Protection des institutions de santé : peut-on stopper l'hémorragie ?

Nul besoin de revenir sur l'augmentation massive des attaques informatiques de ces dernières années.

Plus une semaine ne se passe sans qu’une entreprise n’avoue son échec dans la lutte pour la protection de ses informations. Mais une nouvelle tendance semble se dessiner : l’attaque contre les institutions de santé.

En effet, de plus en plus d’établissements de santé sont visés par des attaques informatiques et cela, notamment, depuis la crise sanitaire que nous avons connue. A cette période-là, les attaquants ont tenté de profiter de la situation en réalisant pas moins de 192 000 cyberattaques hebdomadaires liées au coronavirus - rien que pour le mois de mai 2020. Nous pouvons également citer le récent cas d’attaque contre l’Hôpital de Corbeil-Essonnes, victime du groupe d’attaquant Lockbit 3.0.

La crise sanitaire et les tensions connues dans le domaine de la santé, la concentration du budget dans la gestion de la crise COVID, la valeur des informations de santé, la relative faiblesse des infrastructures informatiques des établissements de santé… toutes ces raisons apparaissent comme des déclencheurs plausibles de ce choix d’attaque.

Comment stopper l’hémorragie actuellement en cours au sein de nos institutions de santé ?

Avant de commencer, revoyons les bases concernant les risques liés aux attaques contre nos structures de santé. Outre l’aspect psychologique qui peut résulter de la divulgation d’informations personnelles des patients et médecins, les attaques informatiques peuvent également provoquer des dégâts collatéraux sur le système d’information (SI) qui représente un grand danger pour la santé des patients.

En effet, ce fut notamment le cas, par exemple en 2017, lorsque le tristement célèbre  ransomware Wanna Cry bloqua en partie le réseau du NHS - le système de santé Britannique. Cela eut pour effets d’obliger les établissements de santé à annuler plusieurs milliers de consultations et d’opérations. Nul besoin de préciser le risque pour les patients ; à l’heure où les hôpitaux deviennent de plus en plus connectés : chirurgie robot-assistée, dossiers en ligne, radiologie connectée, etc.

En dehors de l’aspect sécurité des patients, ces annulations représentent également une perte sèche pour les établissements de santé, à laquelle s'ajoutent les frais de rétablissement du SI ou encore les actions de communication pour redorer l’image de l’établissement.

Dans ce contexte où les établissements de santé, notamment publiques, sont à la recherche de budgets, l’allocation de ces derniers pour se rétablir après une attaque n’est pas souhaitée. Bon nombres d’établissements ne le peuvent tout simplement pas mais, dans tout contexte, une stratégie longue termiste est conseillée : investir pour la sécurité de ses données avant qu’une attaque ne survienne. Et payer, ainsi, sa sécurité plutôt qu’une rançon ou une reconstruction du SI…

C’est dans cette logique que le gouvernement français a décidé de mettre en place - depuis février 2021, un plan national de lutte contre les cyberattaques dédiées aux hôpitaux. Celui-ci, doté d’une enveloppe budgétaire de 350 millions d’euros (provenant du Ségur de la Santé de 2020), doit également mener à une collaboration entre l’ANSSI et l’ANS. La première s’est d’ailleurs vu allouer, en 2021, un budget de 25 millions d’euros dans le cadre de l’accompagnement des établissements de santé. Suite à l’attaque contre l’Hôpital de Corbeil-Essonnes, cette enveloppe s’est vu augmentée d’un budget supplémentaire de 20 millions d'euros afin que l’ANSSI augmente le nombre de structures qu’elle accompagne dans l’audit de leurs SI.

Ces enveloppes budgétaires de l’Etat sont un premier pas menant à la sécurisation de nos infrastructures de santé ; un premier garrot contre la tendance actuelle d’attaque.

Mais en parallèle de ces audits, quelles actions peuvent être mise en place ?

Le facteur humain reste une variable importante dans la réalisation des attaques informatiques (l’attaque contre Uber en est une parfaite illustration). Dans beaucoup d’industries, les équipes de la DSI peinent parfois à faire comprendre toute l’importance de la sécurité dans l’entreprise aux salariés et les institutions de santé ne font pas exception. Ce n’est pas moins de 30 % des professionnels de santé qui ne se sentaient pas concernés par les questions de cybersécurité, en 2021.

Il y a donc un premier travail de sensibilisation et de prise de conscience à faire auprès des professionnels de santé, qui représente un premier rempart contre bons nombres de types d’attaques : phishing, ingénierie social, etc.

Outre la sensibilisation, plusieurs projets de sécurisation plus ou moins « peu coûteux » peuvent être déployés assez rapidement au sein d’un SI, comme :

  • La mise en place de MFA : la plupart des providers Cloud ou de solutions SaaS permettent la mise en place de ce type de solution. A l’heure où la plupart des professionnels de santé sont équipés de smartphone, la mise en place de ce type d’authentification peut représenter un premier pas.
  • La sauvegarde : la mise en place d’un système de sauvegarde est souvent négligée, pourtant celui-ci constitue une aide cruciale lors de la remise en place d’un système après une attaque. A noter que lors de la mise en place d’un système de sauvegarde, il est nécessaire de respecter la règle du 3-2-1 : avoir 3 copies de la donnée, sur 2 supports différents dont 1 support hors-site.
  • Le chiffrement des données : afin de limiter le risque de vols de données, le déploiement d’une solution de chiffrement peut-être un projet intéressant à mettre en place, au moins sur un périmètre restreint contenant les données les plus sensibles. Outre l’attaquant extérieur, ce type de solution permet également de s’assurer du droit d’en connaître.

Outre ces projets, un autre élément essentiel dans la plupart des SI actuels est l’Active Directory. Il s’agit en effet d’un point sensible, souvent prisé par les attaquants : une pierre angulaire de nombreux SI. Ce dernier mérite donc une attention toute particulière et des actions, telles que la mise en place d’un modèle de tiering, de politiques de sécurité (GPO) pour bloquer des logiciels ou protocoles désuets ou encore la revue des délégations et des comptes.

La réalisation d’exercice de gestion de crise, la mise en place d’échanges entre les DSI des différentes structures de santé (une action déjà initiée par le CERT Santé), la participation à des tables rondes autour de la sécurité, etc. sont des actions également intéressantes.

Nul ne peut nier qu’il reste encore fort à faire en termes de sécurité pour colmater l’hémorragie. Néanmoins, les derniers investissements et projets semblent montrer une prise de conscience des différentes parties - de l'État, aux structures de santé en passant par les patients. Et cela est porteur d’espoir pour l’avenir de notre infrastructure de santé !