Depuis le début de la crise de la Covid-19, les hôpitaux
ont été particulièrement exposés aux risques cyber (phishing, dénis de
services, Trojan ou encore ransomwares). Les cyberattaques ciblant les
hôpitaux auraient bondi de 475 %, soit 5 fois plus qu’habituellement, selon une étude menée par un fournisseur
européen de solutions d’antivirus. Interpol, des anciens chefs d’État et
dirigeants d’entreprises ont d’ailleurs réagi en prônant une action forte des
États pour lutter contre ce phénomène.
De nombreux établissements de santé à l’échelle internationale ont été
impactés. Que ce soit par exemple aux États-Unis, avec plus de 500 000 enregistrements de données patients dérobées, ou au
niveau européen, avec des incidents notamment déclarés en Angleterre, en
République Tchèque, en Roumanie et en France. On distingue deux grands types
d’attaques lucratives contre les hôpitaux : l’extraction de données de santé
et les ransomwares.
Un secteur stratégique mal armé face au
risque cyber
Le monde de la santé connaît un retard important en termes de
sensibilité et de moyens financiers dédiés à la cybersécurité. Par ailleurs, ce
secteur est une cible de premier choix pour les hackers, puisque
plusieurs réseaux – aux niveaux de confidentialité ou de sensibilité différents
– cœxistent dans un hôpital, et parfois, avec un défaut de segmentation qui
peut laisser des cybercriminels naviguer aisément de l’un vers l’autre. Les fortes
tensions des hôpitaux pendant la crise de la Covid-19 ont également encouragé les hackers à se concentrer sur ce
secteur et à lancer des campagnes massives auprès de structures devenues plus
vulnérables.
Ces différentes cyberattaques montrent la nécessité d’investir
aujourd’hui plus massivement pour protéger le monde hospitalier, dont la
continuité d’activité est essentielle à la protection des vies humaines, et
ceci, en prenant en compte les nombreuses portes d’entrée qui composent la
surface d’attaque des établissements de santé.
Sécuriser les projets liés au développement de l’e-santé
Avec la transformation numérique que connaît le monde de la santé et la
nécessité de mailler et de connecter les grands hôpitaux du territoire entre
eux, ce manque de moyens que connaissent les établissements en matière de
cybersécurité est exacerbé.
On note aussi une mutation dans la relation entre le patient et le
personnel soignant, avec l’apparition des outils comme la télémédecine, les
plateformes de prise de rendez-vous ou encore les chatbots. Ces
nouvelles technologies s’appuient sur les avancées techniques que connaissent
les plateformes Cloud, mais ces nouvelles applications médicales viennent
parsemer le système d’informations et les données médicales à différents
endroits, complexifiant ainsi la notion de périmètre à protéger. Cette
émergence va également de pair avec la seconde avancée technique que
connaissent les dispositifs médicaux connectés. Tensiomètre, défibrillateur ou
encore pompe à insuline, la connexion de ces dispositifs constitue une
évolution majeure pour le monde de la médecine, mais peut représenter dans le
même temps une faiblesse face aux cyberattaques. La prise de contrôle d’un
robot de chirurgie par un cyber attaquant suffit comme seul exemple. Les objets
connectés sont également de plus en plus déployés et intégrés au sein du
système d’information hospitalier afin de faciliter la gestion du dossier
médical numérique.
On se retrouve ainsi avec une multiplication et une hétérogénéité des équipements
qui complexifient grandement la gestion des infrastructures IT et de leur cyber
sécurité. En outre, la barrière entre le système d’information administratif et
les environnements opérationnels où se situent les équipements médicaux
connectés est très réduite. La perméabilité des différents réseaux est, de ce
fait, un nouveau point de faiblesses des infrastructures hospitalières.
Si on ajoute à cela l’ouverture toujours plus grande des systèmes
d’information de santé vers les organismes externes ou établissements médicaux
tiers, la menace pesant sur le domaine devient systémique.
Renforcer la sécurité opérationnelle des
hôpitaux
Le Système d’Information (SI) de l’hôpital étant largement connecté et
automatisé, il faut prendre en compte la perspective de cybersécurité dans les
réseaux opérationnels (OT) pour comprendre ses vulnérabilités, et notamment
dans tous les aspects liés à la gestion technique du bâtiment (GTB) et à la
gestion technique centralisée (GTC), qui aujourd’hui se mettent au service des
praticiens et des patients pour assurer une température idéale dans le bloc
opératoire, ou un refroidissement optimal des gros équipements médicaux. C’est
tout l’hôpital qui devient connecté et intelligent pour devenir un « Smart
Hospital ». Encore une fois, cela ne se fait pas sans risques cyber.
Citons pour exemple les sujets liés aux énergies ou aux fluides, qui
alimentent les environnements hospitaliers sensibles. Une cyberattaque qui
déréglerait le système de traitement de l’air dans un bloc opératoire ou
d’alimentation en oxygène en salle de réanimation constituerait un risque
sanitaire critique. Réussir à bloquer une activité pour laquelle des vies sont
en jeu représente un levier de chantage (ransomware) particulièrement
puissant.
