Le secteur de la santé n’a jamais été aussi menacé. Et pas seulement en raison de la pandémie. Analyse de Yves Mathy (*), de Cyber Security Management.

° Depuis plusieurs années déjà, le secteur de la santé est confronté aux cybermenaces. Personne, dans le secteur, n’est à l’abri. Récemment encore, plusieurs attaques significatives, ayant fait la Une de l’actualité, ont paralysé plusieurs hôpitaux belges avec des conséquences plus ou moins importantes tant au sud qu’au nord du pays… La crise sanitaire expliquerait-elle tout ?

Yves Mathy : La question est plus large. Avec la transformation numérique, les systèmes d’information des hôpitaux en particulier sont de plus en plus ouverts et interconnectés avec leur écosystème : réseaux et équipements connectés, besoins de collaboration permanente avec les professionnels de santé extérieurs à l’établissement qu’il s’agisse de médecins ou de prestataires. Sans parler de la mobilité du personnel et les nouveaux usages comme la téléconsultation… En contrepartie de cette flexibilité, les centres de santé s’exposent à de nouveaux risques IT : arrêt d’activité lié à une cyberattaque, fuite de données, paralysie des systèmes d’urgence ou des systèmes industriels connectés, etc. Enfin, moins matures sur les questions de cybersécurité que d’autres secteurs et débordés par l’urgence des soins à apporter aux patients, en particulier aujourd’hui, les organismes de santé sont devenus une cible de choix pour les cybercriminels.

L’hôpital, un bâtiment connecté

° Si les hôpitaux sont en première ligne, la santé regroupe aussi d’autres organismes -publics ou privés- comme les laboratoires ou les organismes assureurs… Sont-ils aussi menacés ?

De fait, la santé est plurielle. Ce qui signifie, aussi, que chaque métier de santé fait face à ses propres enjeux de sécurité. Et donc ses propres contraintes. Avec, pour chaque domaine d’activité, un cadre réglementaire dédié. De là, l’intérêt d’une politique de GRC -(Governance, Risk, Compliance). La GRC va s’intéresser à l’étendue et la nature des données partagées entre les différentes fonctions de l’organisation, tant en interne qu’en externe. Un premier pas, à mon avis, pour aborder plus sereinement la cybersécurité. GDPR et directive NIS sont deux exemples concrets du volet conformité. Dans les labos R&D, on s’intéressera davantage à la souveraineté numérique autour des traitements et analyses.

D’une façon générale il ne s’agit plus seulement de protéger uniquement des ordinateurs «classiques» et les serveurs associés. L’évolution des usages numériques contraint désormais les équipes IT à prendre en compte tous les éléments connectés aux systèmes traditionnels. Songez à l’informatique biomédicale -l’équivalent de l’informatique industrielle pour le secteur hospitalier. Ce sont des technologies et des protocoles parfois sans liens avec l’informatique de gestion. Il est difficile d’y appliquer les mêmes stratégies de sécurité. J’entends par là : perte de garantie en cas de passage d’un patch de sécurité, impossibilité de «toucher» au matériel compte-tenu de sa criticité, faible sensibilisation des industriels, etc. L’hôpital est devenu un bâtiment connecté. Les différents flux qui y circulent peuvent être pilotés par des dispositifs reliés au réseau IT, qui sont tout autant de zones de risques pour la cybersécurité.

L’enjeu ? La vie humaine !

° Difficile à sécuriser, le secteur de la santé ne souffre-t-il pas aussi d’un manque criant de ressources, victime en particulier des politiques de restrictions budgétaires ?

Le manque d’investissements en matière d’outils de sécurité informatique est patent. Un simple antivirus coûte déjà trop ! La vétusté du matériel est telle que les éditeurs ne développent plus de patchs. On voit aussi de plus en plus de médecins utiliser leurs propres devices au sein des établissements. Ce sont là autant d’éléments à l’origine de failles de sécurité béantes. Les hackers s’y infiltrent, conscients qu’ils tiennent là une information hautement monnayable puisqu’il s’agit de la vie humaine. Les cyber-menaces ne sont pas seulement des défis techniques à relever, elles représentent des enjeux critiques à communiquer au conseil d’administration dans un langage compréhensible : risques, opportunités et avantages financiers.

° En revanche, les laboratoires et autres centres de R&D ne manquent pas de ressources…

Les laboratoires pharmaceutiques ont, eux, des systèmes très performants. S’infiltrer dans ces entreprises requiert des compétences pointues qui ne sont pas du registre de hackers indépendants ou organisés en petits groupes. Derrière les cyberattaques des labos se cachent souvent de grosses organisations étatiques. C’est une autre dimension. L’objectif ? Faire de l’espionnage industriel ou perturber, voire saboter les chaines de production… Sur les 10 premiers vaccins pour le COVID-19 annoncés dans le monde, les laboratoires producteurs sont américains, chinois et russe. Et les cyberattaques sont… américaines, chinoises et russes ! Un parallèle qui illustre bien les enjeux.

Une menace en devenir

° Pourquoi, finalement, un tel intérêt pour ‘nos’ données ?

Tout d’abord, parce que contrairement à des données financières, comme un numéro de carte de crédit, qui peuvent être modifiées en cas de fraude, les données relatives à un patient caractérisent ce qu’il est -son numéro de sécurité sociale, son adresse, sa taille, son poids, les informations médicales le concernant, voire sur son conjoint ou sa famille- et ne peuvent pas être modifiées. Ensuite, les données de santé sont aussi précieuses car elles peuvent être monétisées.

