Vous êtes dans : Accueil > Tribunes libres >

Cybersécurité : des hôpitaux à la merci des hackers ?

Par David Brillant, Forcepoint, VENDREDI 12 FéVRIER 2021

Les infrastructures informatiques des hôpitaux sont constamment mises à l’épreuves. La numérisation des dossiers médicaux qui avait permis d’améliorer le suivi des patients et le partage d’information entre les praticiens représente une véritable aubaine pour les hackers désireux de tirer profit des données hautement sensibles qu’ils contiennent. 

Dans le contexte actuel, les hôpitaux sont des infrastructures critiques. Ce secteur sous tension est devenu la cible privilégiée des cybercriminels qui multiplient les attaques ciblées de type ransomware. L‘ANSSI et la BSI, les deux autorités nationales de la sécurité des systèmes d’information en France et en Allemagne, ont d’ailleurs récemment cosigné le rapport « Common Situational Picture ».

D’après ce rapport, 2020 a été le théâtre d‘une forte augmentation des attaques (une multiplication par quatre en l’espace d’un an) notamment dans le secteur de la santé. Le nombre de programmes malveillants dépasse aujourd'hui le milliard : rien que pour la période de référence comprise entre juin 2019 et mai 2020, 117,4 millions de nouvelles variantes de logiciels malveillants connus ont été recensées[1] ; la combinaison d'emotet, de trick bot et de ransomware Ryuk a été particulièrement active. A cela s’ajoute les craintes relatives aux risques de perturbation de la chaîne d’approvisionnement des vaccins. 

Les conséquences d'une cyber-attaque réussie ont été illustrées de façon tragique par le cas de l'hôpital universitaire de Düsseldorf. L'hôpital n'a pu accepter aucun nouveau patient après la défaillance de son système informatique, ce qui a forcé le transfert d‘une femme qui avait un besoin urgent de soins dans une clinique beaucoup plus éloignée. Ce délai supplémentaire s'est avéré fatal. La faille de sécurité dans le logiciel VPN de Citrix a servi de passerelle pour l'attaque par ransomware. Et même si les attaquants ont fini par remettre gratuitement la clé de déchiffrement aux autorités, il a fallu plus de deux semaines avant que l'hôpital ne puisse reprendre normalement ses activités. 

Les données patients sont des informations rentables pour les cyber criminels

Les informations relatives à la santé d'une personne sont les plus sensibles et méritent donc d'être protégées. Pour les pirates informatiques, la combinaison du nom, de l'adresse, de la date de naissance, du numéro de sécurité sociale, des antécédents médicaux, des résultats d'examens et des plans de traitement, représente une manne financière non négligeable. Il est actuellement possible d'obtenir jusqu'à 2 000 euros pour un seul registre de données. Les criminels utilisent les informations spécifiques aux patients pour faire du chantage, voler leur identité ou falsifier des factures. Cependant, la bataille entre les hôpitaux et les cybercriminels est très inégale.

Pour pallier ces inégalités, nos voisins allemands ont voté le plan “Hospitals Future Program“ qui prévoit des investissements à hauteur de 3 milliards d'euros pour que les hôpitaux puissent se moderniser notamment dans le domaine de la sécurité informatique. En France, l’Agence du Numérique en Santé et l’ANSSI offrent un accompagnement et un suivi des incidents aux acteurs de la santé. Des concertations ont également débuté au 4èmetrimestre 2020 dans le cadre du plan d’investissement dans le numérique en santé qui porte une attention particulière aux hôpitaux publics, comme privés. Ce plan prévoit des investissements cumulés à hauteur de 2 milliards d’euros et notamment des aides « au déploiement des solutions logicielles dans les systèmes d’information existants. » Ces initiatives s’avèrent indispensables dans un contexte de menace aggravé non seulement par la pandémie mais aussi par l’avènement de l’Internet des Objets.

