Mon hôpital a " chopé un virus "

Comme le montre l'actuelle panique mondiale autour du " coronavirus ", la santé est la première des priorités, et toute menace qui la met en danger doit être prise au sérieux. Mais, de récents événements ont établi qu'un autre défi auquel est confronté le système de santé ne relève pas d'un virus biologique, mais informatique. Le secteur de la santé est malade de la cybercriminalité !

De nombreux hôpitaux, cliniques et autres établissements de santé ( centres d’accueil de jour, cliniques dentaires ...) ont subi des cyberattaques au cours des dernières années, les obligeant à mettre la clé sous la porte, à reporter des traitements ou à gérer le planning des interventions avec un papier et un crayon. La récente vague d’attaques a débuté avec l’infection WannaCry de 2017, et même si aucune cyberattaque d’une telle ampleur n’a été détectée depuis, nous assistons à une progression constante du nombre d’incidents et de leur gravité.

La cybercriminalité dans le secteur de la santé :  une véritable pandémie

A l’heure de la dématérialisation où l’hôpital dépend à plus de 90 % du numérique, les attaques deviennent de plus en plus fréquentes. Selon l’Agence nationale de la sécurité des systèmes d’information, elles ont été multipliées par trois entre 2017 et 2019. Les exemples se succèdent, ainsi en novembre 2019, le CHU de Rouen a été victime d’un ransomware qui a impacté lourdement le fonctionnement de l’ensemble de ses services. Cibles de choix, les établissements de santé conjuguent un triple facteur de risque : des moyens parfois limités consacrés à la sécurité informatique ; des données extrêmement précieuses, dont les hackers savent qu’ils peuvent exiger le prix fort pour en restaurer l’accès ; et de nombreux appareils médicaux, de plus en plus connectés et pas forcément sécurisés.

Au Royaume-Uni, la situation est la même. Une étude révèle que 67 % des établissements de santé déplorent un incident de cybersécurité ces douze derniers mois et près de la moitié d’entre eux, ont été provoqués par un malware. Des cyberattaques ont également touché des établissements hospitaliers et structures de soins en Asie-Pacifique et en Australie, conférant au phénomène un caractère véritablement pandémique.

Comment expliquer cette recrudescence de cyberattaques contre les prestataires de santé ? Et quels sont les menaces et les défis qui planent sur le secteur ? 

Les Cyberdéfis dans la santé en 2020

Qu’il s’agisse de phishing (hameçonnage), d’attaques par rançongiciels, de vol de données, et même de fraude, les hôpitaux connaissent les mêmes « maladies » que la plupart des entreprises. Mais, contrairement à une entreprise ordinaire, les hôpitaux souffrent  du manque de ressources de sécurité, d’une surabondance des systèmes propriétaires, d’une multiplicité de réseaux opérationnels et informatiques, souvent exempts de segmentation appropriée et, pour couronner le tout, d’une pénurie de personnel dédié à la sécurité.

Les hôpitaux sont des environnements complexes

L’un des principaux défis auxquels sont confrontés les hôpitaux, en matière de sécurité, est la complexité de leur environnement. Un aspect qui rend la sécurité plus difficile à appréhender que dans une entreprise lambda. Un établissement hospitalier peut, en effet, abriter un certain nombre de réseaux informatiques et opérationnels, d’équipements médicaux connectés, de systèmes informatiques et opérationnels et autres équipements industriels comme des générateurs. La plupart de ces systèmes sont vétustes et aucun correctif ne leur a été appliqué depuis des années. D’autres sont des systèmes propriétaires, et personne n’a idée du nombre de failles de sécurité qu’ils dissimulent. Sans oublier le matériel médical, extrêmement vulnérable, onéreux mais primordial. Tous ces facteurs conjugués compliquent le déploiement de solutions standards pour sécuriser l’environnement.

La priorisation des services est un obstacle à la sécurité

Un hôpital moderne soigne des milliers de patients au quotidien, et doit être en mesure aujourd’hui de dispenser des services numériques en sus des services physiques. Autant dire qu’il est difficile d’appliquer des mesures de cybersécurité strictes, puisque toute nuisance détériorerait forcément « l’expérience client » et amènerait les patients à se plaindre de ne pas être la priorité absolue. Si le personnel a à cœur de prodiguer les meilleurs soins médicaux aux patients, il est nettement moins sensibilisé à la sécurité que les employés d’autres secteurs.

