« Nous pensons qu’un cyber-Pearl Harbor ou un cyber-Tchernobyl sont très plausibles, probablement inéluctables », affirmait M. Henri Verdier, ambassadeur de France pour le numérique, à l’occasion du Forum international de la cybersécurité en janvier 2019. Afin de minimiser la probabilité de tels événements, la conformité juridique et la sécurité informatique doivent représenter une préoccupation constante des concepteurs et des fournisseurs de systèmes connectés.
L’actualité regorge d’exemples de cyberattaques dirigées contre des établissements de santé, qu’ils soient situés en France, dans l’Union européenne ou, plus généralement, dans le monde occidental.
Un hôpital privé de Loire-Atlantique (44) a été touché par plusieurs attaques informatiques entre le 14 mai et le 9 juillet 2019 sous la forme d’une campagne de mails frauduleux (ou phishing) adressés aux salariés du groupe et notamment aux utilisateurs d’Apicrypt.
En plein mois d’août 2019, c’était le tour d’un grand groupe de cliniques privées.
En octobre 2019, un centre hospitalier du Nord (59) était victime du rançongiciel Emotet, par l’intermédiaire d’un « faux mail d’alerte de l’Agence régionale de santé » envoyé dans une boîte de réception dédiée et utilisée par plusieurs agents. Les postes informatiques infectés se révélaient obsolètes puisque le système d’exploitation (Windows XP) était trop ancien pour admettre un antivirus. Le virus contenait une demande de rançon de 8 000 euros par poste infecté et, après un fonctionnement en mode dégradé pendant plusieurs semaines, le coût total de l’attaque et de ses conséquences a été estimé à 100 000 euros.
En novembre 2019, c’est un CHU de Normandie qui a été attaqué par le virus Clop, une variante de la famille des cryptovirus CryptoMix. Il s’agit d’un logiciel malveillant qui chiffre les données d’un réseau afin de réclamer une rançon en échange de la clé de déchiffrement. Une enquête a d’ailleurs été ouverte par le parquet de Paris pour « accès frauduleux, maintien frauduleux, modification et introduction frauduleuse et entraves au fonctionnement dans un système de traitement automatisé de données à caractère personnel mis en oeuvre par l’État, en bande organisée » et pour « extorsion et tentative d’extorsion en bande organisée ».
D’après M. Vincent Trély, président de l’Association pour la promotion de la sécurité des SI de santé (Apssis), il ne se passe plus une semaine sans qu’un établissement de santé ne fasse l’objet d’une cyberattaque.
Cela étant, si l’édifice normatif consacrant un véritable droit commun de la cybersécurité apparaît robuste, il importe de garder à l’esprit que, contrairement aux banques ou aux centrales nucléaires, l’établissement hospitalier, en tant que lieu de soins, évolue dans un milieu ouvert, ce qui élève le niveau de risque de façon significative.
Le secteur de la santé : une activité d’importance vitale encadrée par un droit commun de la cybersécurité sur le plan européen
Il n’est pas inutile de rappeler que l’année 2016 a consacré le « printemps européen des données », à travers trois dates :
- le 27 avril 2016 (règlement général sur la protection des données) ;
- le 8 juin 2016 (directive UE 2016/943 sur le secret des affaires et les renseignements stratégiques) ;
- le 6 juillet 2016 (directive UE 2016/1148 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des SI dans l’UE).
La directive UE 2016/1148 a imposé aux États membres d’adopter une stratégie nationale en matière de sécurité des réseaux et des SI ainsi que la mise en place de centres de réponse aux incidents de sécurité informatique.
Elle cherche à favoriser la coopération en la matière et édicte des exigences de sécurité minimales pour les opérateurs de services essentiels (OSE) et maximales concernant les fournisseurs de services numériques.
Cette directive a été transposée par la loi n° 2018-133 du 26 février 2018, laquelle a renvoyé au décret n° 2018-384 du 23 mai 2018 le soin de fixer la liste des services essentiels et les modalités de désignation des OSE, sans oublier les fournisseurs de services numériques.
Rappelons qu’au terme des dispositions réglementaires issues de ce bel édifice « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre » de l’Union européenne, c’est-à-dire tout établissement de santé, qualifié d’opérateur de services essentiels, dispose d’un délai expirant le 1er octobre 2020 pour mettre en oeuvre les 23 règles d’hygiène et de sécurité informatique, édictées à l’annexe I de l’arrêté du 14 septembre 2018.
