Les hôpitaux, toujours plus en “première ligne” pour les risques cyber-sécuritaires
publié le 23 septembre 2020
Récemment (septembre 2020), une tribune est apparue dans divers magazines informatiques français rappelant la fragilité ou en tout cas le taux d’exposition croissant des établissements hospitaliers face aux cyber-menaces. Une tribune qui voulait à la fois rappeler les dangers et la complexité croissante de leurs environnements IT/numériques et quelques bonnes pratiques à mettre en oeuvre.
Signée par Stéphane Prévost, directeur du marketing produits chez Stormshield (éditeur français de logiciels spécialisés en sécurité informatique, issue en 2013 du rachat et de la fusion par Airbus Defence and Space des entreprises Arkoon Network Security et NetASQ), la tribune démarre par un constat éloquent: “Depuis le début de la crise du Covid-19, les hôpitaux ont été particulièrement exposés aux risques cyber (phishing, dénis de services, Trojan ou encore ransomwares). Les cyberattaques ciblant les hôpitaux auraient ainsi bondi de 475%, soit 5 fois plus qu’habituellement.”
La raison en est à la fois l’“appétit” des hackers pour une cible jugée à la fois fragile et prometteuse (en termes de valeur des données à dérober ou des chantages à exercer) et la complexité croissante des infrastructures opérationnelles des hôpitaux.
L’auteur énumère une série de ces vulnérabilités, réelles ou potentielles: coexistence de multiples réseaux aux niveaux de confidentialité ou de sensibilité différents, sans coordination ou stricte segmentation ; nombreuses “portes d’entrée” menant à une large surface d’attaque ; nouvelles technologies et applications (solutions de télémédecine, plates-formes de prise de rendez-vous, chatbots…) qui “viennent parsemer le système d’information et les données médicales à différents endroits, complexifiant la notion de périmètre à protéger” ; dispositifs connectés (tensiomètres, défibrillateurs, pompes à insuline..) qui sont autant de faiblesses potentielles supplémentaires face aux cyberattaques…
La cyber-sécurité, plus que jamais, doit être considérée sous un angle holistique, englobant à la fois le système d’information, les dispositifs médicaux connectés, les réseaux opérationnels, la gestion technique du bâtiment.
“Citons pour exemple les sujets liés aux énergies ou aux fluides, qui alimentent les environnements hospitaliers sensibles. Une cyberattaque qui déréglerait le système de traitement de l’air dans un bloc opératoire ou d’alimentation en oxygène en salle de réanimation constituerait un risque sanitaire critique.”
Pour assurer une bonne gestion technique des bâtiments hospitaliers, la première action à réaliser est d’effectuer une “cartographie des risques afin d’identifier les équipements sensibles ou primordiaux, qui doivent être protégés en priorité”. Et il s’agit de le faire régulièrement et de ne pas se contenter d’un “snapshot” et d’un satisfecit en un instant T. Des mises à jour s’imposent à chaque ajout de nouveaux matériels, à chaque modification dans les droits d’accès à tel ou tel système, dispositif ou personne.
L’auteur recommande une série de bonnes pratiques et de méthodes de (cyber-)sécurisation: segmentation réseau et isolation des éléments les plus critiques ; sensibilisation du personnel soignant mais aussi des patients ; recours à des communications sécurisées et à l’anonymisation des données – tant au niveau des applications métiers que des interconnexions ; élévation des niveaux d’expertise, “pour être en mesure d’identifier les signaux évidents ou précurseurs d’une cyberattaque” ; analyse systématique de chaque événement ou incident, selon un processus d’amélioration constante de la sécurité ; organisation d’une “équipe transverse, pleinement supportée par l’équipe de direction, et dont la mission est d’assurer un partage d’expérience entre les équipes des directions Informatique, Cybersécurité, Technique, Logistique et les chefs de service hospitalier”)
A lire sur Global Security Mag.