des signalements en 2023.
Si ce chiffre est en baisse par rapport à 2022, le secteur de la santé reste une cible particulièrement sensible et vulnérable aux cybermenaces. Et au regard de son importance vitale, ildoit impérativement continuer à renforcer ses défenses pour être en mesure d’empêcher la réussite de ces cyberattaques.
Un secteur de plus en plus numérisé et un nombre de données qui explose
Afin de poursuivre sa modernisation et de pouvoir continuer d’agir de façon efficace, le secteur de la santé a dû mettre en place de plus en plus d’outils, d’activités et de processus numérisés : la télémédecine, le dossier médical partagé, l’Intelligence Artificielle (IA), la robotique et les appareils connectés. Or, si ce sont des améliorations d’un côté, cette transformation de la pratique des soins et services de santé aencore augmentéla surface d’attaque de l’autre.Ces changements ont alors entrainé une croissance des risques de compromissions de données, et plus grave encore, des risques pour les patients eux-mêmes. Une cyberattaque peut en effet perturber les systèmes informatiques des établissements et des dispositifs, y compris les robots chirurgicaux, susceptibles alors d’entraver le traitement et les procédures médicales, etdonc, in fine, d’avoir des conséquences graves pour
la santé des patients.
De plus, cette supplychain du monde de la Santé est créée par un tissu numérique de plus en plus complexe, qui impliquede nombreux utilisateurs et processus. De ce fait, elle peut êtreexploitée par les cybercriminels pour perpétrer leurs attaques. Ils cherchent en effet à exploiter la moindre vulnérabilité de la chaîne pouraccéder aux données, mettre en arrêt, voire même bloquer complètement les activités en cours. Les prestataires et les fournisseurs, même les plus petites structures, peuvent ainsi devenir une porte d’entrée vers de plus grandes entités.
Outre les données et les dispositifs médicaux, le périmètre à risque au sein des établissements comprend également les infrastructures techniques, avec à la fois la Gestion Technique Centralisée (GTC) et la Gestion Technique du Bâtiment (GTB). Ces dernières permettent de gérer la sécurité incendie, les accès, la vidéosurveillance, la gestion énergétique ou encore la qualité de l’aird’un bloc opératoire; des éléments dont la moindreperturbation ou défaillance peut aussi avoir des conséquences graves.
Avec cette numérisation croissante, le volume de données a explosé et le secteur a dû s’adapter pour en assurer la bonne gestion. Dans cette quête, depuis l’été 2021, le Ségur du Numérique a pour ambition de généraliser le partage fluide et sécurisé des données de santé, entre les professionnels et les patients. Ainsi, lors du 11ème conseil du Numérique en santé (CNS) en juin cette année, il est ressorti qu’à fin avril 2024, le rythmeannuel d’alimentation de Monespace santé par les professionnels s’élevait à 297 millions de documents par an, l’objectif initial de 250 millions ayant quant à lui été atteint en janvier. Cette explosion du volume de données disponibles en ligne augmenteégalement par définition la surface et la taille des infrastructures à sécuriser, un défi de plus
donc pour les organismes.
Quatre vecteurs de risques cyber
Dans le secteur de la santé, il est possible de regrouper les points d’entrée des cybercriminels selon quatre vecteurs. Tout d’abordl’humain, avec des cyberattaques qui utilisent ou ciblent un ou plusieurs individus, des médecins, infirmiers, auxagents et administrateurs et jusqu’aux patients. C’est le cas par exemple dans le cadre des arnaques au président qui consistent pour l’attaquant à se faire passer pour un décideur, comme le directeur de l’établissement, en demandant un virement bancaire à caractère urgent et souvent confidentiel. Le logiciel constitue un deuxième vecteur.Ces cyberattaques logicielles regroupent alors toutes celles qui exploitent une faiblesse, une faille ou l’obsolescence d’un logiciel installé sur un équipement informatique ou un équipement biomédical connecté. Ces dispositifs font en effet souvent partie des portes d’entrée des cyberattaques, car ils sont connectés au réseau sans embarquer la sécurité nécessaire via des identifiants standards, très faciles à récupérer sur internet. Bien souvent, les établissements ne savent pas ce qui compose ces dispositifs, ce qui rend leur protection complexe – voire impossible.
Le réseau est également un vecteur d’attaque important pour les cybercriminels, qui vont donc exploiter celui des établissements visés pour parvenir à leurs fins. Les attaques par déni de service (DDoS), qui consistent à envoyer de nombreuses requêtes dans un temps limité, afin de saturerl’activité d’un réseau, font aussi partie de l’arsenal du cybercriminel. Les structures y sont fortement exposées. Si elles ne sont pas les plus difficiles à endiguer, elles permettent de mettre hors service, pour un moment donné, les serveurs d’une infrastructure. Enfin, le vecteur physique est lui aussi exploité par les attaquants lorsqu’ils visent spécifiquement la dimension matérielle d’un équipement médical,
informatique ou opérationnel.
Quel que soit le vecteur d’attaque choisi par le cybercriminel, la « charge virale » la plus commune dans le secteur de la santé aujourd’hui est le ransomware. D’après l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social, l’année 2023 a été marquée par une augmentation sensible des attaques par ransomwares, qui ont chiffré une partie ou la totalité des données des établissements de santé.
