[Billet d’humeur] Les associations professionnelles pointent de plus en plus la dépendance des systèmes hospitaliers vis-à-vis de Microsoft. Et les investissements en cours ne changent pas la donne.

« Microsoft a su créer une « addiction » auprès des entreprises et des administrations de toutes tailles… Les organisations se trouvent dans la quasi-impossibilité de se passer des annuaires de l’éditeur. » C’est en ces termes que l’association InterCert* décrivait, en février dernier sur son site web, la dépendance et les risques liés à ce fournisseur. Les aéroports, bourses… victimes, le 19 juillet dernier, du bug Microsoft-Crowdstrike ne contesteraient pas ce rôle central dans leurs systèmes d’information (SI), ni les risques associés.

Cette dépendance est encore plus marquée dans les systèmes d’information hospitaliers. En l’absence de directives claires données par leur ministère sur les choix logiciels à faire, de nombreuses directions hospitalières ont opté pour Microsoft Office couplé à l’annuaire. De plus, en raison de la commercialisation agressive de l’éditeur, elles basculent souvent vers Office 365 et l’annuaire en ligne d’Azure. Apparemment, la bureautique est devenue vitale dans un système de soins ! Et elle est impérativement couplée à l’Active Directory de l’éditeur. Sur le terrain, les DSI hospitalières tentent tant bien que mal de sécuriser cet outil, l’une des portes d’entrée des hackers, que ce soit pour des ransomwares, des attaques par déni de service ou autres. « Protéger un AD est une tâche sans fin : quelle que soit la direction où l’on regarde, on trouve une ribambelle de failles de sécurité… » Ce sont là quelques lignes parmi d’autres de la troisième version d’un guide édité par l’association des DSI hospitaliers, l’APSSIS, en décembre dernier. Sur le terrain, environ 250 cyberattaques ont été menées contre les hôpitaux en France en 2023.

Ces constats n’ont apparemment pas trop ému, pendant longtemps, l’Agence du Numérique en Santé, un groupement d’intérêt public dépendant du ministère des Solidarités et de la Santé, chargé de développer et de sécuriser le secteur. Cependant, face à l’augmentation des cyberattaques, l’État a présenté en décembre 2023 un plan d’action baptisé CaRE, doté de 250 millions d’euros visant à sécuriser les établissements. Une première tranche de 60 millions d’euros a été affectée, notamment pour sécuriser les AD. Dommage ! Des montants de cet ordre auraient certainement permis de développer un annuaire dédié aux hôpitaux, sécurisé et plus facilement maintenable. Utopique ? La direction générale des Finances publiques utilise aujourd’hui un annuaire open source pour ses 100 000 agents. Le coût, comme le risque lié à « l’addiction à Microsoft », semble aujourd’hui de plus en plus insoutenable.

* InteCert a pour but est de préserver la sécurité des organisations publiques et privée et d’améliorer la réponse aux incidents cyber. L’association compte plus d’une centaine de membres comme Dassault Aviation, TotalEnergie …et aussi le CERT santé.