Plus de sécurité en quelques étapes

La juste stratégie de sécurité devrait inclure un large éventail de technologies de dernière génération : renseignement sur les menaces, algorithmes de machine learning mais aussi une sécurité multicouche pour les terminaux - y compris les machines physiques et virtuelles, les dispositifs mobiles, les dispositifs intégrés dans les équipements médicaux et les workloads basés dans le cloud. Toutefois, le défi n’est pas seulement technique. De nombreuses fuites de données ne sont pas causées par une intention malveillante, mais par la négligence d’un utilisateur. La formation et l'éducation internes peuvent contribuer à remédier à ce problème. Tous les utilisateurs ayant accès aux données sensibles doivent être conscients de la politique de conformité de l'entreprise et des politiques de protection des données spécifiques à leur secteur. Ils doivent également être sensibilisés aux diverses situations de menace et aux différentes mesures à mettre en place en cas d’incident : comment détecter les e-mails de phishing ou les sites web compromis ? Quelles sont les menaces actuelles ? Qui dois-je informer en cas de danger ? L'objectif est d'obtenir un "système de détection des intrusions humaines" par des employés attentifs et formés, qui contribue à la lutte contre les cybermenaces en complément des solutions technologiques.

Outre la possibilité d’attaques externes, les menaces dites "internes" constituent également un risque. Les solutions Data Loss Protection (DLP) empêchent les fuites de données, qu'elles soient accidentelles ou intentionnelles, entraînées par les employés. Elles garantissent que les collaborateurs ne peuvent ni envoyer des données sans autorisation ni les copier sur des supports de données externes. Par exemple, lorsque les données des patients sont envoyées par mail non sécurisées au médecin de famille pour un traitement ultérieur ou même à un tiers en raison d'une erreur de frappe. Les établissements de santé sont particulièrement vulnérables à cet égard, car les employés sont souvent situés simultanément dans différents réseaux de données et traitent ou transmettent des informations via des appareils privés, généralement non protégés. Avec une solution DLP, les messages sortants sont analysés sur la base d'une classification des données adaptée aux autorisations de l'utilisateur concerné. Si un email contient des données classifiées, la transmission est bloquée. Les fonctions DLP peuvent également être activées dans le cloud pour protéger les applications hébergées dans celui-ci (par exemple Office 365). Il existe également des solutions de sécurité qui déclenchent une alerte en cas d'activités inhabituelles ; notamment quand de grandes quantités de données sont déplacées, lorsqu'un ordinateur est utilisé en dehors des heures de travail normales ou lors de la visite répétée de sites web inhabituels.

Une solution de sécurité simple et efficace

Les hôpitaux étant actuellement sous pression, il est vital de privilégier l’accès à la ressource disponible. Ainsi, le personnel (médecin, infirmier, chirurgien, aide-soignant) doit accéder facilement aux données dont il a besoin car la sécurité ne devrait pas freiner l’accès à l’information lorsqu’il y a des vies en jeu. C’est pourquoi, les hôpitaux pourraient tirer profit de solutions de type Remote Browser Isolation (RBI). Ces dernières permettent aux utilisateurs d’avoir accès à n’importe quel site via une plateforme mise à disposition dans le Cloud. L’accès aux pages web est entièrement virtualisé. L’utilisateur a ainsi accès au contenu sans interagir avec le site web qui est isolé.

Les solutions RBI ont principalement deux avantages : favoriser l’accès à l’information tout en apportant une sécurité complète. Cela a pour effet de réduire les contraintes à la fois pour les administrateurs (en termes de déploiement) et pour les utilisateurs (en termes de facilité d’accès à l’information). Enfin, les solutions RBI doivent être déployées en complément des solutions de protection des flux Web existantes (type proxy). Cela en facilitera d’autant plus l’intégration et le déploiement.

Avec la crise sanitaire, les RSSI gagneraient à se tourner vers des solutions de sécurité qui peuvent profiter à la fois aux utilisateurs et aux services informatiques. La question des frictions entre l'IT et les métiers ne date pas d'hier, mais, pour les RSSI du secteur hospitalier, la dimension d'accessibilité est critique. A cet égard, ils sont véritablement en première ligne et peuvent contribuer à établir de nouveaux standards en termes de cybersécurité.

Par David Brillant, Director, Sales Engineering South EMEA de Forcepoint

[1] Rapport du Bundesamt für Sicherheit in der Informationstechnik, octobre 2020

##sécurité#cloud#numérique#rssi