Longtemps ignorés, notamment dans le secteur de la santé, les cyber-incidents sont désormais une réalité pour toutes les entreprises, y compris les LBM, d’autant qu’ils connaissent une croissance exponentielle. Nous faisons le point avec Bruno Gauthier, ‎membre du bureau national du SDB, trésorier de la Sfil (Société française d’informatique de laboratoire) et fondateur d’une plateforme de gestion des cyber-risques.

Télécharger l'article de Biologie Médicale 115

Tous les secteurs professionnels touchés 

Quel que soit le secteur d’activité, plus de 80% des structures françaises ont subi au moins une cyber-attaque dans l’année. La France figure dans le top 10 des pays les plus touchés et tous les types d’entreprises sont concernés (voir sur le sujet les études du Cesin -le Club des experts de la sécurité de l'information et du numérique-, et du Cabinet PWC).
 

Les laboratoires trop vulnérables

Le Syndicat des Biologistes de Bretagne Pays-de-Loire, dont Bruno Gauthier est également président, a lancé une campagne d’hameçonnage (ou « fishing », technique utilisée par des fraudeurs pour usurper les identités) auprès de 500 biologistes, pour évaluer la maturité des LBM face à ces attaques. Les chiffres sont édifiants : 80% des biologistes avaient au moins cliqué sur un mail et 100% des laboratoires auraient pu être attaqué avec succès, voire contrôlé à distance après l’intrusion dans leur système informatique.
 

Un risque majoré par la manipulation des données de santé 

Or, si les laboratoires de biologie médicale ne sont pas plus visés que d’autres entreprises, ils manipulent des données (les données médicales des patients) particulièrement sensibles. Or l’informatique est désormais omniprésente sur toute la chaîne de traitement des examens biologiques (automates, outils de pilotage des plateaux techniques, identification du patient, prescription connectée, serveurs de résultats…). Et ce, dans un contexte de concentration en multi-site. Nos systèmes d’information du laboratoire (SIL) nécessitent donc une mise en conformité plus que rigoureuse.
 

Un cadre législatif de plus en plus contraint

De nouvelles mesures réglementaires, françaises et européennes, obligent les biologistes médicaux à se saisir rapidement du sujet de la cyber-sécurité.

• Le règlement général sur la protection des données ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés le 14 avril 2016 par le Parlement européen. Ces dispositions, directement applicables ou en cours de transposition dans le droit national, renforcent les obligations des LBM. 

La France met en place un système de collecte des incidents survenus dans les systèmes d’information des laboratoires, des établissements de santés et des cabinets de radiothérapie de façon à alerter l’ensemble de ces professionnels en cas de cyber-attaques. Ce nouveau dispositif va imposer aux entreprises de revoir leur politique de conformité informatique et libertés.
 

• Parallèlement à cette obligation de déclaration à compter du 1er Octobre 2017, la DGS dans une circulaire du 5 décembre, a donné un plan d’action pour réduire le cyber-risque à 6, 12 et 18 mois opposable aux établissements de santé et aux laboratoires 

En clair, résume Bruno Gauthier, « les laboratoires vont devoir mettre en place une véritable politique de protection de données (plan de continuité d’activité et de reprise d’activité en cas de cyberattaque), mais aussi de s’assurer que les solutions mises en place répondent à l’état de l’art. Ils vont devoir s’entourer d’experts pour, en cas de suspicion d’attaque, évaluer correctement l’impact ».
 

Des risques financiers à anticiper

Les conséquences de ces nouvelles mesures seront loin d’être neutre pour nous : outre les sanctions financières très lourdes qui pèseront sur nos laboratoires en cas de non-respect des nouvelles règles, les conséquences directes et indirectes d’une cyberattaque sur la réalisation des examens de biologie d’un laboratoire sont importantes :

• Frais de reconstitution de données,
• Frais de décontamination virale
• Frais supplémentaires d’exploitation (personnel, utilisation d’équipement extérieur…)
• Honoraires d’experts pour identifier l’origine et les circonstances d’un sinistre
• Frais de recours
• Éventuelles rançons (le cas est récemment arrivé…) 

Anticiper pour minimiser les risques

Il est donc urgent que nous prenions des mesures dans chacun de nos laboratoires. Plusieurs solutions sont aujourd’hui envisageables pour se prémunir des cyber-attaques :
 
1- La prévention

• Réaliser un audit de sécurité de son système informatique
• Sécuriser son système d’information conformément à l’état de l’art
• Former le personnel à identifier une cyber-attaque et à réagir en conséquence
• Vérifier les connaissances du personnel des laboratoires quant aux risques de cybercriminalité (70% des attaques sont liées à l’homme).
• Assurer son laboratoire contre les criminalités numériques (les responsabilités civiles ne couvrant pas ce type de risque). 

2 - Le diagnostic

• En cas d’attaque avérée les assureurs ou le laboratoire peuvent s’appuyer sur des sociétés spécialisées dans le cyber-risque qui sont aptes à :
  • Réaliser un diagnostic
  • Limiter la contamination
  • Déterminer l’origine de la contamination
  • Accompagner les laboratoires dans les paiements des rançons en bitcoin
  • Gérer la crise
  • …