Pour assurer
une bonne gestion technique des bâtiments hospitaliers, la première action à
réaliser est d’effectuer une cartographie des risques afin d’identifier les
équipements sensibles ou primordiaux, qui doivent être protégés en priorité.
Cette analyse est aujourd’hui bien appréhendée, mais elle est souvent mise en
œuvre à un instant T. Or, pour éviter tout risque cyber, il est important de la
mettre à jour à chaque ajout de nouveaux matériels qui peuvent avoir une
incidence sur le système d’information. Ceci se traduit par un suivi des traces
générées par les équipements sur le réseau et une vérification de la conformité
ou des écarts à la politique de sécurité afin de se protéger des menaces dans
le temps.
La seconde
étape vise ensuite à mettre en œuvre les solutions techniques qui permettront
de renforcer le niveau de sécurité cyber du système d’information en commençant
par les actifs les plus sensibles : postes de travail et contrôle du
réseau opérationnel (OT) via une segmentation réseau des différents
sous-systèmes échangeant de l’information, afin d’isoler les environnements les
plus critiques.
Protéger les données de santé face aux risques de fuite
Les données
de santé sont des informations ultrasensibles et critiques pour le
fonctionnement du service hospitalier, et donc des cibles de choix pour les
cyber-attaquants, car plus rémunératrices que de simples données personnelles.
Il ne faut également pas oublier le caractère confidentiel de ces données et la
confiance qu’un patient accorde à l’hôpital qui le suit. Au-delà des vols et
fuites de données, les risques cyber touchent également au respect de
l’intégrité des données de santé lors de phases de traitement, de stockage et
d’échange.
Pour
diminuer ces risques, plusieurs bonnes pratiques sont à mettre en œuvre. Tout
d’abord, sensibiliser et faire monter en compétences le personnel soignant
ainsi que les patients. En effet, ces derniers ne sont pas toujours conscients
des conséquences qu’une mauvaise manipulation de leurs propres données pourrait
générer. Ensuite, il est indispensable de se mettre en conformité vis-à-vis des
différents référentiels et réglementations existants, comme par exemple le RGPD
et la Directive NIS au niveau européen, ou encore le Code de la santé publique
(et l’article relatif aux
hébergeurs de données de santé), l’instruction interministérielle française n° 901 (relative a` la protection des
systèmes d’information sensibles) au niveau français, mais aussi de s’assurer
du bon traitement des données de santé, que ce soit au niveau des applications
métiers et des interconnexions, par le biais des communications sécurisées et
l’anonymisation des données lorsque cela est possible. Et enfin, bien que la
plupart des échanges soient réalisés via des applications métiers
sécurisées, il est aussi vital de pouvoir communiquer par mail en toute
sécurité. Face à l’urgence médicale, des transmissions des dossiers peuvent
parfois être faites par ce biais. Il est alors recommandé d’utiliser une
solution de chiffrement de mail pour assurer la confidentialité des échanges et
des données de santé qui sont partagées.
Mettre en place une cyber-résilience
Bien que
fortement exposées, les infrastructures des hôpitaux ont néanmoins démontré
leur capacité de résilience pendant la crise de la Covid-19. Pour autant, cette
situation pourrait se dégrader dans le futur au regard de l’évolution constante
de la menace, et il convient de mieux armer les professionnels de santé face au
risque cyber. Cette prise de conscience doit positionner la cybersécurité au
cœur des enjeux de transformation de ce secteur et permettre d’accéder à des
budgets cohérents pour une protection efficace contre les cybermenaces, en
élevant, notamment, les niveaux d’expertise, pour être en mesure d’identifier
les signaux évidents ou précurseurs d’une cyberattaque, de mettre en place les
mesures techniques et organisationnelles qui visent à mitiger puis à éradiquer
la menace, et enfin d’analyser chaque événement ou incident afin d’améliorer
encore la sécurité. Cela passe aussi par l’augmentation de la résilience du
système d’information hospitalier, la question n’étant pas de savoir si on se
fera attaquer, mais quand l’attaque va arriver. Cette cyber-résilience consiste
tout d’abord à assurer une protection la plus rapprochée possible des
équipements ayant un enjeu vital pour le bon fonctionnement de l’hôpital. Ceci
afin d’assurer un fonctionnement minimal durant une cyberattaque et de
permettre un retour à la normale le plus rapidement possible. Outre les plans
de continuité et de reprise d’activité, la cyber-résilience des établissements
de santé s’appuie sur la mise en place d’une gouvernance dédiée à
l’amélioration continue de la sécurité du système d’information hospitalier, en
intégrant les dimensions IT (système d’information administratif), OT
(équipements opérationnels médicaux) et IOT (objets connectés). Ceci passe par
l’organisation d’une équipe transverse, pleinement supportée par l’équipe de
direction, et dont la mission est d’assurer un partage d’expérience entre les
équipes des directions informatique, cybersécurité, technique, logistique et
les chefs de service hospitalier.
Stéphane
Prevost,
Product
Marketing Manager chez Stormshield