Depuis le début de la crise du Covid-19, les hôpitaux ont été particulièrement exposés aux risques cyber (phishing, dénis de services, Trojan ou encore ransomwares). Les cyberattaques ciblant les hôpitaux auraient bondi de 475%, soit 5 fois plus qu’habituellement, selon une étude menée par un fournisseur européen de solutions d’antivirus. Interpol, des anciens chefs d’État et dirigeants d’entreprises ont d’ailleurs réagi en prônant une action forte des États pour lutter contre ce phénomène.
De nombreux établissements de santé à l’échelle internationale ont été impactés. Que ce soit pour exemple aux Etats Unis, avec plus de 500 000 enregistrements de données patients dérobées ou au niveau européen, avec des incidents notamment déclarés en Angleterre, en République Tchèque, en Roumanie et en France. On distingue deux grands types d’attaques lucratives contre les hôpitaux : l’extraction de données de santé et les ransomwares.
Le monde de la santé connait un retard important en termes de sensibilité et de moyens financiers dédiés à la cybersécurité. Par ailleurs, ce secteur est une cible de premier choix pour les hackers. Plusieurs réseaux aux niveaux de confidentialité ou de sensibilité différents coexistent dans un hôpital. Et parfois, avec un défaut de segmentation qui peut laisser des cybercriminels naviguer aisément de l’un vers l’autre. Les fortes tensions des hôpitaux pendant la crise du Covid-19 ont également encouragé les hackers à se concentrer sur ce secteur et à lancer des campagnes massives auprès de structures devenues plus vulnérables.
Sécuriser les projets liés au développement de l’e-santé
Ces différentes cyber-attaques montrent la nécessité d’investir aujourd’hui plus massivement pour protéger le monde hospitalier, dont la continuité d’activité est essentielle à la protection des vies humaines. Et ceci, en prenant compte les nombreuses portes d’entrée qui composent la surface d’attaque des établissements de santé.
Avec la transformation numérique que connaît le monde de la santé et la nécessité de mailler et de connecter les grands hôpitaux du territoire entre eux, ce manque de moyens que connaissent les établissements en matière de cyber sécurité est exacerbé.
On note aussi une mutation dans la relation entre le patient et le personnel soignant, avec l’apparition des outils comme la télémédecine, les plateformes de prise de rendez-vous ou encore les chatbots. Ces nouvelles technologies s’appuient sur les avancées techniques que connaissent les plateformes Cloud. Mais ces nouvelles applications médicales viennent parsemer le système d’information et les données médicales à différents endroits, complexifiant ainsi la notion de périmètre à protéger.
Des dispositifs médicaux connectés
Cette émergence va également de pair avec la seconde avancée technique que connaissent les dispositifs médicaux connectés. Tensiomètre, défibrillateur ou encore pompe à insuline, la connexion de ces dispositifs constitue une évolution majeure pour le monde de la médecine, mais peut représenter dans le même temps une faiblesse face aux cyberattaques. La prise de contrôle d’un robot de chirurgie par un cyber attaquant suffit comme seul exemple. Les objets connectés sont également de plus en plus déployés et intégrés au sein du système d’information hospitalier afin de faciliter la gestion du dossier médical numérique.
On se retrouve ainsi avec une multiplication et une hétérogénéité des équipements. Ils complexifient grandement la gestion des infrastructures IT et de leur cyber sécurité. En outre, la barrière entre le système d’information administratif et les environnements opérationnels où se situent les équipements médicaux connectés est très réduite. La perméabilité des différents réseaux est, de ce fait, un nouveau point de faiblesses des infrastructures hospitalières.
Si on ajoute à cela l’ouverture toujours plus grande des systèmes d’information de santé vers les organismes externes ou établissements médicaux tiers, la menace pesant sur le domaine devient systémique.
Renforcer la sécurité opérationnelle des hôpitaux
Le Système d’Information (SI) de l’hôpital étant largement connecté et automatisé, il faut prendre en compte la perspective de cybersécurité dans les réseaux opérationnels (OT) pour comprendre ses vulnérabilités. Et notamment dans tous les aspects liés à la gestion technique du bâtiment (GTB). Mais aussi à la gestion technique centralisée (GTC), qui aujourd’hui se mettent au service des praticiens et des patients pour assurer une température idéale dans le bloc opératoire, ou un refroidissement optimal des gros équipements médicaux. C’est tout l’hôpital qui devient connecté et intelligent pour devenir un Smart Hospital. Encore une fois, cela ne se fait pas sans risques cyber.
Citons pour exemple les sujets liés aux énergies ou aux fluides, qui alimentent les environnements hospitaliers sensibles. Une cyberattaque qui déréglerait le système de traitement de l’air dans un bloc opératoire ou d’alimentation en oxygène en salle de réanimation constituerait un risque sanitaire critique. Réussir à bloquer une activité pour laquelle des vies sont en jeu représente un levier de chantage (ransomware) particulièrement puissant.
