Les hôpitaux semblent être mal préparés à cette urgence qu’est la sécurité de leurs systèmes d’information. Dans plusieurs régions du monde, en Europe et aux Etats-Unis notamment, les services hospitaliers font l’objet d’attaques aussi sophistiquées que celles visant d’autres secteurs comme les banques et les télécoms. Bien que cela ne fasse pas grand bruit, le système sanitaire africain n’est pas à l’abri de la menace cyber.
Il serait hasardeux de croire que le système sanitaire africain est épargné par les cyberattaques. « Ce n’est pas parce qu’il n’y a pas eu de cas recensé qu’il faut conclure que des attaques ne sont pas en cours. C’est lorsque ces attaques prennent de l’ampleur ou qu’elles mettent à l’arrêt tout le système que généralement tout le monde le constate. Il ne faut donc pas se leurrer », avertit l’ingénieur togolais en réseaux, télécoms et cybersécurité des systèmes complexes, Sam Kodjovi Adambounou, Directeur général de GCENT Consulting Sarl.
Comme ailleurs, sur le continent, le système sanitaire regorge d’informations susceptibles d’attirer la curiosité des cybercriminels. Les données personnelles des patients, les informations d’assurance ou encore des données de paiement font l’objet de convoitise. « Les données de santé sont très sensibles. Et l’un des secteurs qui utilise aujourd’hui beaucoup de données en termes de prédiction, de valeur ajoutée, c’est le secteur de la santé, de la pharmacie et de l’assurance. Avec l’IA, ces données sont importantes pour prévoir l’évolution d’un certain nombre de maladies. Cela intéresse le secteur de la pharmacie pour préparer des médicaments ; le secteur de l’assurance pour savoir quelle maladie assurée ou pas. Les données de la santé peuvent permettre d’anticiper aussi des prises en charge. »
Autant d’enjeux qui expliquent l’intérêt des cybercriminels qui s’attaquent au système sanitaire. De l’espionnage industriel ciblant le secteur de la pharmacie aux tentatives de fraudes en passant par les rançons, ces malfrats du numérique n’ont pas de limites. Aussi, Sam Kodjovi Adambounou pense qu’il est crucial d’attirer l’attention des acteurs de la santé sur les exigences des lois sur la protection des données, surtout celles à caractère personnel.
Ceci est important parce que la digitalisation du système de santé s’accélère partout sur le continent. Jusque-là épargnés, ces établissements qui utilisent plutôt des applications propriétaires non ouvertes au grand public, ne sauraient l’être plus longtemps. Car, explique l’ingénieur togolais, « nos systèmes sanitaires commencent par utiliser des applications grand public, avec tous les risques y afférents ». Les dangers de cette intégration numérique sont, entre autres, l’utilisation d’applications obsolètes, l’impréparation à la digitalisation.
Des menaces réelles à regarder de près
Fin mai, Jean-Michel Tavernier, country manager France et Iberia, Armis disait dans une tribune que les établissements de santé, qu’ils soient publics ou privés, semblent tous pâtir de la même impréparation devant les cyberattaques. « Mais plus alarmant, quel que soit le type d’attaque, toute perturbation dans la chaîne de soins de santé a des conséquences sur la qualité et la continuité des soins. Sans exagérer, une gestion de la surface d’attaque (ASM) de ces établissements est cruciale pour la santé des personnes et la bonne marche de nos sociétés. »
Cette analyse de l’expert d’Armis devrait être un signal pour les acteurs des pays du Sud à préparer dès maintenant le secteur à faire face aux menaces cybers.
Le système sanitaire en Afrique se connecte de plus en plus au monde extérieur à travers des outils numériques. Les hôpitaux, du simple fait de disposer désormais en leur sein de la connexion internet accessible depuis du matériel informatique en local ou à l’extérieur, sont exposés à toutes sortes de vulnérabilités. Touché par la fièvre de la digitalisation, le secteur hospitalier s’ouvre à l’innovation, mais à quel prix ?
