mer­ger un sys­tème, un ser­veur ou un réseau avec un tra­fic exces­sif, ren­dant ain­si les ser­vices indis­po­nibles pour les uti­li­sa­teurs légi­times [3].

ENISA (The Euro­pean Union Agen­cy for Cyber­se­cu­ri­ty) : Agence de l'Union euro­péenne pour la cyber­sé­cu­ri­té spé­cia­li­sée dans la pro­mo­tion de la cyber­sé­cu­ri­té en Europe. Sa mis­sion prin­ci­pale consiste à ren­for­cer la rési­lience des infra­struc­tures infor­ma­tiques et des sys­tèmes d'information au sein de l'Union euro­péenne [4].

Groupe de pirates : Il s'agit d'un ensemble de per­sonnes, sou­vent par­ta­geant des com­pé­tences tech­niques en infor­ma­tique et en sécu­ri­té. Ces groupes peuvent être for­més pour des acti­vi­tés éthiques telles que la recherche en sécu­ri­té infor­ma­tique (hackers éthiques), mais peuvent éga­le­ment être des regrou­pe­ments de per­sonnes cher­chant à exploi­ter des vul­né­ra­bi­li­tés pour des rai­sons illé­gales (hackers mal­veillants) [3].

Iden­ti­ty Theft : Le vol d'identité implique l'usurpation de l'identité d'une per­sonne, sou­vent dans le but de com­mettre des fraudes finan­cières ou d'autres acti­vi­tés cri­mi­nelles [3].

Infor­ma­tion Lea­kage : La fuite d'informations se pro­duit lorsque des infor­ma­tions confi­den­tielles ou sen­sibles sont invo­lon­tai­re­ment divul­guées, sou­vent en rai­son de vul­né­ra­bi­li­tés de sécu­ri­té ou d'erreurs humaines [3].

Insi­der Threat : Une menace interne se pro­duit lorsque des indi­vi­dus au sein d'une orga­ni­sa­tion, tels que des employés, abusent de leur accès pri­vi­lé­gié pour cau­ser des dom­mages inten­tion­nels ou invo­lon­taires [3].

Mal­ware (Logi­ciel mal­veillant) : Mal­ware est un terme géné­rique qui désigne tout logi­ciel conçu dans le but de cau­ser des dom­mages ou de com­pro­mettre un sys­tème infor­ma­tique. Les types cou­rants de mal­ware incluent les virus, les vers, les che­vaux de Troie et les ran­som­wares [3].

Orga­ni­sa­tions de san­té : Des enti­tés ou struc­tures qui opèrent dans le domaine de la san­té pour four­nir des ser­vices, des soins, des trai­te­ments, et pour gérer les aspects liés à la san­té. Ces orga­ni­sa­tions peuvent prendre diverses formes et tailles, allant des ins­ti­tu­tions publiques aux éta­blis­se­ments pri­vés, des orga­nismes à but non lucra­tif aux entre­prises com­mer­ciales. Leur objec­tif prin­ci­pal est d'améliorer la san­té des indi­vi­dus, des popu­la­tions ou de gérer les sys­tèmes de san­té [8]. 

Phi­shing : Tech­nique d'attaque qui implique l'envoi de mes­sages ou de sites Web frau­du­leux pour trom­per les uti­li­sa­teurs et les inci­ter à divul­guer des infor­ma­tions sen­sibles, telles que des iden­ti­fiants de connexion ou des infor­ma­tions de carte de cré­dit [3].

Phy­si­cal Mani­pu­la­tion, Damage and Theft and Loss (Mani­pu­la­tion phy­sique, Dom­mage, Vol et Perte) : Cela fait réfé­rence aux atteintes à la sécu­ri­té qui impliquent des actions phy­siques sur le maté­riel ou les dis­po­si­tifs infor­ma­tiques, telles que le vol de maté­riel, la des­truc­tion phy­sique ou la perte acci­den­telle [3].

Ran­som­ware : Type de logi­ciel mal­veillant qui chiffre les fichiers d'un uti­li­sa­teur ou d'une orga­ni­sa­tion, puis demande une ran­çon pour la clé de déchif­fre­ment [3].

Script kid­dies : des indi­vi­dus peu expé­ri­men­tés en infor­ma­tique qui uti­lisent des outils, des scripts ou des pro­grammes créés par d'autres, sans réel­le­ment com­prendre leur fonc­tion­ne­ment interne pour com­pro­mettre la sécu­ri­té des sys­tèmes infor­ma­tiques de manière oppor­tu­niste [3].

Spam : Envoi mas­sif de mes­sages élec­tro­niques non sol­li­ci­tés, sou­vent à des fins de mar­ke­ting ou de dif­fu­sion de conte­nu indé­si­rable [3].

VLAN (Vir­tual Local Area Net­work) : Méthode de seg­men­ta­tion d'un réseau phy­sique en plu­sieurs réseaux logiques, per­met­tant d'isoler et de regrou­per des dis­po­si­tifs appa­ren­tés, indé­pen­dam­ment de leur empla­ce­ment phy­sique, pour amé­lio­rer la ges­tion, la sécu­ri­té et l'efficacité des réseaux infor­ma­tiques [9].

Web-based Attacks : Les attaques basées sur le Web sont des ten­ta­tives mal­veillantes de com­pro­mettre des sys­tèmes infor­ma­tiques en exploi­tant des vul­né­ra­bi­li­tés spé­ci­fiques liées à des appli­ca­tions Web, des ser­veurs Web ou des navi­ga­teurs Web [3].