Les enjeux cyber dans le secteur de la santé et des hôpitaux
Les enjeux cyber dans le secteur de la santé et des hôpitaux
L'évolution dans le domaine de la santé est l'une des évolutions que nous accueillons avec le plus grand espoir et la plus grande joie pour le bien-être et la qualité de vie de tous. Toutefois, elle s'accompagne des risques liés à la digitalisation du secteur.
Le secteur de la santé et des hôpitaux : un secteur cible des menaces
Dans un monde toujours plus connecté, la transition numérique bouleverse depuis longtemps le secteur de la santé. L’innovation étant au cœur des process d’amélioration du bien-être et de la qualité de vie des patients et de facilitation le travail des soignants. L’internet des objets prend une place de plus en plus importante dans les hôpitaux afin d’améliorer les parcours de soins et rendre les bâtiments plus intelligents, plus performants. Il existe ainsi beaucoup d’interfaces de communication que ce soit avec les personnes, les patients, les médecins, le personnel soignant, ce qui requiert une vigilance accrue dans la sécurité et la confidentialité des données.
Le nombre de cyberattaques ne fait que de croître ces dernières années, le secteur médical étant aujourd’hui l’un des cinq secteurs les plus attaqués. Les attaques contre l’hôpital de Corbeil-Essonnes ou encore celle de l’hôpital de Versailles en 2022, nous ont montré qu’une cyberattaque peut bloquer le fonctionnement d’un l'établissement pendant plusieurs jours voire semaines et ainsi perturber le quotidien des professionnels et porter atteinte à la prise en charge et à la santé des patients. En effet une seule cyberattaque peut avoir de multiples conséquences :
- Systèmes biomédicaux paralysés.
- Plateaux techniques indisponibles.
- Données de programmation des soins détruites.
- Systèmes de messageries en panne.
- Données de gestion et de ressources humaines perdues.
- Données personnelles de santé usurpées.
Les types d’attaques sur le secteur
D’après l’Agence du numérique en santé (ANS), le nombre d'incidents de sécurité informatique a doublé en 2021 par rapport à 2020. Liée à la crise sanitaire, 2020 était déjà une année « exceptionnelle », comme l'explique Marc Loutrel, le Directeur de l'expertise et de l'innovation à l'ANS. Le CERT santé, l'équipe chargée de répondre à ces urgences cyber, a reçu plus de 730 déclarations d'incidents en 2021, contre 369 en 2020. De plus, 500 000 dossiers médicaux français ont été mis en vente rien qu’en février 2021, sur l’ensemble de l’année cela représente 1,4 millions de citoyens concernés. La santé connaît plusieurs vecteurs d’attaques connus qui ont des particularités différentes. Nous connaissons aujourd’hui 3 types d’attaques :
- Les attaques en ligne ou par le télétravail
Les attaques en ligne englobent toute attaque qui utilise le réseau et les services en ligne pour atteindre ses objectifs. C'est l'une des plus répandues, car les attaquants peuvent se masquer de manière plus sûre et s'exposent peu. Elles deviennent particulièrement sensibles dans le domaine des soins de santé avec toutes les possibilités de mise en réseau qui se développent et dans l'évolution vers l'e-santé.
Le ransomware reste l'une des attaques à distance qui a le plus d'impact sur le secteur. Dans le dernier rapport de l’ANSSI, les principales sources de ransomware utilisées en 2022 contre les établissements de santé sont LockBit, Hive et BlackCat. On observe également des vols de données, des vols d'identifiants d'accès, du phishing ciblé (BEC) et, depuis 2020, une augmentation des attaques DDoS. Vis-à-vis du phishing, l’ANSSI signale que les usurpations d’identité de l’Assurance Maladie sont en hausse.
En outre, les établissements de santé font partie des secteurs qui enregistre le plus grand nombre d'attaques réussies dues à des vulnérabilités web ou à des configurations non sécurisées. Cela en raison de l'augmentation récente des applications ouvertes sur internet et des services publics en ligne.
- Les attaques en interne
Les attaques en interne proviennent d'une personne qui a accès au réseau et aux services depuis l'intérieur de l'organisation. Dans le secteur des soins de santé, nous disposons d'un groupe diversifié de travailleurs (par exemple, des médecins, des infirmiers, des aides-soignants, du personnel administratif, etc.), qui sont très mobiles, et auxquels un accès maximal aux informations est requis afin de garantir l'efficacité des soins et donc la santé des patients. Un travailleur peut devenir le complice d'un agresseur ou un agresseur lui-même, volontairement ou par erreur.