Un manque d’experts en sécurité

Une étude menée il y a deux ans a révélé que 84 % des établissements hospitaliers fonctionnaient sans responsable de la sécurité. Même si le secteur de la santé est confronté aux mêmes problématiques et défis que d’autres secteurs - notamment quand il s’agit de recruter du personnel de sécurité, difficile à recruter et à fidéliser et onéreux - sa situation est plus compliquée.

En effet, les établissements de santé disposent en général de budgets de sécurité inférieurs à ceux d’autres entreprises. Il leur est difficile de rivaliser en termes de rémunérations et de salaires attractifs, notamment dans un contexte de pénurie de talents. En outre, la grande diversité et la spécialisation des équipements médicaux utilisés dans le secteur compliquent encore davantage la recherche de profils possédant les compétences requises.

En raison de cette pénurie de personnel, les attaques ne cessent de se multiplier à mesure que des dispositifs non référencés, ne disposant pas de correctifs et présentant des failles inconnues, continuent d’apparaître sur le réseau.

Les réglementations sont une bénédiction mais aussi une malédiction

Le secteur de la santé est très réglementé. Un constat positif puisqu’il oblige les établissements médicaux à prendre au sérieux la confidentialité des données de leurs patients. Cependant il est difficile pour eux de passer d’une infrastructure vétuste et vulnérable à un environnement cloud moderne et sécurisé. Dans une étude récente, plus de la moitié des participants ont déclaré disposer d’au moins 50 sources de données différentes à inventorier et évaluer. La quantité et la variété des données exploitées par les établissement de santé dépassent, purement et simplement, la capacité des outils d'accès et de surveillance mis à leur disposition. Il est donc impossible de sécuriser à 100 % les données personnelles qui circulent sur leurs réseaux.

Les menaces qui pèsent sur la sécurité dans le secteur de la santé

Les menaces pesant sur le secteur de la santé  peuvent être réparties en deux catégories distinctes : les menaces génériques et les menaces ciblées.

Les menaces génériques, comme les ransomwares, le vol d’authentifiants ou l’infection par des logiciels malveillants, ne ciblent pas spécifiquement le secteur de la santé, mais comme expliqué plus haut, la nature de l’environnement des établissements de santé les rend extrêmement vulnérables à ces attaques aveugles.

Les menaces ciblées, qui incluent le vol de dossiers médicaux, mais aussi le sabotage du matériel, s’avèrent nettement plus redoutables. A Singapour, 1,5 million de données personnelles non médicales de patients du groupe hospitalier SingHealth ont été dérobées, tandis que 160 000 d’entre eux ont également vu leurs dossiers médicaux fuiter ; parmi les personnes touchées, figurait le Premier ministre Lee Hsien Loong. 

Toutefois, contrairement aux menaces « traditionnelles », la neutralisation des risques encourus par les dispositifs médicaux relève presque exclusivement de leurs fabricants et peut, dans certains cas, nécessiter le remplacement d’un ancien modèle par un plus récent. Perspective peu réaliste cependant, étant donné le coût prohibitif de certains équipements médicaux (IRM, par exemple). Les administrateurs hospitaliers préfèreront prendre le risque de continuer à exploiter un matériel vulnérable plutôt que de le remplacer par un modèle plus récent et plus cher.

Quid du coût financier ?

Les États comme les particuliers dépensent une fortune dans la santé, et ces coûts s’alourdissent chaque année. Compte tenu du vieillissement de la population, de la diminution de l’efficacité de certains traitements, de l’émergence de nouvelles pathologies, il n’est pas surprenant que les établissements de santé doivent composer avec des budgets serrés, qui ne cessent de diminuer.

L’adoption de nouvelles solutions de cybersécurité est pourtant une nécessité. Aux opérateurs de santé de s’interroger : qu’est-ce que leur coûterait une cyberattaque ?  Il est conseillé d’analyser la manière dont ces attaques se manifestent et d’investir dans la prévention ou la neutralisation de leurs vecteurs.

Avec une profusion d’informations personnelles identifiables (PII) sensibles, un manque d’expertise en matière de sécurité, un budget insuffisant et une grande surface d’attaque, il n’est pas suprenant que les établissements de santé soient dans la ligne de mire des cybercriminels. Pour contrer ces derniers, la réponse passe inévitablement par la protection de tous les postes de travail susceptibles d’être protégés et une visibilité sur tout le reste.