Depuis le début de la crise du Covid-19, les hôpitaux ont été particulièrement exposés aux risques cyber (phishing, dénis de services, Trojan ou encore ransomwares). Les cyberattaques ciblant les hôpitaux auraient bondi de 475%, soit 5 fois plus qu’habituellement, selon une étude menée par un fournisseur européen de solutions d’antivirus. Interpol, des anciens chefs d’État et dirigeants d’entreprises ont d’ailleurs réagi en prônant une action forte des États pour lutter contre ce phénomène.
De nombreux établissements de santé à l’échelle internationale ont été impactés. Que ce soit pour exemple aux Etats Unis, avec plus de 500 000 enregistrements de données patients dérobées ou au niveau européen, avec des incidents notamment déclarés en Angleterre, en République Tchèque, en Roumanie et en France. On distingue deux grands types d’attaques lucratives contre les hôpitaux : l’extraction de données de santé et les ransomwares.
Un secteur stratégique mal armé face au risque cyber
Le monde de la santé connait un retard important en termes de sensibilité et de moyens financiers dédiés à la cybersécurité. Par ailleurs, ce secteur est une cible de premier choix pour les hackers puisque plusieurs réseaux aux niveaux de confidentialité ou de sensibilité différents coexistent dans un hôpital. Et parfois, avec un défaut de segmentation qui peut laisser des cybercriminels naviguer aisément de l’un vers l’autre. Les fortes tensions des hôpitaux pendant la crise du Covid-19 ont également encouragé les hackers à se concentrer sur ce secteur et à lancer des campagnes massives auprès de structures devenues plus vulnérables.
Ces différentes cyber-attaques montrent la nécessité d’investir aujourd’hui plus massivement pour protéger le monde hospitalier, dont la continuité d’activité est essentielle à la protection des vies humaines. Et ceci, en prenant compte les nombreuses portes d’entrée qui composent la surface d’attaque des établissements de santé.
Sécuriser les projets liés au développement de l’e-santé
Avec la transformation numérique que connaît le monde de la santé et la nécessité de mailler et de connecter les grands hôpitaux du territoire entre eux, ce manque de moyens que connaissent les établissements en matière de cyber sécurité est exacerbé.
On note aussi une mutation dans la relation entre le patient et le personnel soignant, avec l’apparition des outils comme la télémédecine, les plateformes de prise de rendez-vous ou encore les chatbots. Ces nouvelles technologies s’appuient sur les avancées techniques que connaissent les plateformes Cloud. Mais ces nouvelles applications médicales viennent parsemer le système d’information et les données médicales à différents endroits, complexifiant ainsi la notion de périmètre à protéger. Cette émergence va également de pair avec la seconde avancée technique que connaissent les dispositifs médicaux connectés. Tensiomètre, défibrillateur ou encore pompe à insuline, la connexion de ces dispositifs constitue une évolution majeure pour le monde de la médecine, mais peut représenter dans le même temps une faiblesse face aux cyberattaques. La prise de contrôle d’un robot de chirurgie par un cyber attaquant suffit comme seul exemple. Les objets connectés sont également de plus en plus déployés et intégrés au sein du système d’information hospitalier afin de faciliter la gestion du dossier médical numérique.
On se retrouve ainsi avec une multiplication et une hétérogénéité des équipements qui complexifient grandement la gestion des infrastructures IT et de leur cyber sécurité. En outre, la barrière entre le système d’information administratif et les environnements opérationnels où se situent les équipements médicaux connectés est très réduite. La perméabilité des différents réseaux est, de ce fait, un nouveau point de faiblesses des infrastructures hospitalières.
Si on ajoute à cela l’ouverture toujours plus grande des systèmes d’information de santé vers les organismes externes ou établissements médicaux tiers, la menace pesant sur le domaine devient systémique.
Renforcer la sécurité opérationnelle des hôpitaux
Le Système d’Information (SI) de l’hôpital étant largement connecté et automatisé, il faut prendre en compte la perspective de cybersécurité dans les réseaux opérationnels (OT) pour comprendre ses vulnérabilités. Et notamment dans tous les aspects liés à la gestion technique du bâtiment (GTB) et à la gestion technique centralisée (GTC), qui aujourd’hui se mettent au service des praticiens et des patients pour assurer une température idéale dans le bloc opératoire, ou un refroidissement optimal des gros équipements médicaux. C’est tout l’hôpital qui devient connecté et intelligent pour devenir un Smart Hospital. Encore une fois, cela ne se fait pas sans risques cyber.
Citons pour exemple les sujets liés aux énergies ou aux fluides, qui alimentent les environnements hospitaliers sensibles. Une cyberattaque qui déréglerait le système de traitement de l’air dans un bloc opératoire ou d’alimentation en oxygène en salle de réanimation constituerait un risque sanitaire critique. Réussir à bloquer une activité pour laquelle des vies sont en jeu représente un levier de chantage (ransomware) particulièrement puissant.
