L'infirmière n° 007 du 01/04/2021

 

SÉCURITÉ INFORMATIQUE

JE DÉCRYPTE

ENQUÊTE

Adrien Renaud  

Ces dernières semaines, les établissements de santé français ont été les victimes d’attaques informatiques qui ont eu des conséquences sur la prise en charge des patients. L’occasion d’une prise de conscience dans le monde infirmier.

Les soignants du centre hospitalier (CH) de Dax, dans les Landes, ont eu une drôle de surprise en arrivant au travail le 9 février dernier : les ordinateurs de l’établissement étaient tous inutilisables, bloqués par des pirates informatiques qui demandaient une rançon pour les rendre de nouveau fonctionnels. Une semaine plus tard, c’était au tour du centre hospitalier de Villefranche-sur-Saône de vivre la même situation. Et en décembre 2020, ce sont les CH d’Albertville et de Narbonne qui avaient vu leur activité paralysée de manière simi laire. Il faut donc se rendre à l’évidence : les blouses blanches sont devenues des cibles de choix pour la cybercriminalité.

Plus qu’une simple précaution, la vigilance en la matière devient donc pour elles une obligation déontologique. Car il ne faut pas croire que ce qui se passe dans le cyberespace reste dans le cyberespace : les attaques informatiques ont des conséquences bien concrètes sur la prise en charge des patients. « Nous n’avons accès à aucune base de données des patients, expliquait, quelques jours après l’attaque de son établissement, Aline Gilet-Caubere, directrice adjointe du CH de Dax citée par l’agence APMnews. Les traitements, les historiques ne sont pas accessibles. » Le Dr Benjamin Blanc, président de la Commission médicale de l’établissement (CME), révélait, selon la même source, que la semaine suivant l’attaque, l’hôpital avait été contraint « d’annuler l’ensemble des activités programmées ».

CINQUANTE NUANCES D’ATTAQUES

C’est donc entendu : les soignants doivent désormais faire face à la menace informatique, un peu comme ils font face à la menace que représentent les infections nosocomiales. Il leur faut donc connaître les attaques auxquelles ils sont exposés. Car elles sont de différentes natures. Celles dont on parle le plus, et dont ont été récemment victimes Dax et Villefranche-sur-Saône, sont de type ransomware. « Le principe est de crypter les données, de les rendre illisibles, pour empêcher le fonctionnement de la structure, explique Didier Ambroise, fondateur du cabinet de conseil en e-santé Doshas Consulting. En théorie, les pirates libèrent la clé de cryptage contre le paiement d’une rançon. » Mais le ransomware n’est pas la seule arme des cyberpirates qui s’attaquent aux établissements de santé. « Il y a aussi des attaques par hameçonnage, ajoute Didier Ambroise. Il s’agit alors pour les pirates de se faire passer pour une organisation de confiance, généralement par mail, pour vous inciter à saisir un identifiant, un mot de passe ou des coordonnées bancaires afin de les réutiliser. » Une fois munis d’identifiants leur permettant d’entrer dans le système d’un établissement, il leur est ainsi facile d’en siphonner les données sensibles afin de les revendre au plus offrant ou de faire chanter les victimes du vol.

On peut également citer d’autres types d’attaques, comme celle dont l’Assistance publique-Hôpitaux de Paris (AP-HP) a été victime en mars 2020, au plus fort de la première vague de l’épidémie de coronavirus : l’un de ses services a subi une attaque par déni de service (DDoS), c’est-à-dire qu’il a été assailli de requêtes en grand nombre, ce qui l’a rendu inutilisable.

