Or, en 2022, le CERT Santé a relevé, en France, une moyenne de 49 déclarations d’incidents par mois par les structures de santé, soit une augmentation de 22 % par rapport à 2021. Et sur les six premiers mois de 2023, on estime à 400 en moyenne le nombre d'attaques par mois et par hôpitaux et organismes de santé en France. C’est vertigineux !
Les raisons de ce ciblage ? L’opportunisme des cyber attaquants. Car le secteur des soins de santé détient une quantité considérable de données précieuses, dont une grande partie est gérée par des systèmes informatiques vieillissants qui présentent des vulnérabilités facilement exploitables. De fait, le secteur des soins de santé devient une cible privilégiée et potentiellement lucrative pour les opérateurs de ransomwares. Cette faiblesse ne se limite pas seulement aux logiciels et aux systèmes, mais concerne également la gestion des données et des terminaux des établissements.
Le principe du « Zero Trust » dans la santé
Gagner en cyber résilience est au cœur du volet cyber du plan France Relance, avec136 millions d’euros dédiés notamment à un plan obligatoire de réponse à incident, et qui stipule que chaque centre hospitalier doit avoir élaboré un plan d’exercice de crise d’ici à avril 2024. A terme, l’objectif est d’identifier les systèmes les plus critiques et les plus prioritaires et de savoir comment les remettre en route rapidement en cas d’incident de sécurité.
Le Zero Trust est un modèle de sécurité qui repose sur le principe fondamental de « ne jamais faire confiance, toujours vérifier ». Cela implique que l'accès aux ressources et aux données ne doit jamais être considéré comme sécurisé une fois pour toute, même s’il se trouve à l’intérieur du périmètre du réseau.
Dans des secteurs essentiels comme la santé, une séparation des responsabilités s’impose, avec d’un côté le contrôle des flux et l’application de la politique de filtrage, de l’autre la prévention des menaces. Cela correspond aux « sept piliers du Zero Trust » tels que définis par Forrester et le National Institute of Standards and Technology (NIST).
Les cinq premiers piliers sont : les identités, les terminaux, les réseaux, les charges de travail et les données. Ils jouent un rôle clé dans l’application du principe du « moindre privilège » d’une politique Zero Trust qui exige des contrôles d'identité et de vérification continus. Les deux derniers piliers, la visibilité et l'analyse, associés à l'automatisation et l'orchestration, constituent la partie contrôle et politiques du cadre de Zero Trust. Ils contribuent à améliorer la posture de sécurité d'une entreprise en fournissant une surveillance en temps réel et des réponses automatisées en cas de violation de la sécurité.
Une fois combinés, ces piliers permettent aux entreprises de créer un environnement Zero Trust capable de contrer le nombre croissant d'attaques auxquelles font face les établissements de santé.
Des erreurs courantes dans la surveillance des réseaux
De nombreux organismes de santé commettent des erreurs lors de la surveillance de leur réseau pour détecter les menaces, qu'une approche Zero Trust peut contribuer à éviter :Absence d'approche préventive
Au même titre qu’un patient qu’on vaccine par prévention, mieux vaut prévenir les cyberattaques avant qu'elles ne se propagent dans un réseau. Les solutions d’analyse en temps réel permettent de détecter des modèles de trafic anormaux, et les solutions de« threat intelligence » en temps réel peuvent bloquer activement les malwares avant qu'ils n'envahissent un réseau.
Réseaux plats ou manque de segmentation
Avec l'usage exponentiel de dispositifs vulnérables (usages d’ordinateurs personnels, télétravail etc), il devient essentiel de segmenter le réseau en groupes plus restreint et donc plus facilement gérable à l'aide de pare-feu et de protections au niveau des terminaux. Tout comme un hôpital installe des portes coupe-feu pour limiter la propagation d’un incendie, un réseau devrait également comporter des barrières pour empêcher la propagation latérale de tout logiciel malveillant.Absence de protection des terminaux
Un hôpital moyen de 500 lits peut comptabiliser jusqu'à 10 000 dispositifs IoT connectés pour surveiller, stocker et relayer les informations des patients et autres données sensibles. Le Zero Trust induit la « découverte » de ces appareils sur le réseau, puis la mise en place automatique d’une politique de moindre privilège et de Zero Trust, laquelle garantit que seuls les systèmes qui ont besoin de ces appareils pour réaliser leurs tâches y ont accès.Déploiement de contrôles de sécurité archaïques
Le déploiement de contrôles de sécurité sur des applications de pointe entraîne souvent un retard de sécurité par rapport à l'innovation. Pour éviter cet écart, il est crucial d'intégrer la sécurité du code le plus tôt possible dans le processus de développement de l'application.Le Zero Trust pour renforcer les réseaux de soins de santé
Pour le secteur de la santé, la sécurité des données patients et des infrastructures sont essentielles. Or la surveillance du réseau est un élément clé de la visibilité et de l'analyse Zero Trust. Elle joue un rôle essentiel dans l'identification, la catégorisation des informations et la compréhension des flux de données au sein du réseau.Le principe du moindre privilège s’applique également aux « charges de travail », à savoir, toutes les applications ou services qui s'exécutent dans des datacenters privés ou des clouds publics. Par une approche Zero Trust, les acteurs de santé peuvent renforcer la sécurité de leurs charges de travail applicatives, en mettant en place une vérification continue des identités et en appliquant des opérations de sécurité préventives en temps réel. Le modèle Zero Trust peut être mis en œuvre dans n'importe quelle application, sur site ou dans le cloud, selon les besoins spécifiques de sécurité de l'entreprise. Un hôpital central aura des exigences différentes de celles d'une maison de retraite ou d'un infirmier à domicile, qui dépendent du degré de mobilité des employés et du nombre de sites.
Sécuriser les chemins d'accès aux données et automatiser les réponses aux menaces va immanquablement rester au cœur des enjeux du secteur de la santé en France les mois prochains. Le principe de « ne jamais faire confiance, toujours vérifier » est une
« cyberculture » que les organisations de santé doivent adopter si elles veulent continuer de résister, au-delà du soutien apporté par le plan France Relance.
Par Adrien Merveille, expert cybersécurité chez Check Point Software
