Le 21 décembre 2020, dans le cadre d’une interview, le secrétaire général d’Interpol Jürgen Stock faisait le constat suivant: « Nous allons assister à des vols, à des cambriolages d’entrepôts et à des attaques lors du transport des vaccins ». Dans un contexte où de nombreux pays se trouvent déstabilisés par la pandémie de la Covid-19, la découverte d’un vaccin semble apporter autant d’inquiétudes que de soulagement. En effet, le secteur de la santé se trouve actuellement confronté à des menaces grandissantes (cyberattaques, espionnage industriel, sabotage, vol de données). La France met d’ores-et-déjà en place des mesures afin de permettre le succès de la campagne vaccinale.
Le secteur de la santé fait face à de nouveaux défis. L’apparition de la Covid-19 a profondément impacté les dimensions sécuritaires et sanitaires de l’ordre international. Si la santé est souvent considérée comme une priorité pour les États, son accès demeure conditionné au niveau du développement d’une part et des facteurs financiers d’autre part. En effet, il est possible de souligner l’existence d’une compétition très féroce à deux niveaux.
Le premier niveau concerne la lutte entre les plus grands laboratoires pharmaceutiques communément appelés Big Pharma. Ces géants de l’industrie, principalement suisse, américain et français (Novatris, Roche, Pfizer, Johnson & Johnson et Sanofi) ont généré des chiffres d’affaires oscillant entre 45 et 70 milliards de dollars en 2019. À ce titre, ils peuvent être considérés comme les GAFAM de la santé tant leur influence sur le marché de la santé est importante.
Le deuxième niveau de compétition intègre la guerre économique que se livrent les grandes puissances internationales telles que les États-Unis, la Chine, la Russie et l’Europe. À cette échelle, la détention d’informations (découverte d’un nouveau médicament ou d’un vaccin) ainsi que les avancées technologiques de la recherche en biologie et pharmacie constituent de véritables leviers d’influence dont les États n’hésitent pas à tirer profit. Les périodes pandémiques comme celles du Covid-19 ou encore de la Grippe A (H1N1), constituent des occasions pour ces États de mettre en avant leur puissance. L’idée consiste à faire rayonner leur savoir-faire au détriment de leurs concurrents et par conséquent s’arroger une place géopolitique dominante sur l’échiquier international. Cet élément a été soulevé par les observateurs médiatiques internationaux concernant la Russie : en réalité, l’annonce de la découverte d’un vaccin russe contre le Covid-19 par le président Vladimir Poutine a été davantage perçue par le département d’Etat américain comme un coup médiatique, une manœuvre d’encerclement cognitif permettant de favoriser la place de Moscou dans la course avec les grandes firmes chinoises et occidentales.
Ainsi, ces deux niveaux de compétition permettent de comprendre les tensions existantes entre les différents acteurs à la fois publics et privés du secteur de la santé incarnés par la course à l’innovation. Dans un contexte marqué par un état de concurrence accrue et féroce, plusieurs contraintes émergent et paralysent le secteur sanitaire. Ce dernier se trouve en réalité confronté à un ensemble de risques et de menaces, notamment criminelles qui nuisent de manière significative à sa sécurité.
L’explosion des attaques cyber dans le secteur de la santé catalysé par la pandémie
En dressant un état des lieux des principaux risques que connaît actuellement le secteur de la santé, il convient d’observer que la criminalité numérique constitue une menace majeure parmi celles qui se sont accrues ces derniers mois, notamment en France. Tout d’abord, le confinement a incité les entreprises à adapter leur mode de fonctionnement et d’organisation en promouvant le télétravail. Cela a constitué un terrain propice aux pratiques cybercriminelles ciblant les entreprises en général et le secteur de la santé en particulier. Par ailleurs, un article publié par Europe 1 a souligné qu’une cyberattaque cible en moyenne un hôpital tous les trois jours ce qui atteste de la gravité du problème. De plus, les laboratoires, ainsi que les centres de recherche qui se sont lancés dans une course pour créer un vaccin constituent une cible de choix pour les hackers. La vulnérabilité du secteur de la santé vis-à-vis des cyberattaques a également été mise en avant par le service sécurité de l'entreprise informatique IBM. Ce dernier a dévoilé en décembre 2020 une série de cyberattaques ayant visé des entreprises et des organisations gouvernementales chargées de la distribution de vaccins contre le Covid-19. L’un des incidents les plus percutants a été signalé le 29 décembre 2020 par l’Agence Européenne du médicament. En effet, l’organisation a subi une attaque visant à dérober un ensemble de documents relatifs à la mise sur le marché du vaccin Pfizer/BioNtech sans pouvoir identifier les responsables. Cela explique par ailleurs pourquoi la menace actuelle est principalement numérique : étant donné qu’il est difficile de dévoiler l’identité des assaillants, il est possible pour un pays ou une entreprise de dissimuler toute responsabilité et nier toute implication dans une attaque, dont une concernant le piratage que l’hôpital de Dax a subi le 12 février dernier, dont l’intégralité du système informatique fut touché, rendant ainsi l’hôpital non-opérationnel, dans un contexte de pandémie. Ces différentes attaques peuvent résulter à l’incapacité des services publics et privés à réagir voire anticiper les menaces dont elles peuvent être les victimes.