Les employées ont majoritairement accès aux données sensibles de niveaux élevés. Que ce soit intentionnellement ou non, les employés peuvent exposer, ou contribuer à exposer, des informations confidentielles sur les données des patients : coordonnées personnelles (adresse, numéro de sécurité sociale…) et d’indications médicales (groupe sanguin, médecin traitant, commentaires sur l'état de santé…). L’implication de ces personnes varie en fonction de leur motivation, de leur sensibilisation, du niveau d'accès et de leur intention. Cet exemple souligne le manque d'habitude ou de formation à l'utilisation des protocoles de sécurité. IBM constateune augmentation de plus de 200% du nombre de violations de dossiers en 2019 par rapport à 2018 selon leur rapport« IBM X-Force Threat Intelligence Index 2020 ». Ces violations peuvent aussi trouver à leur origine des tiersqui peuvent être des patients, des visiteurs, des accompagnants, des prestataires, ou ceux qui peuvent se faire passer pour des tiers et qui sont en réalité des agresseurs de l'intérieur.
- Les attaques de proximité
Pour ce qui est des attaques de proximité, ce sont celles qui sont liés aux technologies de communication à courte portée. En particulier, dans le secteur de la santé, nous trouvons de nombreux dispositifs médicaux qui utilisent ces technologies (par exemple Bluetooth, WiFi, RFID, irDA, etc.) et beaucoup d'entre eux sont mal configurés ou ont des protocoles obsolètes et non sécurisés dont la mise à jour est coûteuse ou complexe. Ils sont également situés dans des zones dont la portée de couverture atteint les parties communes, ce qui permet à l'attaquant d'être à proximité sans possibilité d'être découvert. Les établissements de santé reçoivent constamment du personnel extérieur, leur raison d'être est de fournir des soins à chacun d'entre nous, par conséquent, les attaques de ce style n'ont pas la mesure supplémentaire d'un accès physique restreint ou contrôlé.
D’après le dossier d’information Es Santé du Gouvernement, le nombre d’incidents bloquant l’accès à distance a augmenté en 2020. C’est souvent par ce canal que les personnes malveillantes accèdent au SI interne pour introduire un code malveillant. Cette hausse est étroitement liée à un usage accru de l’accès à distance durant la crise du COVID-19 et aux difficultés de rencontrer les responsables informatiques dans le but de corriger ces faiblesses sur un SI trop exposé en Interne.
Face à la montée de ces menaces, en ligne, interne ou de proximité, le budget numérique pour le secteur de la santé a été réévalué. Emmanuel Macron a annoncé : au total 350 millions d’euros d’investissements dans le cadre de son plan pour la cybersécurité. Cet investissement a pour objectif de sensibiliser les personnels aux bonnes pratiques numériques et renforcer la sécurité des systèmes d'information de santé impliqués dans les échanges de données du parcours de soins.
Associer la cybersécurité à la santé des personnes
Comme annoncé en 2021 par le Président Emmanuel Macron, la cybersécurité pour les établissements de santé est priorité nationale : « Au total, 1 milliard d’euros seront investis. Il nous faut renforcer les formations et doubler à l’horizon 2025 le nombre d’emplois dans ce secteur stratégique. Les structures de santé seront invitées à consacrer systématiquement 5 à 10 % du budget à la cybersécurité, notamment au maintien en condition de sécurité des SI dans la durée. ». Deux ans plus tard, nous savons qu'il reste encore beaucoup de chemin à parcourir, mais nous savons aussi que les établissements et entreprises du secteur de la santé travaillent constamment à leur développement technologique et à leur sécurité, dans la mesure où leur capacité d'investissement le permet. Il est nécessaire de comprendre que la cybersécurité des technologies qui contribuent à fournir des services de santé est essentielle pour que ceux-ci soient fournis avec des garanties de sécurité et d’efficacité.
Qu’il est tout aussi important de renforcer la formation à la cybersécurité à l'ensemble du personnel, y compris des tiers, en leur faisant comprendre que la santé et le bien-être des patients passent également par leur implication dans la sécurisation et la protection informatique. Car même en tant que professionnels de santé, ils sont aussi la première défense et la première alerte des établissements de santé en matière de Cybersécurité.
C’est pourquoi nous seront présents à Medintechs les 13 et 14 mars au cœur du Village « Cybersécurité » en partenariat avec l’ACN – l’Association Confiance numérique. Ce salon met en avant l’innovation et les nouvelles technologies dans le secteur de la santé aux Professionnels et au Grand Public. Medintechs est accessible à tout public, les citoyens comme l’écosystème de la santé, de découvrir ce que la santé a de meilleur à nous offrir. Rencontrez-nous sur place pour échanger sur vos enjeux de cybersécurité et de mobilité au service des acteurs de la santé.