Les attaques par ransomware ciblant le secteur hospitalier ont considérablement augmenté ces dernières années. En 2022, pas moins de 11 hôpitaux français ont été visés et seulement deux attaques ont été déjouées[1]. Comment les attaquants parviennent-ils à s’infiltrer avec une telle facilité et à causer autant de dommages au sein des hôpitaux français ? Le manque de moyens alloués à la sécurité informatique est souvent évoqué, mais qu’entend-on par manque de moyens et quels investissements faudrait-il privilégier pour assurer une meilleure cybersécurité de notre système de santé ?
Santé : cybersécurité, où devraient investir les hôpitaux ?
Cybersécurité des hôpitaux : des ressources financières largement insuffisantes
Conséquence du manque de moyens et de savoir-faire en interne, la plupart des dispositifs médicaux mis en place dans les établissements de santé français utilisent des logiciels, obsolètes ou non mis à jour, ce qui fait d’eux une porte d'entrée principale des acteurs malveillants. Ces vulnérabilités importantes du secteur conduisent à des attaques à répétition, ce qui a été confirmé dans un récent rapport[2] qui souligne l’évolution des menaces en matière de cybersécurité dans le domaine de la santé.
On peut également questionner le niveau de préparation cyber des établissements de santé français. L’annonce par le gouvernement en décembre dernier d’un Plan Blanc Numérique visant à former les équipes en cas d’incident cyber témoigne dans une certaine mesure de l’inéluctabilité de ces attaques. L’idée du gouvernement est simple : renforcer l'efficacité de la réponse des établissements de soins afin de réduire perturbations et coûts en cas d’attaque. 10 millions d’euros ont été alloués à cette mission de préparation, chaque établissement se voyant attribuer une enveloppe allant de 4 000 à 10 000 euros en fonction de son niveau de maturité en termes de cybersécurité. Quand on sait que certains hôpitaux français emploient plusieurs dizaines de milliers de personnes, on est en droit de se demander si cet effort suffira.
Une pénurie de main d’œuvre qualifiée qui joue sur le bien-être de la profession
Autre problème qui n’épargne pas l’industrie de la santé : la pénurie de talents « cyber » qui va en s’accentuant. Sans équivoque, cette pénurie de main d’œuvre affecte la capacité des organisations à sécuriser leurs systèmes d’information et réseaux selon 83 % des professionnels français[3]. Au-delà des compétences qui se font rares et précieuses - le savoir-faire anti-hackers est le talent numérique le plus recherché en entreprise -, la France est là encore livrée à un problème de sous-investissement systémique des entreprises qui conduit à un épuisement inquiétant des ressources : près d’un responsable de la sécurité informatique sur deux déclaraient vouloir changer d’emploi d’ici 2025 selon un sondage réalisé par le CESIN. 60 % d’entre eux disent éprouver un « stress élevé » au quotidien, voire
un stress « avec risque d'épuisement au travail » pour 28 % d'entre eux. Une conclusion s’impose : si les ressources ne sont pas en mesure de faire face à l’ampleur de la tâche, comment peut-on les outiller au mieux ?
La cybersécurité au cœur des décisions stratégiques des hôpitaux
Pour assurer une cybersécurité efficace, il est d’abord fondamental que cette dernière soit perçue comme centrale au bon fonctionnement des organisations. Cette stratégie globale doit être avant tout pilotée par les risques; à l’heure des appareils IoT médicaux tels que le lit ou l’imagerie connectée, le patient lui-même devient vulnérable à une cyberattaque. La prévention et ses mesures de sécurité proactives sont toujours essentielles mais la détection rapide, la réponse sur incident et la gestion de crise sont tout aussi critiques pour limiter les impacts d’une attaque. De trop nombreuses structures sont encore aujourd’hui équipées d’un patchwork de solutions qui manque d’intégration et qui ont pour conséquence de rendre impossible une réponse unifiée et convergée. Les établissements de santé tireraient un important bénéfice à mettre en œuvre une architecture XDR (détection et réponse étendues) flexible, évolutive et ouverte qui peut s'intégrer de manière transparente à leurs outils de sécurité actuels. L’idée est simple : les données issues de différentes sources sont introduites dans une plateforme centralisée et intelligente. L'équipe en charge de la sécurité informatique peut ainsi répondre à trois questions pragmatiques lors de la détection d’une attaque :
- Que s’est-il passé?
- Quel utilisateur/ressource a été touché?
- Quelles actions de remédiation ont été prises automatiquement ou sont à mener?
À l’ère de ChatGPT et des questionnements sur la place de l’homme et de la machine, une harmonie est possible entre un système de protection automatisé et des analystes sécurité alors mobilisés à leur juste niveau de compétences et en mesure de prendre des décisions à véritable valeur ajoutée. Elle est possible et pas seulement dans le milieu des entreprises. Le secteur de la santé gagnerait aussi fortement à profiter des bénéfices qu’offre la technologie pour mieux se concentrer sur sa mission première : sauver des vies.
[1] Cyberattaque : la liste des hôpitaux touchés en 2022
[2] The Threat Report : Summer 2022, Trellix, juillet 2022
[3] Trellix Skills Gap research 2022, Trellix, juin 2022