Le respect de cette échéance se heurte toutefois à des difficultés pratiques, dans le détail desquelles nous n’entrerons pas, et à l’absence de sanction prévue à l’encontre de l’inobservation de ces prescriptions.
Le secteur de la santé : un milieu ouvert sur la société élevant le niveau de risque et de vigilance
L’intrusion peut également venir de l’intérieur des établissements, comme en témoigne cette décision extrêmement importante de la Cour de cassation, passée presque inaperçue dans la presse professionnelle.
La Haute Cour a en effet jugé que le délit d’accès frauduleux à un système de traitement automatisé de données était caractérisé, dès lors que le praticien hospitalier, qui invoquait, pour se défendre, qu’il avait accédé aux ordinateurs de ses collègues uniquement pour rechercher des courriels susceptibles de lui être utiles dans le cadre d’un litige, n’avait pas l’autorisation de détenir le keylogger utilisé et avait donc contrevenu à l’article 323-3-1 du code pénal (Cass. crim., 16 janvier 2018, n° 16-87.168, publié au Bulletin).
Mais ce n’est pas tout.
Les objets connectés pullulent dans le milieu de la santé, en général, et le secteur hospitalier en particulier.
Des attaquants ont pu par exemple pirater des objets de santé, comme des pacemakers ou des pompes à insuline, menaçant la santé des patients : c’est pour éviter des tentatives d’assassinat que le vice-président américain Dick Cheney avait désactivé la connexion de son stimulateur cardiaque.
On a ainsi pu constater un défaut de chiffrement et de signature des mises à jour, permettant à l’attaquant de modifier la programmation de l’objet en se faisant passer pour le constructeur, permettant potentiellement une prise de contrôle hostile menant à un sabotage ou à une demande de rançon.
Autre vulnérabilité, il arrive que les données collectées par l’objet (par exemple un capteur de pouls ou de pression dans un bracelet) soient stockées et/ou transmises sans être chiffrées, devenant ainsi lisibles par n’importe qui.
La sécurité informatique n’est donc pas sérieusement prise en considération lors de la conception des objets connectés et des applications de smart city qui pourtant envahissent notre quotidien.
Il en est hélas de même de la conformité juridique, négligée par des concepteurs le plus souvent concentrés sur le développement de fonctionnalités pratiques et le plan marketing, alors que la sécurité technique et la conformité juridique sont les deux conditions essentielles à l’instauration de la confiance du citoyen, client et consommateur.
Ainsi, en manipulant, en transmettant et en stockant des données relatives aux habitudes de leur utilisateur, les objets connectés relèvent de l’application du règlement sur la protection des données personnelles. Si les données traitées sont considérées comme sensibles (données médicales notamment), la loi impose des précautions supplémentaires. Et pour les données de santé elles-mêmes, le code de la santé publique prévoit un régime particulier pour le stockage (l’hébergeur doit être certifié). Le couple RGPD/HDS n’est parfois même pas envisagé.
Obligation d’information des clients, de sécurisation des données, limitation de la durée de conservation, interdiction de stocker les données hors de l’Union européenne sauf dérogations… Le recours à un juriste est indispensable pour comprendre l’environnement réglementaire dans lequel les produits connectés doivent évoluer.
Le risque en cas de non-conformité, pour le promoteur d’un objet connecté ou d’une application, réside bien sûr dans l’atteinte à son image de marque, alors qu’elle représente un patrimoine immatériel considérable pour certaines entreprises. Quant aux sanctions pénales administratives, elles sont clairement exposées dans les textes issus du droit de l’Union européenne.
En somme, il est essentiel de replacer le risque sécuritaire et juridique au centre de la démarche de conception des services de smart city. Si la technologie fait courir aux citoyens un risque d’importance vitale, les mesures de sécurité doivent être adaptées en conséquence.
Certes, cette démarche représente un surcoût financier, des délais supplémentaires, et parfois une ergonomie ou une fluidité moindres. Mais notre liberté et notre sécurité le méritent bien, afin d’éviter un cyber-Tchernobyl.
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris