L'infrastructure informatique hospitalière, déjà vulnérable, a été d'autant plus fragilisé par la pandémie de COVID. Les pertes que subit le secteur ne sont pas seulement d'ordre économique mais touchent aussi la santé publique. La santé n'est pas non plus épargnée sur le plan de la cybersécurité, avec 27 attaques par ransomware identifiées par l’ANSSI en 2020 et environ une tentative d’attaque par semaine dirigée contre des entités ayant un lien avec des services de santé en 2020. Quels défis le secteur de la santé doit-il encore relever pour garantir sa sécurité?
Apprendre de la pandémie
Quelles leçons la pandémie a-t-elle permis de tirer ? D'une part que la chaîne d'approvisionnement est sensible et cruciale, et d'autre part qu'un nouveau type d'hôpital, dit "intelligent", interconnecté et grand utilisateur de dispositifs IoT est en train d'émerger.
Les produits médicaux, comme les masques, respirateurs, vaccins, ont connu des périodes de pénurie ou de faiblesse des stocks au début de la pandémie, attirant l'attention du public et des dirigeants sur la production, pour répondre rapidement à l'afflux soudain de demande tout en assurant la qualité et en évitant au maximum les interruptions de production. Cette quête d'efficacité incite beaucoup de fabricants à moderniser leurs installations de production, grâce à plus d'interconnectivité et de capacités IoT ; or, cette connectivité est aussi une source de vulnérabilité aux cyberattaques pour les chaînes de production.
Il en va de même pour les hôpitaux intelligents, avec les capteurs qui surveillent les paramètres vitaux comme le taux d'oxygène ou de glucose dans le sang, les dossiers médicaux ou les systèmes d'alarme, la vidéosurveillance, les systèmes de climatisation... Tous ces systèmes sont connectés et contrôlés à distance grâce à des dispositifs IoT. Une complexité supplémentaire s'ajoute dans le cas du secteur industriel, car les systèmes sont installés à des moments différents et présentent diverses" stratifications technologiques": certains équipements hospitaliers sont basés sur d'anciens systèmes d'exploitation qu'il est difficile de mettre à jour à cause d'un manque de compatibilité avec les autres éléments de la structure. Cela nécessite d'autant plus d'assurer une bonne visibilité sur chaque nouvel élément installé et surveiller comme il communique avec les autres systèmes systèmes, afin de repérer les machines les plus vulnérables et les protéger en conséquence.
Le secteur de la santé dans le viseur des ransomwares
A l'heure actuelle, la pire menace qui plane sur les entreprises, ce sont les ransomwares ; un constat d'autant plus vrai pour les établissements de santé. Les tentatives des cybercriminiels se multiplient, cherchant à tirer profit de la convergence et des interactions croissantes des réseaux informatiques et OT dans le but de rationaliser la production, et de l'exploitation intensive des dispositifs IoT: leur but étant d'attaquer des machines souvent mal protégées en misant sur le fait qu'un établissement de santé, qui a des obligations contractuelles est plus enclin à payer la rançon pour s'assurer que ses patients ne sont pas affectés.
Pourtant, encore trop d'entreprises minimisent l'impact d'opérations hospitalières perturbées ou de fabrication d'équipements de santé en difficulté suite à un ransomware, et sous-estiment le coût des temps d'arrêt, des pénalités contractuelles et de la perte de réputation. Une récente étude affirme qu'un quart des dirigeants d'entreprises industrielles et d'infrastructures critiques jugent leur cybersécurité actuelle adéquate et plus de la moitié (64 %) déclare avoir besoin de constater une violation pour reconsidérer leur approche de la cybersécurité.
La meilleure façon, pour une équipe IT, de réagir rapidement à une éventuelle cyberattaque est de garder surveiller constamment toutes les machines et tous les appareils du réseau, et d'identifier tout comportement inattendu. Car l'une des pratiques des pirates informatiques est de rester sous couverture pendant de longues périodes tout en collectant des informations sur l'infrastructure infiltrée, puis de gagner ensuite l'ensemble du réseau et obtenir les droits d'accès disponibles avant de finaliser leur attaque, quand il est déjà trop tard, et que les données critiques de l'entreprise ont été volées et cryptées et tous les équipements en réseau passés sous le contrôle des pirates. Il est donc difficilement évitable d'empêcher la chaine d'approvisionnement d'être impactée, même en prenait l'attaque en charge, s'il n'y a pas de stratégie appropriée pour garantir en amont la résilience opérationnelle.
La visibilité, un élément clé pour surveiller le réseau
S'appuyer sur une solution de cybersécurité évolutive, qui puisse ajouter machines et composants de production en nombre suffisant, permet de réagir rapidement à l'évolution de la demande et de la production, tout en maintenant une surveillance et une protection efficace contre les cyberattaques.
L'équipe informatique doit donc pouvoir s'appuyer sur une solution simple et intuitive, qui lui apporte une visibilité sur toutes les machines et appareils IoT du réseau opérationnel, en temps réel et sans interruption. Ainsi, tout incident de cybersécurité sera immédiatement signalé aux responsables, via les ordinateurs des services informatiques et OT ainsi que sur leurs téléphones portables ou tablettes de travail. Ensuite, l'interruption totale ou partielle du processus de production se déclenchera dans un délai dépendant de la réaction face à une cyberattaque.
Ici, il est également important de choisir un fournisseur indépendant et qui ne nécessite pas l'installation d'un logiciel supplémentaire sur les machines à surveiller: car plus on multiplie le nombre de fournisseurs d'équipements qui communiquent sur le réseau, plus il est difficile d'apporter la moindre modification sur ces équipements et plus on risque d'invalider la garantie du fabricant et créer des problèmes supplémentaires à résoudre.
Enfin, le dernier critère important est de choisir une solution de sécurité offrant une vue unifiée de tous les appareils, quelle que soit leur localisation géographique. Il est fréquent que les hôpitaux soient couverts par plusieurs prestataires de santé; il leur faut une infrastructure évolutive pour se focaliser sur les problèmes qu'ils constatent sur le réseau, pour permettre à l'hôpital d'assurer une continuité de services.
Par Vincent Dély, Director Technical Sales Engineering de Nozomi Networks
