Les systèmes de santé sous-estiment leur fragilité face aux cyberattaques lorsqu’une défaillance des services essentiels survient
Une récente simulation d’envergure révèle des vulnérabilités critiques dans la préparation des établissements de santé face aux cyberattaques combinées à des pannes d’infrastructures majeures, notamment l’eau.
Un rapport issu de l’exercice « Hobby 2025 » met en lumière une réalité alarmante : les systèmes de santé pourraient être bien moins résilients qu’ils ne le pensent face à une cyberattaque d’envergure, surtout lorsque des dépendances essentielles, comme l’approvisionnement en eau, sont touchées. L’exercice, qui a cette année étendu son périmètre au secteur de l’eau, a démontré comment la défaillance de services vitaux complique considérablement la réponse cybernétique et les opérations cliniques. Les conclusions dressent un constat sans appel : les procédures de gestion d’incidents, souvent conçues en partant du principe de services publics stables et de pannes de courte durée, recèlent des risques cachés majeurs lorsque ces hypothèses ne se vérifient pas.
« Les organisations du secteur de la santé ne sont peut-être pas pleinement conscientes de l’étendue et de la nature spécifique des opérations et des processus soutenus par des dépendances critiques », souligne le rapport. L’exercice a également contraint les dirigeants à envisager les effets secondaires et tertiaires, tels que le ralentissement de la demande dans les centres de données ou les interdépendances avec les fournisseurs. Peu d’équipes ont déclaré avoir une cartographie exhaustive de ces dépendances ou une vision claire de la manière dont les services publics prioriseraient les restaurations lors d’incidents régionaux.
Une préparation multipartite au sein de l’hôpital, gage d’efficacité
Une réponse efficace à de telles crises repose inévitablement sur des relations préexistantes solides entre les départements informatique et sécurité, les opérations cliniques, l’ingénierie, les services juridiques, les ressources humaines et la communication. Les équipes disposant de délégations de pouvoir claires et ayant pratiqué des transferts de responsabilités – passant de la direction clinique ou de l’ingénierie en cas de défaillance de service à la direction de la sécurité ou de l’informatique dès qu’un élément cybernétique apparaît – ont obtenu de meilleurs résultats lors de la simulation.
« Réagir efficacement aux cyberincidents complexes nécessite un effort multipartite. » Les exercices réguliers, les simulations sur table et les réunions interministérielles organisées en amont d’une crise se sont révélés cruciaux. Les participants ont insisté sur le fait que ces relations ne peuvent être forgées dans l’urgence d’une panne, alors que la prise en charge des patients est menacée.
Coordination externe et rôle des pouvoirs publics en question
Au-delà des murs de l’établissement, les participants ont exprimé des incertitudes quant à la compréhension par les fournisseurs critiques de la dépendance des hôpitaux à leur égard et à la rapidité de rétablissement des services en cas d’événements généralisés. Des interrogations ont également émergé sur la manière dont les agences étatiques, locales et fédérales prioriseraient les travaux de rétablissement, sur l’impact potentiel des changements de politique sur les rôles et sur les modalités concrètes d’un partage d’informations bidirectionnel.
Le partage d’informations intersectoriel demeure vital, alors que les acteurs malveillants ciblent de plus en plus les infrastructures critiques avec l’objectif de perturber leurs opérations. Des forums régionaux pérennes, des exercices récurrents impliquant les services publics et les agences gouvernementales, ainsi que l’établissement de relations individuelles de premier niveau avec les principaux fournisseurs sont apparus comme des étapes pragmatiques pour l’avenir.
Recommandations concrètes pour Health-ISAC, le gouvernement et les prestataires
L’exercice a débouché sur des recommandations ciblées : Health-ISAC doit renforcer la formation de ses membres sur les ressources disponibles et les cadres juridiques du partage d’informations ; les partenaires gouvernementaux doivent clarifier leurs offres, améliorer les flux de renseignements bidirectionnels et définir des priorités pour les incidents à grande échelle ; quant aux fournisseurs, ils doivent dresser un inventaire des dépendances critiques, tester les redondances et réviser leurs plans d’action pour les événements multi-vecteurs.
Pour une préparation optimale, il est conseillé de :
* Établir et maintenir une cartographie dynamique des dépendances critiques (eau, électricité, connectivité, refroidissement) et tester les plans de basculement pour chacune.
* Pré-autoriser les changements de rôles dans la gestion des incidents (clinique/ingénierie → Sécurité/TI) pour les événements mêlant défaillance de services publics et cyberattaque, et s’exercer à ces transferts.
* Établir des contacts et des canaux de communication privilégiés avec les services publics et les fournisseurs clés, et convenir de ce que signifie une « restauration prioritaire » lors d’incidents régionaux.
* Organiser des tables rondes intersectorielles semestrielles avec les agences publiques et les fournisseurs, afin de capter et d’intégrer des mises à jour spécifiques des plans d’action.
* Sensibiliser les dirigeants et les conseillers aux aspects du partage autorisé d’informations cybernétiques, et aligner les politiques sur les cadres juridiques et réglementaires existants.
« Il est impossible d’établir efficacement de véritables relations de travail entre les différents éléments de réponse aux incidents d’une organisation durant la période stressante et limitée en temps d’un incident en cours », conclut le rapport.