Pallier le retard de la cybersécurité dans le domaine de la santé

Les vulnérabilités introuvables

Le secteur de la santé est le troisième domaine le plus touché par les attaques cyber, dans le monde, au premier trimestre 2023. D’ailleurs, les cyberattaques ont augmenté de 15% au 1^er trimestre 2023, en comparaison du 1^er trimestre 2022¹.

En France, depuis environ un peu plus d’un an, le gouvernement a pris de nouveaux engagements pour renforcer la cybersécurité des établissements de santé, notamment un "vaste programme de préparation aux incidents cyber" et un "plan blanc numérique". Mais les cyberattaques contre le secteur de la santé ne montrent aucun signe de ralentissement.

Malgré les risques, les établissements de santé se fient encore trop à leurs fournisseurs pour protéger leurs données, leurs systèmes et leurs activités. Ils n’auraient pas encore vérifié les mesures de cybersécurité de leurs fournisseurs tiers ; alors qu’ils devraient au moins procéder à une forme d'audit de la cybersécurité de leur supply chain et prendre des mesures pour atténuer les risques d'attaques de cette chaîne.

Les enjeux sont immenses dans un secteur où fournir des soins exceptionnels aux patients est primordial et peut sauver des vies. Un manque de préparation et de résilience cybernétique peut avoir des conséquences catastrophiques au même titre qu’une surveillance insuffisante qui ouvrirait la voie aux attaquants, ce qui, en 2023, frôle dangereusement la négligence.

De la prévention à la survie

Les mentalités doivent radicalement changer en matière de cyber-stratégie pour que les prestataires de santé puissent véritablement renforcer leur cyber-résilience, rester en conformité et assurer de manière proactive des soins continus et cohérents à leurs patients. Dans un paysage où les attaques sont devenues monnaie courante, se limiter à la prévention ne suffit plus. La priorité absolue réside désormais dans la capacité à garantir la survie et la continuité des activités, même en présence d'une attaque en cours.

Pour commencer, il faut adopter un état d’esprit qui consiste à « assumer la violation ». Une approche qui insiste sur la préparation, avec pour objectif la mise en œuvre proactive de contre-mesures pour réduire l'exposition initiale au risque et atténuer l'ampleur d'une violation lorsqu'elle se produit.

L’approche consistant à « assumer la violation » est un élément fondamental d'une évolution plus large vers le Zero Trust, un modèle de sécurité qui consiste à « ne jamais faire se fier, toujours vérifier ». Grâce au Zero Trust, chaque tentative d'accès est traitée comme une menace potentielle. Les appareils et les utilisateurs doivent donc être soumis à une authentification rigoureuse avant d'avoir accès aux ressources médicales.

Un des fondements du Zero Trust est la segmentation Zero Trust (ZTS) qui réduit la surface d'attaque et garantit qu'un intrus, une fois à l'intérieur, ne puisse accéder ni aux systèmes essentiels ni aux données sensibles. Dans le cas de la santé, par exemple, la ZTS permet de s'assurer qu'un fournisseur tiers vulnérable ne provoquera pas la fermeture de l'hôpital tout entier (et de ses infrastructures nécessaires à la survie des patients).

Pour mettre en œuvre une stratégie Zero Trust, les organismes de santé doivent d'abord identifier leurs actifs les plus critiques et déterminer les vulnérabilités potentielles ou les risques de transmission. A fortiori avec la multiplication des dispositifs médicaux IoT dans les établissements hospitaliers, il est indispensable de savoir quels sont les actifs connectés dans l'environnement pour pouvoir évaluer l'exposition aux risques.

À partir de là, ces établissements peuvent prendre les mesures appropriées pour réduire leur surface d'attaque. Grâce à des outils tels que la ZTS, ils peuvent restreindre l'accès aux systèmes vulnérables et empêcher les attaquants d'utiliser des protocoles de communication courants grâce à une approche de liste d'autorisations. Ils peuvent également utiliser les informations contextuelles pour isoler les systèmes infectés, les mettre en quarantaine pendant la remédiation de manière à assurer le maintien des services et restaurer tous les services, une fois qu'ils ont été vérifiés et qu'ils sont sans danger.

Aller de l'avant

Outre une approche plus proactive et un état d’esprit consistant à « assumer la violation », il s’avère indispensable, dans le cadre des stratégies de cybersécurité, de procéder régulièrement à des tests de cyberdéfense internes et réalisés par des tiers. Cela peut aller du test régulier effectué par les prestataires de soins de leur propre infrastructure de sécurité à une évaluation fréquente de l'efficacité de leurs fournisseurs de logiciels. Les hôpitaux doivent particulièrement veiller à ces évaluations régulières, car ils comptent un grand nombre de fournisseurs allant de la restauration au nettoyage en passant par les services d'ambulance.

Il serait idéal que tous les fournisseurs soient soumis à une évaluation exhaustive de leur cybersécurité. Mais dans les faits, c’est totalement irréalisable. Les fournisseurs qui disposent d’un accès direct aux systèmes hospitaliers devraient être soumis à des tests plus rigoureux. Quant aux autres fournisseurs qui ont un niveau d’accès le plus basique, il serait souhaitable de mettre en place des mesures d'atténuation et d'accès avec le moins de privilèges.

Bien que l'objectif des hôpitaux soit d’être aussi accessibles et ouverts que possible, il faut absolument limiter l'accès à des zones sensibles telles que les salles d'opération. Il en va de même pour la cyber-résilience. Le but est de fournir des services à tout le monde, tout en contrôlant l'accès aux actifs les plus sensibles.

À mesure que le secteur de la santé poursuit sa transformation numérique en profondeur, la surface d'attaque va inévitablement s'étendre et inclure de nouveaux équipements et dispositifs médicaux. Malgré les avancées technologiques, les principes fondamentaux de la cybersécurité demeurent constants : maintenir une hygiène de sécurité solide reste la meilleure stratégie pour atténuer les risques. Elle implique la mise à jour régulière des correctifs, la gestion de l'accès aux systèmes et aux services à l'aide d'outils comme la ZTS, et la mise en place d'une stratégie de moindre privilège.

Avec des approches telles que le Zero Trust, les établissements de soins peuvent renforcer leur préparation pour éviter que les violations quotidiennes ne perturbent gravement leurs activités. Elles peuvent aussi garantir que les risques liés à une chaîne d'approvisionnement informatique vulnérable et en constante expansion ne perturbent pas de manière récurrente les services de santé essentiels.

¹ Une première analyse de l’impact des cyberattaques sur les établissements de soin (Check Point Software Technologies, 2023)