Agora sur la cybersécurité des établissements de santé

Suggested:

Agora sur la cybersécurité des établissements de santé

Agora sur la cybersécurité des établissements de santé

Elles sont le pire cauchemar des établissements de santé. Les cyberattaques se multiplient et frappent fortement les structures de santé, tant leurs données s’avèrent lucratives. Pour lutter contre, les équipes se mobilisent, les protections se déploient, les organisations et les mentalités changent… Elles étaient au coeur de l’agora qui s’est tenue au Healthcare Week Luxembourg, le 21 septembre dernier. C’est un événement du magazine SIH Solutions. Voici quelques pistes qui ont été abordées par nos invités.

Une chaîne de bout en bout

En avril 2022, le Grand Est était fortement touché par une cyberattaque. Profitant d’une faille de l’un des pare-feux, un hacker s’est infiltré dans le Système d’Information reliant les 8 établissements du GHT Coeur Grand Est. Des données administratives ont alors été diffusées sur le darknet. En réaction, l’accès internet a été coupé pour stopper l’attaque. Résultat : un service d’urgences dégradé, la paie, la messagerie, la trésorerie impactées, des sondes de contrôle hors service… « Près de 18 mois plus tard, nous sommes toujours en phase de remédiation », constate, navrée, Nadia Foubet, DSI du GHT. C’est dire l’ampleur de l’incident. Il faut préciser que « l’importance vitale de nos données rend les établissements de santé très attrayants pour les hackers », souligne Stéphane Barcik, RSSI de Pulsy, le GRADeS du Grand Est. « Fraudes, usurpations d’identité, renseignements pour le domaine de l’assurance ou de la banque, et même pour la recherche, .... Les données peuvent avoir des intérêts multiples, souligne Jérôme Gauthier, RSSI à l’Agence eSanté du Luxembourg. Et pourtant, au Luxembourg, aucune attaque majeure n’est à déplorer dans les établissements de santé. Si divers facteurs sont en cause, l’implication des équipes semble expliquer en partie cette situation. « Chacun de nos établissements a une équipe RSSI et une équipe SecOps (Sécurité Opérationnelle) en place, précise Jérôme Gauthier. Leurs membres sont issus du monde du pentest (tests de pénétration) et ont donc une expérience pointue des attaques. Leur implication est très forte et ruisselle sur toutes les strates de l’établissements. Direction, soignants, techniciens,... Tous les acteurs sont sur le pont. » Et sur cette question, Stéphane Barcik est du même avis. « La cybersécurité est l’affaire de tous. C’est une véritable chaîne. Elle risque de casser là où il y a un maillon faible. » C’est pourquoi il est primordial que l’information circule et que la formation soit adéquate.

La formation, la restauration et la remédiation

Pour les constructeurs, la sécurité est évidemment une question de tout premier ordre. Tous les filtres et barrières sont déployés pour lutter contre les attaques. Mais si elles doivent avoir lieu, savoir réagir s’avère tout aussi crucial. « Un hôpital est là pour sauver des vies, insiste Emmanuel Canes, Healthcare Field Director EMEA chez Dell Technologies. En cas d’attaque, les professionnels doivent être en mesure très rapidement de s’installer à un poste de travail restauré et sain. » La problématique de la restauration fait donc tout autant partie du problème et doit bénéficier du même niveau d’anticipation que la protection. C’est à ce prix que l’activité des établissements pourra être maintenue. Et c’est aussi dans cette phase que certaines questions doivent être abordées. Selon Nadia Foubet, « lors d’une attaque, cela vaut la peine de se demander s’il faut reconstruire à l’identique un système d’informations daté de 10 ou 15 ans. Ou bien d’emblée mettre des ressources pour opter pour une structure plus récente, plus résiliente et plus convergente. » Des budgets doivent donc être alloués. Un aspect qui pêche selon Emmanuel Canes en France. « Les budgets sont trop faibles, et tournent autour de 1,6% en moyenne. Le Luxembourg, lui, dispose d’une plus grande maturité digitale puisque les budgets représentent plus de 2% du budget des établissements. » Jérôme Gauthier enfonce le clou : « Au Luxembourg, l’argent n’est pas un problème quand il s’agit de cybersécurité. Quand un projet est identifié comme nécessaire à la protection de nos systèmes, les moyens sont alloués pour sa mise en place. » Car il faut bien comprendre que les grands projets d’établissements ne peuvent être menés sans définir le socle de sécurité qui les portera et quels coûts cela engendrera. C’est l’avis de Philippe Mayer, directeur général du GIP (Groupement d’Intérêt Général) Okantis, qui accompagne les établissements de santé dans l’amélioration de leurs systèmes d’information. « Les établissements ne peuvent pas se lancer dans des grands projets de dossier patient, de convergence ou de communication ville-hôpital sans déterminer comment ils atteindront leur but en termes de sécurité. C’est comme si vous installiez une toile de maître chez vous sans qu’il y ait de porte à votre maison. Il est nécessaire de faire un état des lieux solide de votre cybersécurité avant toute chose. Et cela requiert un budget conséquent qu’il ne faut pas négliger. » « Le second axe de travail pour nous tourne autour de la détection et la réaction face aux attaques, note Nadia Foubet. Cela passe par la mise en place d’outils de monitoring mais également par une question de ressources humaines et de temps disponible. » Et c’est bien là le nerf de la guerre. Dans le domaine de la santé, le recrutement s’avère souvent délicat. Peu de profils d’experts, des exigences salariales trop élevées pour les établissements publics... Ils peinent bien souvent à étoffer leurs équipes. Au-delà du recrutement, la formation est également un axe que tous mettent en avant. Beaucoup de cyberattaques sont liées à des mésusages et peuvent aisément être déjouées en rappelant les bonnes pratiques. Une vigilance qui peut s’atteindre par une démarche qualité autour de la formation. Celle-ci est d’autant plus importante que, sans prévention et face à l’urgence de soins, des actes inappropriés sont possibles. On le voit, si les moyens d’action identifiés sont partagés par tous, les réalités sont bien diverses. Une variété qui a largement contribué à enrichir le débat du 21 septembre dernier.

Marion BOIS

[pdf-embedder url="https://www.sih-solutions.fr/wp-content/uploads/2023/10/014SIHMAG_v02.pdf" title="Magazine SIH solutions "]