Pour assurer une bonne gestion technique des bâtiments hospitaliers, la première action à réaliser est d’effectuer une cartographie des risques afin d’identifier les équipements sensibles ou primordiaux, qui doivent être protégés en priorité. Cette analyse est aujourd’hui bien appréhendée mais elle est souvent mise en œuvre à un instant T. Hors, pour éviter tout risque cyber, il est important de la mettre à jour à chaque ajout de nouveaux matériels qui peuvent avoir une incidence sur le système d’information. Ceci se traduit par un suivi des traces générées par les équipements sur le réseau et une vérification de la conformité ou des écarts à la politique de sécurité afin de se protéger des menaces dans le temps.
La seconde étape vise ensuite à mettre en œuvre les solutions techniques qui permettront de renforcer le niveau de sécurité cyber du système d’information en commençant par les actifs les plus sensibles : postes de travail et contrôle du réseau opérationnel (OT) via une segmentation réseau des différents sous-systèmes échangeant de l’information, afin d’isoler les environnements les plus critiques.
Protéger les données de santé face aux risques de fuite
Les données de santé sont des informations ultra-sensibles et critiques pour le fonctionnement du service hospitalier, et donc des cibles de choix pour les cyber attaquants car plus rémunératrices que de simples données personnelles. Il ne faut pas oublier aussi le caractère confidentiel de ces données et la confiance qu’un patient accorde à l’hôpital qui le suit. Au-delà des vols et fuites de données, les risques cyber touchent également au respect de l’intégrité des données de santé lors de phases de traitement, de stockage et d’échange.
Pour diminuer ces risques, plusieurs bonnes pratiques sont à mettre en œuvre. Tout d’abord, sensibiliser et faire monter en compétences le personnel soignant mais aussi les patients. En effet, ces derniers ne sont pas toujours conscients des conséquences qu’une mauvaise manipulation de leurs propres données pourraient générer. Ensuite, il est indispensable de se mettre en conformité vis-à-vis des différents référentiels et réglementations existants comme par exemple, le RGPD et la Directive NIS au niveau européen, ou encore le code de la santé publique (et l’article relatif aux hébergeurs de données de santé), l’instruction interministérielle française n°901 (relative à la protection des systèmes d’information sensibles) au niveau français. Mais aussi de s’assurer du bon traitement des données de santé, que ce soit au niveau des applications métiers et des interconnexions, via des communications sécurisées et l’anonymisation des données lorsque cela est possible. Et enfin, bien que la plupart des échanges soient réalisés via des applications métiers sécurisées, il est aussi vital de pouvoir communiquer par mail en toute sécurité. Face à l’urgence médicale, des transmissions des dossiers peuvent parfois être faites par ce biais. Il est alors recommandé d’utiliser une solution de chiffrement de mail pour assurer la confidentialité des échanges et des données de santé qui sont partagées
Mettre en place une cyber résilience
Bien que fortement exposées, les infrastructures des hôpitaux ont néanmoins démontré leur capacité de résilience pendant la crise du Covid-19. Pour autant, cette situation pourrait se dégrader dans le futur au regard de l’évolution constante de la menace et il convient de mieux armer les professionnels de santé face au risque cyber. Cette prise de conscience doit positionner la cybersécurité au cœur des enjeux de transformation de ce secteur et permettre d’accéder à des budgets cohérents pour une protection efficace contre les cyber menaces.
Notamment, en élevant les niveaux d’expertise, pour être en mesure d’identifier les signaux évidents ou précurseurs d’une cyberattaque, de mettre en place les mesures techniques et organisationnelles qui visent à mitiger puis à éradiquer la menace et enfin, d’analyser chaque événement ou incident afin d’améliorer encore la sécurité. Cela passe aussi par l’augmentation de la résilience du système d’information hospitalier, la question n’étant pas de savoir si on se fera attaquer, mais quand l’attaque va arriver. Cette cyber résilience consiste tout d’abord à assurer une protection la plus rapprochée possible des équipements ayant un enjeu vital pour le bon fonctionnement de l’hôpital. Ceci afin d’assurer un fonctionnement minimal durant une cyberattaque et de permettre un retour à la normale le plus rapidement possible. Outre les plans de continuité et de reprise d’activité, la cyber résilience des établissements de santé s’appuie sur la mise en place d’une gouvernance dédiée à l’amélioration continue de la sécurité du système d’information hospitalier, en intégrant les dimensions IT (système d’information administratif), OT (équipements opérationnels médicaux) et IOT (objets connectés). Ceci passe par l’organisation d’une équipe transverse, pleinement supportée par l’équipe de direction, et dont la mission est d’assurer un partage d’expérience entre les équipes des Directions Informatique, Cybersécurité, Technique, Logistique et les chefs de service hospitalier.
Par Stéphane Prevost, Product Marketing Manager chez Stormshield