Toutefois, il existe aussi d’autres formes de menaces sur le secteur sanitaire, soulignées par Interpol dès novembre 2020. Dans un guide contenant des rapports d’évaluation publié en décembre 2020, l’organisation internationale explique que les entreprises pharmaceutiques, leurs installations de stockage ainsi que les réseaux de distribution de vaccin peuvent être pris pour cible par les réseaux criminels. Pour les malfaiteurs, il s’agit soit d’effectuer de l’espionnage industriel et voler des données afin de favoriser leur position dans la course au vaccin, soit d’effectuer du sabotage afin de nuire aux activités d’une entreprise concurrente. Le secrétaire général d’Interpol, Jürgen Stock déclarait par ailleurs que « la rencontre d’une demande forte et d’une offre limitée fera que les vaccins contre le COVID-19 deviendront aussi précieux que l’or pour les réseaux de criminalité organisée ».
Même si Interpol a émis un avertissement à l’échelle internationale afin de sensibiliser les différents acteurs du secteur sanitaire au comportement qu’elle juge « opportuniste et prédateur » du crime organisé, il existe encore certaines menaces qui ne sont pas prises en compte. Il s’agit plus précisément des campagnes de communication agressives menées contre des entreprises pharmaceutiques afin de décrédibiliser leurs vaccins. Ces derniers mois, Pfizer s’est retrouvé sous le feu des critiques dans des articles soulignant l’existence de liens entre le vaccin et certains décès. À cela s'ajoutent les militants anti-vaccins, très présents sur les réseaux sociaux pour persuader la population française, déjà sceptique vis-à-vis de la vaccination selon les sondages, de s’opposer à la campagne vaccinale.
Face à ces différents risques présentés ci-dessus, plusieurs stratégies défensives ont été élaborées pour permettre d’améliorer non seulement la sécurité mais également la sûreté du domaine de la santé.
Stratégies et contre-mesures déployées pour protéger le secteur de la santé
Il s’agit désormais de présenter certaines mesures de protection permettant de remédier aux différentes menaces précédemment citées.
Au niveau étatique, l’usage des convois sous escorte armée est devenu une pratique courante mise en vigueur par plusieurs gouvernements notamment au sein de l’Union Européenne. Des pays comme l’Italie et même la France octroient aux forces armées nationales la responsabilité d’assurer le transport ainsi que la distribution des vaccins. Un dispositif de protection des convois complexes est ainsi mis en œuvre afin de protéger les vaccins. Les entreprises privées peuvent de leurs côté s’inspirer de ces mesures et faire appel au secteur de la sécurité privée afin de mieux répondre aux défis actuels.
En réalité, les entreprises de sécurité privée ont joué un rôle fondamental dans la protection d’importants établissements publics et privés, notamment les hôpitaux comme le souligne un rapport publié par la confédération européenne des services de sécurité. Le recours aux services de ces sociétés permet également de se prémunir contre les risques énoncés par l’Interpol (vols – cambriolage – sabotage).
Selon une étude réalisée par EfficientIP et ID, quatre établissements sur cinq, qu’ils soient publics ou privés, constituent les cibles de cyberattaques causant des dégâts estimés à 1 million de dollars en moyenne par incident. Pour contrer cette menace, plusieurs observateurs mettent en avant la stratégie de sécurité Zero-Trust et la nécessité de l’appliquer dans tous les établissements du secteur de la santé. Cette approche approfondit la sécurité des systèmes informatiques en encadrant non seulement les terminaux mais également les utilisateurs ainsi que les flux de données. Le développement de systèmes de communication sécurisés se présente ainsi comme une priorité pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui, dans ce contexte de crise sanitaire, recommande à l’ensemble des établissements du secteur de la santé de prendre les mesures nécessaires afin d’améliorer la sécurité de ce domaine.
Un dernier élément à prendre en compte concerne les flashs d’ingérence économique, publiés par la Direction Générale de la Sécurité Intérieure (DGSI), important à consulter en raison des recommandations proposées dont l’application est nécessaire. En l'occurrence, la DGSI recommande aux entreprises françaises de réduire leur exposition médiatique en considérant que la visibilité accroît la vulnérabilité notamment dans la conjoncture actuelle. Le service de renseignement intérieur conseille également aux entreprises de faire preuve de méfiance face à la multiplication des tentatives d’escroqueries dont une part – non négligeable – d’entreprises françaises a été victime. L’institution va en ce sens en proposant un rapport incitant ces dernières à évaluer en permanence l’honorabilité de leurs clients.
In fine, il est possible de dresser le constat suivant : si la sécurité du secteur sanitaire se présente actuellement comme une priorité, les menaces ne cessent d’évoluer à un rythme croissant. Cela exige une élaboration plus dynamique de solutions et de contre-mesures de la part des acteurs de ce domaine. Par ailleurs, des stratégies coopératives entre les secteurs public et privé commencent à se structurer au sein du domaine de la santé. La question est de savoir si ce rapprochement entre les deux univers pourrait remédier à cette insécurité grandissante ou au moins soulager les tensions qui paralysent le secteur sanitaire sur le court terme.
Juliette DAL MASO pour le Club Sûreté de l’AEGE
Pour aller plus loin :