Limiter les dommages et accroître les capacités de détection
Les infrastructures des établissements de santé sont vitales par nature. La performance et la disponibilité des réseaux informatiques de leurs systèmes sont d’autant plus importantes que la vie de patients dépend souvent des informations qu’ils permettent d’échanger. Il est donc crucial de mettre en place les moyens nécessaires pour réduire les risques. Pour y parvenir, les organismes doivent commencer par un audit afind’estimer leur surface d’attaque et d’identifier leurs actifs les plus sensibles, à protéger impérativement, en définissant une politique de sécurité adaptée. A partir de cette analyse, ilspeuvent déployer des solutions de sécurité spécifiques à toutes les zones de l’établissement de santé, qui permettent de sécuriser à la fois le réseau, les postes de travail et les données.Dans cet objectif, l’approche Zero Trust permet de réduire les risques de cyberattaques réussies, en imposant une vérification systématique, rigoureuse et continue de l'identité des utilisateurs et de leurs droits d'accès. En exigeant une authentification multi-facteurs, une surveillance continue et une analyse de comportement pour chaque accès, le modèle ZeroTrust limite également la capacité des attaquants à se déplacer latéralement dans le réseau. Enfin, l'application du principe du moindre privilège minimise l'impact potentiel d'une compromission de données en restreignant les ressources auxquelles un acteur malveillant peut accéder.
Les infrastructures opérationnelles des établissements de santé sont souvent peu protégées mais demandent cependant à l’être. La gestion des fluides médicaux, le monitoring hautes et basses tensions, la gestion de la ventilation ou encore les ascenseurs sont des systèmes interconnectés souvent dépourvus de sécurité. Une segmentation de tousces sous-systèmes d’information techniques hospitaliers est donc primordiale. S’ajoute à cela, un besoin fort de maitrise des prestataires intervenant pour la maintenance de ces systèmes qui présentent des vulnérabilités, d’ailleurs présentées dans un document réalisé par le Club Cyber OT du GIMELEC, couvrant également les moyens de s’en prémunir.
Par ailleurs, les solutions XDR (eXtendedDetection and Response) et EDR (Endpoint Detection and Response) sont également essentielles dans une stratégie de cyberdéfense, car elles permettent aux établissements de bénéficier de capacités avancées de détection, de réponse et de mitigation des incidents de sécurité, limitant ainsi les conséquences d’une potentielle cyberattaque. L'EDR se concentre sur la surveillance, l'analyse et la réponse aux menaces au niveau des terminaux tels que les ordinateurs, les serveurs et les dispositifs médicaux, permettant une détection rapide des comportements suspects, une investigation approfondie des incidents et une réponse automatisée ou guidée pour contenir
et remédier aux menaces.
Les solutions XDR intègrent et corrèlent quant à elles les données de sécurité provenant de diverses sources, telles que les terminaux, les réseaux, les serveurs, et les applications cloud. Cela offre une visibilité plus complète et contextuelle sur l'ensemble de l'infrastructure de santé. Cette approche intégrée permet aux équipes de sécurité d’identifier rapidement des attaques sophistiquées susceptibles de passer inaperçues avec des solutions de sécurité isolées.
Eduquer et former les professionnels de santé
En outre, la modernisation des réseaux et du numérique en santé doit s’accompagner d’une formation pour le personnel soignant, afin qu’ils adoptent les bonnes pratiques en matière de cybersécurité, tels que l’utilisation de mots de passe forts et une lecture critique des informations qui sont partagées, même par des collègues, afin d’éviter de cliquer sur des liens frauduleux par exemple. Selon le 9ème baromètre du CESIN, les RSSI interrogés ont en majorité renforcé la sensibilisation des utilisateurs face aux vagues de cyberattaques actuelles. Seuls 7 % des répondants n’ont pas le projet de mettre en place un programme d’entrainement à la crise cyber, ce qui prouve l’intérêt des organisations françaises pour la formation de leurs effectifs face aux risques cyber actuels.En effet, un personnel informé et mettant en place des comportements adaptés à la sécurité des établissementsde santé est essentiel à leur cyber-hygiène et permet de limiter les risques de compromissions. Avec cette sensibilisation aux risques, il sera plus aisément capable de reconnaître les techniques malveillantes, notamment de phishing ou de deepfakes, et pourra éviter de tomber dans le piège.
Dans un contexte particulièrement tendu, les organismes ont donc une mission importante à accomplir pour assurer leur cybersécurité, et donc protéger leurs patients, mais aussi pour se conformer aux différentes obligations réglementaires nationales. Ils sont en effet soumis au Code de la santé publique et la politique générale de sécurité du système d’information de santé (PGSSI-S) et à la loi de programmation militaire (LPM), qui relance notamment pour 2024-2030 sa feuille de route pour le service de santé des armées (SSA) ainsi qu’au niveau des hôpitaux de Paris (APHP) en tant qu’opérateurs d’importance vitale.
Avec également la conformité aux règlementations européennes, commeNIS2 et le RGPD, les organisations du secteur de la santé doivent se préparer à faire face à des incidents de cybersécurité qui semblent aujourd’hui inévitables et partir du principe qu’elles seront victimes d’une attaque tôt ou tard afin de prendre une longueur d’avance sur l’ennemi ; un enjeu majeur pour réduire les risques de compromission, minimiser le risque d’arrêts des équipements et dispositifs et garantir ainsi la sécurité du réseau, des infrastructures, des données, mais aussi, et surtout, la santé des patients.
Par Vincent Nicaise, Industrial Partnership and Ecosystem Manager chez Stormshield