Cybersécurité dans le secteur de la santé : Constat, diagnostic, thérapie

Une informatique et une technique complexes, souvent obsolètes et hétérogènes, ainsi qu'une absence de stratégie de sécurité font par exemple des hôpitaux une cible rentable et sujette au chantage pour les pirates. Car une panne des systèmes n'est pas une option ici. Le butin de données est tout aussi convoité : selon le degré d'exhaustivité des informations, les dossiers médicaux peuvent coûter jusqu'à 1 000 dollars US sur le Darknet. Seuls les passeports américains sont encore plus chers, avec un prix unitaire de 1.000 à 2.000 dollars américains.

Manque de cybersécurité : conséquences de la pression sur les coûts

De plus, la plupart des victimes dans le domaine de la santé sont souvent totalement impréparées. Outre le manque d'argent, c'est surtout le manque de personnel qui est ici en cause, lorsqu'en Allemagne par exemple, deux collaborateurs sont parfois responsables de l'ensemble de l'administration informatique de trois établissements différents et n'ont guère de budget. La pression sur les coûts devrait encore augmenter

En outre, les exigences envers l'informatique augmentent dans un système de santé qui se numérise. La situation actuelle de crise et de danger montre que les hôpitaux doivent être traités de plus en plus comme une infrastructure critique. Au niveau administratif, les exigences croissantes en matière de protection des données augmentent les obstacles à la sécurité des données. Les règles de conformité doivent être de plus en plus respectées, qu'il s'agisse du RGPD, des certifications ISO ou des directives relatives aux ondes radio pour les appareils techniques.

Symptômes

La cybersécurité dans le secteur de la santé souffre toujours des symptômes suivants :

1. Logiciels de rançon : Les hôpitaux en particulier ne peuvent pas se contenter de subir les attaques de chantage qui cryptent les données ou bloquent les systèmes s'ils veulent continuer à soigner les patients. Dans ce domaine, les agresseurs agiront à l'avenir de manière encore plus agressive : D'une part, par des attaques automatisées sur des TI non préparées et, d'autre part, par des attaques de ransomware-as-a-service (RaaS) plus ciblées, initiées par ingénierie sociale sur les décideurs des ressources humaines, de l'administration et de la comptabilité.
2. Risques des appareils connectés : Dans le secteur de la santé, le nombre d'appareils médicaux IoT et OT en réseau augmente rapidement. Pourtant, ce vecteur d'attaque est encore souvent négligé et les appareils en réseau sont intégrés dans les réseaux sans la prudence qui s'impose. Les pirates connaissent en outre les risques spécifiques de ce matériel : ils savent comment trouver les mots de passe codés en dur de la plupart des appareils - et peuvent ainsi pénétrer dans le réseau. Souvent, il n'est même pas possible d'empêcher les utilisateurs non autorisés d'accéder aux appareils. Il est étonnamment fréquent d'utiliser des appareils dont la certification est insuffisante. Les systèmes dont les systèmes d'exploitation sont obsolètes et ne sont plus pris en charge créent également de nouveaux risques au fil du temps.
3. Manque de visibilité du matériel : De nombreuses organisations ne prennent pas en compte l'informatique dans son ensemble. Ainsi, le cryptage des serveurs de l'hôpital Lukas à Neuss (cette cyberattaque de 2016, rendue publique dans toute l'Europe, a entraîné des dommages de 900 000 euros ; ndlr) n'a été possible que parce qu'un ancien client, invisible, disposait de droits d'administrateur et a ainsi permis au malware de se propager. Dans le cas de l'IoT et de l'OT, ce risque est encore plus fondamental, car la plupart de ces appareils ne sont pas soumis à l'accès des organisations informatiques internes.
4. Les failles de sécurité "zero-day" continuent de se multiplier : Log4j a montré que les failles de sécurité du jour zéro continuent de causer des dommages importants et de menacer d'innombrables entreprises. Le secteur de la santé est plus vulnérable à ce type de vulnérabilités et le manque d'attention peut conduire à une augmentation de l'exploitation de ces failles.

Propositions thérapeutiques pour une meilleure cybersécurité

Si l'on veut veiller à la sécurité des systèmes et à la santé des patients, on devrait et on peut agir sur plusieurs leviers :

• Protection de tous les appareils : Une solution XDR (Extended Detection and Response) protège non seulement les points finaux ordinaires, mais aussi les appareils sur lesquels - comme dans le cas de l'IoT - il n'est pas possible d'installer des agents ou qui échappent au contrôle des responsables informatiques.
• Gestion et évaluation continues des failles de sécurité : Les contrôles de diligence raisonnable ainsi que l'évaluation et la gestion des vulnérabilités sont des éléments clés pour découvrir et combler les failles potentielles et existantes avant que les attaquants ne les exploitent.
• Isolation de segments de réseau : Cela permet de limiter les dommages. En séparant rapidement les zones du réseau les unes des autres, on peut par exemple empêcher la propagation d'un ransomware.
• Gestion de l'identité : Cela permet de réduire le risque de mauvaise conduite de la part du personnel. Cela est particulièrement important compte tenu de la taille de nombreux établissements et du nombre d'employés, souvent peu expérimentés en matière de sécurité informatique ou peu conscients des problèmes de sécurité.
• Tests d'intrusion : Ils permettent de tester la capacité de réaction de la défense informatique de l'entreprise et contribuent à identifier les parties de l'organisation ou les collaborateurs vulnérables et les domaines dans lesquels la réaction aux incidents peut être améliorée. (Plus d'informations sur les tests d'intrusion montre cet article - payant(n.d.l.r.)

S'adjoindre une expertise externe

Les administrateurs informatiques du secteur de la santé ne sont pas seulement surchargés de travail, ils n'ont souvent pas l'expertise nécessaire ou le temps de développer une telle expertise. Ils n'ont souvent pas le temps de s'occuper de la cybersécurité et de réagir aux incidents concrets. Ils ne sont généralement pas en mesure d'analyser les anomalies de comportement des points de terminaison.

• Choix du partenaire : L'aide ne peut donc venir que de partenaires disposant des connaissances correspondantes en matière de sécurité informatique et de branche. Par exemple, lors du changement de fournisseur. De nombreux départements informatiques ne savent pas à quel point la désinstallation de l'ancien système a été complète et combien de clients doivent encore être reconfigurés manuellement. En effet, les nouveaux jeux de règles peuvent avoir des effets désagréables pour toutes les personnes concernées, dont les causes doivent ensuite être analysées et corrigées, ce qui prend beaucoup de temps. C'est là que les partenaires peuvent apporter leur expertise et accompagner intensivement les processus de déploiement afin de limiter au maximum ces retouches et de pouvoir réagir en temps réel. Un revendeur à valeur ajoutée joue ici un rôle important et peut être comptabilisé séparément comme poste de service dans le budget.
• analystes en sécurité : Les services Managed Detection and Response (MDR) sont tout aussi importants. Les grandes cliniques dotées de systèmes très complexes qui, pour des raisons de conformité, auraient besoin d'un SIEM ou d'un ISMS (Security Information and Event Management ou système de gestion de la sécurité de l'information), peuvent louer les technologies et les ressources nécessaires à un prix avantageux auprès d'un Security Operation Center externe dans le cadre d'un service MDR. C'est toujours moins cher et en même temps plus efficace que d'acquérir et d'exploiter cette technologie soi-même. Et en plus, MDR offre l'expertise, les conseils et le soutien actif d'analystes en sécurité.

Auteur :
Jörg von der Heydt est directeur régional DACH chez Bitdefender