- Cybersécurité dans la santé
L’écosystème français de la santé évolue et se transforme au gré de la dématérialisation des données et d’une utilisation en hyper-croissance d’outils numériques et d’infrastructures digitales. La numérisation du secteur santé est non seulement nécessaire, mais elle est inéluctable, car elle résulte de la convergence de plusieurs besoins et priorités exprimés par de nombreux acteurs du marché : les ministères, les agences gouvernementales, les institutions et autorités nationales, la communauté des professionnels de santé et des chercheurs, les industriels du secteur, les établissements et infrastructures de santé et les patients. La digitalisation de notre écosystème de santé s’impose comme un progrès offrant de grandes perspectives dans l’amélioration continue des performances de santé publique et dans l’efficience d’un modèle à la française. Le corollaire de cette transition numérique est une cyber-vulnérabilité en forte croissance avec l’augmentation des surfaces d’attaques exploitables par des groupes cybercriminels efficaces, furtifs et agressifs. Ces groupes professionnels s’intéressent de plus en plus aux données de santé et aux infrastructures qui les hébergent. Les attaques menées contre des cibles « santé » sont de plus en plus lucratives. Face à cette menace croissante, il convient de prioriser la cybersécurité des systèmes de santé en tenant compte de la sensibilité des données traitées et de l’impact potentiel d’une attaque sur ce type de cibles. La vulnérabilité des systèmes et infrastructures numériques dépend des applications et logiciels utilisés. Elle est à la fois intrinsèque et extrinsèque :
Intrinsèque car la défaillance d’une application ou d’un logiciel peut provenir de leur conception ou de leurs mises à jour. Cela se manifeste par des “bugs” de fonctionnement des logiciels ou applications, des interruptions de services ou par l’existence de failles de sécurité qui sont immédiatement exploitées par les attaquants agiles et déterminés. Nous avons tous en mémoire les mésaventures de la bibliothèque Java Apache Log4j. et plus généralement les vulnérabilités non patchées de bibliothèques open-sources pourtant omniprésentes dans les programmes.
Extrinsèque, car les mauvaises pratiques sont souvent imputables aux utilisateurs avec des configurations non renforcées, des mots de passe peu robustes, des politiques de sauvegardes non sécurisées, des manques d’actualisation des patchs de sécurités, des utilisations d’outils Open Sources non suivis, des jachères de certains systèmes, serveurs et machines. Ensuite, il peut s’agir d’attaques malveillantes extérieures qui contournent les systèmes de sécurité mis en place dans le but soit de porter atteinte à l’intégralité du fonctionnement du système (blocage, “bug”) ou des données (modification ou suppression) ; ou soit de voler des données sensibles pour les exploiter de façon illicite à la revente (données patients, dossiers médicaux, données cliniques de recherche…).
Les cyberattaques affectant le fonctionnement des systèmes et infrastructures dans un but de rançonnage ou de cyber terrorisme peuvent avoir des conséquences désastreuses sur la santé publique ; sur le plan financier ; sur le plan de la recherche médicale et sur la réputation d’un établissement ciblé.
En termes de volume d’attaques, le colloque réalisé par l’agence numérique de santé (18 novembre 2021) a permis de compter à cette date 47 cyber attaques réussies via des rançongiciels. Au total, 349 incidents de sécurité ont été relevés dans le domaine de la santé avec des impacts variables allant jusqu’à l’interruption totale de certains services. Ce nombre d’attaques pourrait augmenter dans les trois prochaines années avec les menaces sur le cloud et l’internet des objets médicaux. L’inquiétude des experts provient de l’augmentation régulière du niveau de sophistication des cyberattaques qui s’appuient sur des techniques de plus en plus complexes, intégrant parfois l’IA, avec des phases d’ingénierie sociale aussi furtives que performantes.
Malgré cette prise de conscience de la vulnérabilité des systèmes et infrastructures numériques de santé, malgré l’existence de programmes d’accompagnement, de sensibilisation et d’information des acteurs de santé (ANS), la réalité révèle que le niveau de cybersécurité dans les établissements de santé est faible ou du moins très hétérogène en fonction de la taille des établissements (1). Ce constat est mis en relief lorsque l’on compare le niveau cyber sécurité dans la santé face à celui du secteur financier et des assurances (2). On peut en partie expliquer cette situation par un manque de sensibilisation au problème au niveau local, par un manque d’expertise et de ressources et par un manque d’incitation.
