Selon l’Internet Crime Report 2020 du FBI, la France se place en huitième place des pays les plus touchés par les cyberattaques. Ces dernières semaines, celles-ci ont été tellement virulentes sur le Système d’Information (SI) de certains hôpitaux que cela les a ramené au temps du tout papier. Dossiers patients, téléphonie, appareils chirurgicaux, gestion des médicaments, rendez-vous, affectation des lits : tout est à passer au stylo bic. Plus aucun ordinateur ne fonctionne, tous les logiciels sont inutilisables, tous les services, de soins comme administratifs, se retrouvent confrontés à un écran noir. Des opérations sont déprogrammées, les patients envoyés vers d’autres hôpitaux. Malgré cela il est impératif de continuer à assurer les urgences. Une autre crise qui s’ajoute à celle qui est déjà en cours. Par voie de conséquence l’hôpital est complètement désorganisé et bascule en mode dégradé, à la condition que cela ait été prévu et préparé à l’avance. Tout le personnel doit basculer en un clic d’un mode d’organisation à un autre.
Le rapprochement est osé mais c’est comme si le hacker, s’érigeant tel un Thanos, aurait recueilli les six Pierres d’Infinité : la Pierre du Pouvoir, la Pierre de l’Espace, la Pierre de Réalité, la Pierre de l’Âme, la Pierre du Temps et la Pierre de l’Esprit, pour détruire l’univers hospitalier. Et si vous n’avez pas vu le film, vous avez au moins regardé BFM et consorts. Et si ce n’est pas le cas, imaginez le chaos engendré par une désorganisation massive.
Dans le monde du « clic » and collect, les nouvelles technologies ont radicalement transformé le cœur de métier de l’hôpital. L’informatisation du soin dans la prise en charge du patient s’est considérablement élargi, bien au-delà du seul suivi des actions déjà réalisées. Cela ouvre encore plus de perspective pour tout chercheur de donnée de santé. Si on ajoute à ce constat l’entrée progressive de l’intelligence artificielle dans la santé, le combat risque d’être rude pour toute structure accueillant un patient. Ainsi le risque change de nature et de dimension. Les questions de sécurité dans la santé exigent de plus en plus de moyens. Or à ce jour, le secteur hospitalier ou de la santé a cumulé un retard important en termes de moyens financiers dédiés à la cybersécurité.
L’hôpital reste une cible de première choix pour les hackers tant que les niveaux de confidentialité ou de sensibilité peuvent différer d’un service à un autre. L’hôpital reste une multi-société où le chacun pour chez soit prévaut encore. La culture du silo est toujours prédominante. La trop forte segmentation facilite aux intrus la balade au sein des chemins du SI sans être facilement repéré. Actuellement, l’hôpital paie le prix fort du retard pris dans la sensibilisation du personnel à la cybersécurité. Si rien n’est engagé rapidement en terme d’accompagnement au changement, l’addition risque d’être salée, et ce même en termes de perte de vie humaine. La formation et la montée en compétences du personnel soignant et des patients doivent devenir une priorité sanitaire. Une mauvaise manipulation, de prime abord anodine, peut être une source de vulnérabilité qui peut entraîner de graves conséquences dans la chaîne du soin. Ces attaques démontrent que la continuité d’activité d’un hôpital est devenue un facteur stratégique dans tout système de santé. Et ce plus encore en phase de crise sanitaire.