« Lorsque tout l’hôpital est à l’arrêt, les médecins ne peuvent pas accéder aux données des patients, puisque les carnets sont aujourd’hui digitalisés. Et c’est de la catastrophe. C’est pourquoi il faut regarder de près la question de la cybersécurité et protéger le cyberespace des hôpitaux d’autant plus qu’on observe une recrudescence des applications numériques utilisées dans les hôpitaux. Avec les risques que cela comporte, il est nécessaire de relever le niveau de sécurité des systèmes sanitaires, si l’on veut aller vers la digitalisation des systèmes de soins de santé », préconise Sam Kodjovi Adambounou, également expert en gouvernance de l’information & protection des données personnelles, transformation digitale & entrepreneuriat, par ailleurs spécialiste des systèmes de management de la sécurité (ISO 27001) et de continuité d’activités (ISO 22301).
C’est donc à juste titre qu’il insiste : « On ne peut avancer dans la digitalisation sans préparer des plans de continuité d’activité, de reprise informatique. Lorsque tout le système est à l’arrêt et qu’on n’a pas de plan B, des solutions manuelles, c’est un vrai danger. Il faut donc digitaliser en prenant en compte ces risques. »
Contacter son médecin via une application mobile ou web, prendre rendez-vous ou même se faire consulter en ligne devient une pratique courante dans plusieurs pays d’Afrique. Selon l’Organisation mondiale de la santé (OMS), la menace touche l’ensemble de la chaîne d’approvisionnement des services de santé. « Des sociétés de biotechnologie, des entreprises de logistique, des fabricants de vaccins, des établissements de recherche universitaire, des sociétés pharmaceutiques, des laboratoires de diagnostic, des fournisseurs de services informatiques spécialisés, des fournisseurs d’infrastructures numériques et des fabricants de dispositifs médicaux… De plus en plus interconnectées grâce au numérique, toutes ces organisations ont déjà été la cible de cyberattaques », révèle l’OMS dans une publication de février 2024 titrée “Cyberattaques contre les infrastructures de santé critiques”.
Le vol de données dans le milieu hospitalier expose les patients et compromet leur sécurité. De même, la perturbation du fonctionnement des services de santé, allant jusqu’à la fermeture des établissements dans les cas extrêmes, rend difficile l’accès aux soins.
Le remède
Selon les experts, la cybersécurité en milieu hospitalier doit faire l’objet de la même attention que dans les secteurs traditionnellement attaqués. Dans les pays du Sud où le mal semble pour l’instant épargné l’hôpital, il faut l’anticiper.
« Alors que les menaces se multiplient et que l’intelligence artificielle se déploie en force, il est indispensable aujourd’hui de disposer de moyens sophistiqués pour atteindre la maturité suffisante en matière de cybersécurité », préconise l’OMS dans sa publication de février 2024. Dans le même sens, la recommandation de Jean-Michel Tavernier, country manager France et Iberia, Armis, adressée aux acteurs de la santé en France peut être utile à ceux du continent africain. Il conseille en effet « d’adopter des technologies de protection proactives et d’avoir compris que nous sommes désormais dans un état de menaces cybers perpétuel ». « Cela suppose qu’il faut que les responsables du système sanitaire se sentent concernés par la problématique », renchérit Sam Kodjovi Adambounou de GCENT Consulting Sarl. « En l’état actuel, nos hôpitaux sont en danger par rapport aux risques cybers. Il faut les protéger, relever le niveau, former et attirer les meilleurs spécialistes de la cybersécurité », poursuit-il.
A l’OMS, la maturité numérique nécessaire à la sécurité informatique des centres de santé passe par l’investissement dans le capital humain. En outre, l’agence onusienne préconise aux hôpitaux de se doter d’un plan d’intervention en cas de cyberattaque et surtout, de renforcer la communication et la collaboration avec les services de lutte contre la cybercriminalité.
En fait, la lutte contre les cybermenaces en milieu hospitalier ne demande pas de réinventer la roue. Pour Jean-Michel Tavernier, des solutions existent et il s’agit de ne pas subir. Comment ? « En ayant une visibilité sur chaque appareil connecté au réseau de l’hôpital, pour identifier et en atténuer les vulnérabilités. » Ne jamais subir selon lui, c’est aussi ne jamais baisser la garde. Les hôpitaux doivent développer le réflexe “zero trust” qui demande plus de vérification et d’authentification.
Au niveau mondial, l’industrie de la santé a été classée 3ème des industries les plus attaquées en 2023. L’Afrique ne peut donc se déconnecter de cette réalité, étant connectée à l’industrie mondiale de la santé.
