« La plus grande menace provient de l'intérieur des établissements »

LE QUOTIDIEN : Comment qualifiez-vous le degré de sécurité informatique des hôpitaux franciliens ?

REMI TILLY : En Ile-de-France, la sécurité informatique n'est pas de très bon niveau. En ce moment, nous accompagnons une vingtaine d'établissements, dont de gros hôpitaux comme ceux d'Argenteuil, de Versailles ou de Poissy-Saint-Germain-en-Laye. Leur budget global a beau dépasser les cent millions d'euros par an, l'informatique ne suit pas. Concrètement, cela pèche par plusieurs points : l'équipement technique, les bonnes pratiques et les moyens alloués aux équipes techniques, sous-dimensionnées par rapport aux enjeux.

Pour pirater un hôpital, vaut-il mieux être dedans ou dehors ?

J'ai connaissance d'une dizaine de demandes de rançons en 2016 auprès des hôpitaux franciliens, sur le même modèle que la récente attaque en Grande-Bretagne. La politique de la maison est claire : on ne paye pas les pirates. De plus, les données ont été restaurées dans 99 % des cas. Les attaques extérieures sont donc assez limitées.

Finalement, la plus grande menace, que l'attaque soit fortuite ou pas, provient de l'intérieur des établissements. L'année dernière, nous nous sommes glissés dans la peau d'un hacker extérieur et d'un employé malveillant. De l'extérieur, nous avons réussi à récupérer des données confidentielles de personnels ou de patients dans quatre hôpitaux sur vingt. De l'intérieur : vingt sur vingt en moins d'une journée ! La pire des choses à faire est d'enregistrer des mots de passe par défaut. N'importe quelle personne peut entrer dans le système et en exploiter les données.

Un autre test est révélateur : envoyez à cent personnes un email leur annonçant qu'elles ont gagné au loto, 25 d'entre elles l'ouvriront. Nous avons obtenu ce résultat en ciblant des agents de cinq hôpitaux. Et si l'email avait été lesté d'un virus ?

Que proposez-vous pour renforcer la protection et prévenir les attaques ?

La sensibilisation des agents est la meilleure des solutions. Les pirates fonctionnement selon le principe de diffusion massive d'emails infectés. Plus il y a de destinataires, plus le risque est grand d'ouvrir les portes au virus, à l'hôpital comme ailleurs.

Par ailleurs, les établissements s'ouvrent peu à peu vers l'extérieur avec des outils comme la prise de rendez-vous en ligne [que propose désormais l'AP-HP, NDLR] ou le paiement par Internet. Cela réclame d'emblée un nouveau travail de sécurisation, que ce soit sur les programmes informatiques ou pendant leur installation. 

Je crois enfin que les groupements hospitaliers de territoire ne vont pas améliorer les choses. Certes, on peut imaginer que l'instauration d'un seul centre de données pour tous les hôpitaux membres d'un même GHT pourra apporter une forme de sécurité physique. Mais le piratage ne fonctionne pas ainsi. En termes de sécurité informatique, qui dit GHT dit multiplication des réseaux à protéger.