En Finlande, récemment, ce sont les dossiers de milliers de patients en psychothérapie qui ont été piratés pour faire l’objet d’un chantage. De nombreux patients ont déclaré avoir reçu des e-mails demandant 200 EUR en bitcoin pour empêcher que le contenu de leurs discussions avec les thérapeutes ne soit rendu public.

En octobre 2020, le FBI a averti les hôpitaux et les prestataires de soins de santé américains de s’attendre à «une menace de cybercriminalité accrue et imminente, entraînant des attaques de ransomwares, des vols de données et la perturbation des services de santé».

Se préparer au pire scénario

° Pourquoi tant d’intérêt pour les ransomwares ?

Pour un hôpital ou une clinique, la question n’est plus tant de savoir si un ransomware finira par paralyser ses activités de soin, mais quand… Se voir chiffrer l’ensemble de ses données revient à ne plus pouvoir exercer. Et donc ne plus pouvoir suivre les patients. Le risque vital est réel.

Hôpitaux et cliniques sont des cibles faciles. Toujours par manque de ressources, les organismes sont avant tout victimes de leurs propres erreurs, que l’on peut qualifier d’administratives. Parmi celles-ci figurent des modifications de configuration inappropriées ou l’impossibilité d’installer les mises à jour en temps voulu, ce qui se traduit par des vulnérabilités. Par exemple, la tristement célèbre attaque par ransomware à l’hôpital de Düsseldorf était le résultat d’une vulnérabilité dans un appareil VPN. Dans ces conditions, n’importe quel hôpital peut être victime d’un ransomware. Il est donc logique de se préparer au pire scénario.

° Quelles solutions technologiques proposez-vous ?

Cyber Security Management propose un vaste portefeuille de solutions technologiques. Avec Vade Secure, par exemple, nous aidons nos clients à prévenir les attaques de phishing. Une violation de données de grande ampleur peut entraîner des dégâts irréversibles. J’observe aussi que les petites organisations de santé qui font appel à Office 365 sont nombreuses à refuser d’investir davantage dans la cybersécurité à cause des frais supplémentaires engendrés. Elles se contentent d’une sécurité… qui n’est pas suffisante !

Avec Wallix, nous répondons à des enjeux tels que l’authentification forte, la fédération d’identité pour l’accès aux applications, la gestion et la sécurisation des accès au réseau IT et dans le cloud… L’objectif est de permettre de reprendre le contrôle sur les accès numériques et les mots de passe, quel que soit le contexte et la localisation des équipements ou des données.

Santé… Pérennité des attaques

° La technologie n’est pas tout. La sensibilisation à la sécurité a-t-elle sa place dans ce secteur ?

… dans ce secteur comme tous les autres ! La sensibilisation à la sécurité informatique permet à tout un chacun d’être en mesure de détecter les signaux faibles d’e-mails malveillants, par exemple, telles que les demandes urgentes ou les instructions de saisie d’informations personnelles -le plus souvent truffées de fautes d’orthographe et de grammaire !

Si les menaces liées au thème de la COVID-19 ne sont qu’éphémères, les attaques ciblées risquent en revanche de devenir pérennes. En dépit de ne pouvoir anticiper l’avenir, il est essentiel que les équipes de cybersécurité aient un minimum de connaissances sur les acteurs malveillants du moment et leurs méthodes. Avec notre partenaire Conscio, nous proposons un parcours «confidentialité des données de santé» qui aborde tous les aspects : informations confidentielles de santé, sanctions légales, droit des patients, règles de communication des informations confidentielles, bonnes pratiques pour la confidentialité des informations et la sécurité informatique à proprement parler.

° Finalement, une solution managée n’est-elle pas plus efficace ?

Tout dépend de la stratégie des organisations. Certaines préfèrent garder la main, d’autres externaliser. La mutualisation s’inscrit dans le cadre d’une sécurité maximale et aux meilleurs coûts. Nous proposons cette approche via notre partenaire Advens. Son SOC -le centre opérationnel de sécurité, en charge des fonctions de détection et de réaction en cas d’incident- devient l’organe central d’une bonne stratégie de cyberdéfense.

Qui plus est, la mutualisation est un vecteur d’efficacité pour des activités d’analyse, de suivi des menaces et de recherches des signaux d’attaques. Les équipes IT se concentrent sur l’analyse des remontées du SOC et sur le traitement des incidents, et non plus sur des travaux de construction ou d’expertise technique. Les bénéfices sont nombreux et très concrets !

Une démarche de base

° Résumons. Par quel ordre procéder ?

Primo, sensibiliser le personnel médical aux risques cyber. Réaliser, ensuite, des audits de sécurité afin de connaître les points de vulnérabilités et renforcer la sécurité -un test d’intrusion chaque année n’est pas superflu ! Il va sans dire qu’une politique de sauvegarde régulière des données s’impose. Cela permettra de pouvoir continuer à travailler notamment en cas d’attaque par ransomware. En cas de suspicion de compromission d’un équipement, l’isoler du réseau et des autres machines. Et si c’est possible, segmenter le réseau. Le trafic sera régulé et la propagation d’une éventuelle attaque sensiblement réduite… C’est là, à tout le moins, une démarche de base.

(*) Yves Mathy, Regional Sales Manager, Cyber Security Management