Pour assurer une bonne gestion technique des bâtiments hospitaliers, la première action à réaliser est d’effectuer une cartographie des risques. Cela permet d’identifier les équipements sensibles ou primordiaux, qui doivent être protégés en priorité. Cette analyse est aujourd’hui bien appréhendée mais elle est souvent mise en œuvre à un instant T. Hors, pour éviter tout risque cyber, il est important de la mettre à jour à chaque ajout de nouveaux matériels qui peuvent avoir une incidence sur le système d’information. Ceci se traduit par un suivi des traces générées par les équipements sur le réseau. Mais aussi par une vérification de la conformité ou des écarts à la politique de sécurité afin de se protéger des menaces dans le temps.
La seconde étape vise à mettre en œuvre les solutions techniques pour renforcer le niveau de sécurité cyber du SI. Cela commence par les actifs les plus sensibles. On parle par exemple des postes de travail et contrôle du réseau opérationnel (OT). Cela est permis via une segmentation réseau des différents sous-systèmes échangeant de l’information. L’idée est d’isoler les environnements les plus critiques.
Protéger les données de santé face aux risques de fuite
Les données de santé sont des informations ultra-sensibles et critiques pour le fonctionnement du service hospitalier. Elles sont donc des cibles de choix pour les cyber attaquants car plus rémunératrices que de simples données personnelles. Il ne faut pas oublier aussi le caractère confidentiel de ces données et la confiance qu’un patient accorde à l’hôpital qui le suit. Au-delà des vols et fuites de données, les risques cyber touchent également au respect de l’intégrité des données de santé. Aussi bien lors de phases de traitement, que de stockage et d’échange.
Pour diminuer ces risques, plusieurs bonnes pratiques sont à mettre en œuvre. Tout d’abord, sensibiliser et faire monter en compétences le personnel soignant mais aussi les patients. En effet, ces derniers ne sont pas toujours conscients des conséquences qu’une mauvaise manipulation de leurs propres données pourraient générer. Ensuite, il est indispensable de se mettre en conformité vis-à-vis des différents référentiels et réglementations existants. Il s’agit par exemple, du RGPD, de la Directive NIS au niveau européen. Ou bien encore du code de la santé publique (et l’article relatif aux hébergeurs de données de santé) ou de l’instruction interministérielle française n°901 (relative à la protection des systèmes d’information sensibles) au niveau français.
Mais aussi de s’assurer du bon traitement des données de santé. Que ce soit au niveau des applications métiers et des interconnexions, via des communications sécurisées et l’anonymisation des données. Il est aussi vital de pouvoir communiquer par mail en toute sécurité via des applications métiers sécurisées. Face à l’urgence médicale, des transmissions des dossiers peuvent parfois être faites par ce biais. Il est alors recommandé d’utiliser une solution de chiffrement de mail. Cela permet d’assurer la confidentialité des échanges et des données de santé qui sont partagées
Mettre en place une cyber résilience
Bien que fortement exposées, les infrastructures des hôpitaux ont néanmoins démontré leur capacité de résilience pendant la crise du Covid-19. Cette situation pourrait se dégrader dans le futur au regard de l’évolution constante de la menace. Il convient de mieux armer les professionnels de santé face au risque cyber. Cette prise de conscience doit positionner la cybersécurité au cœur des enjeux de transformation de ce secteur. Mais aussi de permettre d’accéder à des budgets cohérents pour une protection efficace contre les cyber menaces.
Notamment, en élevant les niveaux d’expertise. Cela permet d’être en mesure d’identifier les signaux évidents ou précurseurs d’une cyberattaque. Mais aussi de mettre en place les mesures techniques et organisationnelles pour mitiger puis éradiquer la menace. L’objectif est enfin d’analyser chaque événement ou incident afin d’améliorer encore la sécurité.
L’augmentation de la résilience
Cela passe aussi par l’augmentation de la résilience du système d’information hospitalier. La question n’étant pas de savoir si on se fera attaquer, mais quand l’attaque va arriver. Cette cyber résilience consiste à assurer une protection la plus rapprochée possible des équipements. En particulier à propose de ceux ayant un enjeu vital pour le bon fonctionnement de l’hôpital. Ceci afin d’assurer un fonctionnement minimal durant une cyberattaque. Mais aussi de permettre un retour à la normale le plus rapidement possible.
Outre les plans de continuité et de reprise d’activité, la cyber résilience des hôpitaux s’appuie sur la mise en place d’une gouvernance dédiée à l’amélioration continue de la sécurité du SI. Pour cela, il convient d’intégrer les dimensions IT (système d’information administratif), OT (équipements opérationnels médicaux) et IOT (objets connectés). Ceci passe par l’organisation d’une équipe transverse. Celle-ci doit être pleinement supportée par l’équipe de direction. Sa mission est d’assurer un partage d’expérience entre les équipes des Directions Informatique, Cybersécurité, Technique. Mais aussi avec la logistique et les chefs de service hospitalier.
Cette tribune a été rédigée par Stéphane Prevost, Product Marketing Manager chez Stormshield.