Ces dernières années, les avancées technologiques, et notamment dans le domaine informatique, ont profondément transformé le secteur de la santé. Les établissements de santé se retrouvent donc confrontés à un enjeu majeur : la sécurité de leurs Systèmes d’Information. Le domaine de la santé se doit d’être l’un des plus sécurisés. Mais comment y parvenir ?

Les enjeux des Systèmes d’Information du domaine médical

Le domaine médical est primordial dans notre société, en raison des services essentiels qu’il propose. Hôpitaux et centres de santé ont été déclarés opérateurs d'importance vitale (OIV) par l’Etat français. C’est pourquoi, les établissements de santé tentent de sécuriser efficacement leurs SI, afin de limiter les risques de fuite ou de vol des données et, ainsi, de se protéger activement des dangers que représentent les groupes cybercriminels. En effet, ces derniers ont notamment pour objectifs de voler les données personnelles des patients ou des chercheurs, qui se revendent à prix d’or sur le marché noir. Mais également de rendre les services informatiques de l’établissement visé, indisponibles, pour entraver le travail du personnel médical. Malheureusement, plus que dans n’importe quel autre secteur, des vies sont en jeu.

En l’espace d’un an, entre 2021 et 2022, les cyberattaques contre les hôpitaux ont augmenté de 30 %. Cette tendance s’est confirmée en 2023. En juin dernier, par exemple, plusieurs hôpitaux de l’AP-HP ont été touchés par une attaque DDoS, qui a bloqué leurs activités pendant plusieurs heures. En octobre dernier, c’est le centre hospitalier de l’Ouest vosgien qui a été victime d’une tentative d’intrusion sur leurs systèmes informatiques. Retour aux formulaires papiers, activités programmées suspendues les jours suivants, mais le service des urgences maintenu et un retour à la normale qui « peut se compter en jours ou en semaines » indiquait le directeur du centre.

Le facteur humain : premier bouclier

L’origine des attaques, comme celle subit par le CHU de Brest, en mars 2023, est souvent l’usurpation d’identité et offre aux hackers l’opportunité d’entrer dans les SI et d’y déposer un ransomware. En effet, six mois après l’attaque, le CERT-FR est revenu sur l’incident perpétré par le groupe de cybercriminels liés au MOA FIN12. Son verdict : « Les opérateurs du MOA ont utilisé des authentifiants valides d’un professionnel de santé pour
se connecter »
.

La première barrière contre ces attaques est donc la formation et la sensibilisation du personnel. La vigilance et la connaissance sont, assurément, les premières défenses pour faire face aux cyberattaques. Un personnel correctement formé est un atout considérable contre la plupart des menaces cyber - telles que le phishing, les ransomwares ou les intrusions malveillantes.

De plus, pour permettre aux établissements de santé de fournir tous les soins médicaux dont ils sont les garants, il est important de s'assurer de la disponibilité du service informatique à tout instant. Cela passe notamment par une surveillance des activités du réseau et des systèmes, pour détecter les attaques le plus rapidement possible, mais également par la mise en place d’un plan de réponse à incidents (IR), pour réagir efficacement en cas de violation de données - déterminer les étapes à suivre et bonnes personnes à inclure dans ce processus d’IR.

Le « Zero-trust » : est-ce la solution ?

L’autre rempart, accessible à toute organisation, reste le contrôle des accès. L’important est de s’assurer que seules les personnes autorisées peuvent accéder aux informations médicales sensibles.

Pour ce faire, il est possible de mettre en place un système dit « Zero Trust », dont le principe se base sur une réduction de la confiance que l’on accorde aux utilisateurs. Cela passe par une segmentation stricte des périmètres applicatifs, et un accès aux données très réglementé, afin que seulement ceux dont le besoin est justifié, puissent avoir accès aux informations sélectionnées. Ces droits doivent être réévalués régulièrement - aussi régulièrement que l’application des mises à jour de solutions, qui, comme le déploiement rapide d’antivirus et de pare-feu, permet de protéger tant les machines, que les équipements physiques.

Ainsi, chaque connexion sur le système se fera via une authentification forte - c'est-à-dire sans l’usage d’un mot passe unique. Cette authentification multifacteur (MFA) permet de sécuriser les connexions de chaque utilisateur, par la multiplication des canaux de validation de l’identité, par l’envoi d’un code utilisable pendant une période limitée (TOTP) ou par l’utilisation d’une clé cryptographique. Cela permet finalement de réduire les risques d’usurpation d’identité, suite à des vols de mots de passe ou l’usage d’un mot de passe faible - par un utilisateur du SI - permettant le succès d’une attaque brute force d’un compte.

De même, il est recommandé de déployer une solution « bastion », pour sécuriser l’ensemble des connexions administrateurs au SI. Cela permettra notamment le stockage et renouvellement automatique des mots de passe, ou encore d’effectuer la connexion aux serveurs sans action utilisateur manuelle. Ce système possède aussi l’avantage de tracer les connexions et actions de chaque utilisateur, pour détecter toute anomalie.

Les SI des hôpitaux sont actuellement extrêmement vulnérables aux cyberattaques. Renforcer leur sécurité sera très certainement la principale mission des RSSI et DSI du secteur. Gardant en tête, sur le long terme, qu’il est important de s’aligner aux standards de sécurité.

Par Sarah Lehuby, consultante sécurité AM chez Synetis