- Cyber sécurité des robots chirurgicaux
La cybersécurité des robots chirurgicaux est un sujet émergeant, peu documenté et bien moins mis en lumière que celui de la sécurité des plateformes et applications de santé. Il est d’ailleurs très étonnant de constater que le rapport de l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) ne mentionne aucune divulgation de vulnérabilité au sujet des robots (3).
Deux hypothèses pourraient expliquer cette « discrétion ».
Première hypothèse : les robots chirurgicaux sont invulnérables ;
Deuxième hypothèse : les vulnérabilités et incidents de sécurité ne sont pas reportés à la CISA (Cybersecurity and Infrastructure Security Agency).
La première hypothèse est clairement fausse : Des problèmes de cybersécurité affectant les robots chirurgicaux ont été révélés, notamment en 2015 où une équipe de chercheurs de l’Université de Washington a découvert des vulnérabilités potentiellement mortelles pour les personnes opérées avec le robot Raven II. (4). Plus récemment, une enquête d’une équipe de chercheurs du Ceneyo a mis en lumière les failles de sécurité JekyllBot 5 (5) affectant des robots de soins hospitaliers.
D’autre part, selon un principe fondateur de prise en compte du risque en sécurité des systèmes, il faut considérer que toute application, logiciel ou système cyber-physique est potentiellement vulnérable et qu’il sera piraté d’une façon ou d’une autre, un jour ou un autre. L’objectif pour le fabricant est alors de rendre l’attaque la plus difficile possible, la plus décelable possible, le plus tôt possible, la moins dévastatrice possible et enfin de prévoir une parade efficace et rapide en s’appuyant sur les mises à jour de patch de sécurité. On peut imaginer que des technologies utilisant l’IA pourront plus facilement et plus précocement détecter les attaques et pourquoi pas, les repousser et sécuriser les systèmes de façon autonome.
La deuxième hypothèse questionne la transparence et la confiance des systèmes robotisés. Il est tout à fait possible que les fabricants s’adressent directement à leurs clients pour leurs faire part de problèmes de vulnérabilité et que ces alertes ne sortent pas de cette boucle de communication.
Quoi qu’il en soit, le résultat final est une question ouverte quant à l’efficacité des pratiques de sécurité dans les robots chirurgicaux.
3.La nécessité d’élaborer une stratégie de cyber sécurité pour les robots chirurgicaux
L’écosystème de santé est en pleine transformation digitale, l’hôpital 3.0 aura comme principale fonction la prise à charge plus personnalisée et plus efficiente des patients tout au long de leurs parcours du diagnostique jusqu’à leur retour leur activité normale; cela passera premièrement par la mise en place d’une architecture de systèmes et de services digitaux plus interconnectés et plus intelligents qui permettra une gestion des flux humains et de données plus efficace, plus adaptée et mieux maîtrisée. La production, l’analyse, l’interprétation et la valorisation des données constituera une activité stratégique pour l’hôpital et tout l’écosystème de santé. Toutefois, la dématérialisation des données et l’inter connectivité des systèmes digitaux rendent ce nouvel écosystème vulnérable aux menaces de cyber attaques. Les robots médicaux y compris les robots chirurgicaux, doivent être capables dans leur conception (security by design) et mode de fonctionnement de répondre aux exigences de cyber sécurité. Il est donc important d’élaborer une stratégie de cyber sécurité qui s’appuie sur l’implémentation de plusieurs mesures au niveau des principaux acteurs de l’écosystème.
Xavier Ranz et Thierry Berthier
Liens et Références
(1) le Ministère des Solidarités et de la Santé et l’Agence du Numérique de la Santé Cybersécurité dans le secteur de la santé et du médico-social : une priorité nationale pour réussir la transformation numérique – campagne nationale d’information sur la cybersécurité en santé.
https://www.netexplorer.fr/blog/cybersecurite-mauvais-chiffres-secteur-sante
(2) 2018 Data Breach Investigation Report VERIZON
(3) CISA -ICS CERT
https://www.cisa.gov/uscert/ics/advisories
(4) failles de sécurité RAVEN II
https://www.washington.edu/news/2015/05/07/uw-researchers-hack-a-teleoperated-surgical-robot-to-reveal-security-flaws/
(5) faille Jekyllbot-5 affectant certains robots hospitaliers
https://github.com/aliasrobotics/RVD/issues/4