UNE VIGILANCE DE TOUS LES INSTANTS

Fort heureusement, les établissements ne découvrent pas le sujet de la cybersécurité à la faveur de l’actualité. « Des attaques, nous en subis sons régulièrement, révèle Ivan Paturel, directeur technique des services numériques au CHU de Grenoble-Alpes. Notre rôle est d’éviter que la menace ne se réalise, ce qui passe par deux canaux : des garde-fous techniques que nous mettons en place d’une part, et la sensibilisation des utilisateurs d’autre part, car nous avons tous un rôle à jouer pour la sécurité. »

Pour ce qui est des garde-fous techniques, divers outils sont mis en place. « Il y a une grande diversité d’outils techniques, qui sont en back-office et qui ne se voient donc pas », explique Bruno Lavaire, directeur des services numériques au CHU de Grenoble, et collègue d’Ivan Paturel. L’établissement cite par exemple le filtrage des mails. « Sur les 17 millions d’e-mails reçus en un mois par des destinataires du CHU, nous en retirons 16 millions », indique Ivan Paturel. « Nous travaillons également sur la manière de se préparer au pire, ajoute Bruno Lavaire. Si malgré tous ces outils nous nous trouvons en difficulté, nous devons savoir réagir. »

ENTRE LA CHAISE ET LE CLAVIER

Mais au-delà de la responsabilité des directions informatiques, la vigilance en matière de cybersécurité est aussi un devoir qui incombe à tous les utilisateurs du système informatique de l’hôpital, soignants compris. Car, comme le rappelle Didier Ambroise, reprenant un adage fréquemment cité en informatique, « la faille se situe souvent entre la chaise et le clavier ». En d’autres termes, si le facteur humain n’est pas l’unique maillon faible de la sécurité informatique, il est indubitablement l’un des défauts dans la cuirasse.

La bonne nouvelle, c’est que dans leur devoir de cybervigilance, les soignants n’ont pas à acquérir de nouveaux réflexes ou à maîtriser des procédures inédites et compliquées : il leur suffit d’appliquer les gestes qu’ils appliquent déjà (en théorie) dans leur vie de tous les jours, et qui constituent les principes de l’hygiène numérique sur Internet (lire l’encadré « Les dix commandements de l’Anssi »). Il s’agit donc principalement d’utiliser des mots de passe (ou mieux, des phrases de passe) complexes, de les changer régulièrement, de ne pas se prêter les identifiants entre collègues, de ne pas cliquer sur un lien ou sur une pièce jointe si on n’est pas sûr de sa provenance ou de son innocuité, d’être vigilant lorsqu’on branche un dispositif externe type clé USB, de ne pas utiliser son adresse professionnelle pour des démarches personnelles…

Des règles communes à tous les professionnels, mais auxquelles on peut tout de même ajouter une préconisation spécifique pour les infirmières qui partagent des postes informatiques. « Il est important de s’assurer, quand on les utilise, qu’on est bien sur une session à son nom, et penser à la verrouiller quand on a terminé », précise Ivan Paturel.

UNE QUESTION DE FORMATION

Reste à savoir comment faire entrer dans les mœurs infirmières ces réflexes. Car si Ivan Paturel note que « le niveau de vigilance augmente », et que « de plus en plus d’utilisateurs signalent un message quand ils ont un doute », il semblerait que beaucoup reste encore à faire sur le sujet. « Dans les kits d’accueil des nouveaux collaborateurs, il y a des éléments sur l’usage des outils informatiques, et nous avons aussi une charte de l’informatique, expli que Bruno Lavaire. Mais nous ne nous faisons pas beaucoup d’illusions sur leur impact, et misons plutôt sur des piqûres de rappel régulières et des séances de sensibilisation. »

Plus encore que des piqûres de rappel, les infirmières semblent avoir besoin de véritables formations en matière de cybersécurité. C’est du moins l’opinion de Didier Ambroise : « Le numérique se développe, mais les infirmières ne sont véritablement formées à ces questions ni dans les Ifsi, ni lorsqu’elles entrent dans les services. Je ne vois pour l’instant pas de véritable programme de sensibilisation sur le sujet. »

UNE QUESTION DE BON SENS ?

Il convient cependant, d’après Michèle Appelshaeuser, présidente du Comité d’entente des formations infirmières et cadres (Cefiec), qui fédère les Ifsi du pays, de ne pas caricaturer le manque de formation au numérique des étudiants infirmiers. « Dans le référentiel de formation, il y a une unité qui concerne les technologies de l’information et de la communication, souligne-t-elle. Je pense donc que c’est enseigné dans beaucoup d’Ifsi. Après, je ne peux pas garantir ce que les gens en retiennent. » Et de souligner qu’en matière de numérique, « le cœur de l’enseignement, c’est l’utilisation du dossier patient, la télémédecine, et pas la prévention des cyberattaques, qui est du ressort des informaticiens spécialisés, ou du simple bon sens ».

Reste que, si l’on en croit Didier Ambroise, il y a encore beaucoup à faire pour promouvoir ce bon sens dans les couloirs hospitaliers. Raison pour laquelle Doshas Consulting a récemment créé MediRisk, un « serious game » pour sensibiliser aux risques cyber. Il s’agit d’un jeu de société destiné, pour le moment, aux équipes de direction et aux services informatiques, mais que Didier Ambroise aimerait présenter aux Ifsi. Il travaille également à une version courte pour les services. Soignants, à vous de jouer !

Les dix commandements de l’Anssi

L’Agence nationale de la sécurité des systèmes d’information (Anssi) édicte dix règles simples, que chacun doit appliquer pour assurer sa sécurité et celle des autres sur Internet. Des principes qui valent pour le quotidien à la maison comme pour la vie professionnelle, dont voici un condensé :

1. Utiliser des mots de passe difficiles à retrouver à l’aide d’outils automatisés, et à deviner par une tierce personne.

2. Avoir un système d’exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu, etc.

3. Effectuer des sauvegardes régulières.

4. Désactiver par défaut certains composants (ActiveX et JavaScript).

5. Ne pas cliquer trop vite sur des liens. Mieux vaut d’ailleurs saisir soi-même l’adresse du site dans la barre d’adresse du navigateur.

6. Ne jamais utiliser un compte administrateur pour naviguer.

7. Contrôler la diffusion d’informations personnelles.

8. Ne jamais relayer des canulars.

9. Ne pas faire confiance machinalement au nom de l’expéditeur qui apparaît dans un message et ne jamais répondre à un inconnu sans un minimum de précautions.

10. Être vigilant avant d’ouvrir les pièces jointes d’un courriel. Par exemple, ne jamais ouvrir celles comportant les extensions .pif ; .com ; .bat ; .exe ; .vbs ; .lnk.

TROIS QUESTIONS À THOMAS BRÉARD

Thomas Bréard est infirmier et coordonnateur de transplantations au centre hépatobiliaire de l’hôpital Paul-Brousse (AP-HP). Avec la start-up Instamed, il a conçu un outil informatique autour de la greffe. Zoom sur la manière dont il a traité la sécurité.

La sécurité des données était-elle centrale dans l’outil que vous avez développé pour suivre les patients en attente de greffe ?

Pas uniquement. Il s’agit d’un dossier pour les patients en attente de greffe rein-pancréas, que nous ne voyons que deux fois par an, et pour lesquels nous ne disposons donc pas nécessairement de toutes les informations nous permettant de savoir si nous pouvons leur proposer des greffons. Au début, nous travaillions avec un fichier Excel partagé pour mettre à jour ces informations et éviter que des patients ne se retrouvent sans greffon du simple fait du manque d’information. Nous savions que nous n’étions pas dans les clous en matière de sécurité, mais en plus, cela n’était pas optimisé pour développer notre programme de greffe.

Comment avez-vous résolu le problème de la sécurité ?

Nous avons eu la chance de travailler avec la start-up Instamed, qui était déjà validée par l’AP-HP sur les questions de sécurité des données, et qui est agréée HDS (Hébergeur de données de santé). Nous n’avions donc pas de stress particulier là-dessus.

En tant qu’infirmier, comment jugez-vous les connaissances de la profession en matière de sécurité informatique ?

Nous ne sommes pas du tout formés au numérique. On le voit bien dans les services où, malheureusement, on constate souvent que les ordinateurs sont ouverts et utilisables par tout le monde. Je pense que beaucoup se disent qu’ils utilisent des outils protégés, puisque validés par les directions. Il y a toute une culture à changer, et c’est d’autant plus important aujourd’hui que le numérique est en train de devenir notre cœur de métier.