L’AP-HP en 2020, Dax le 9 février dernier, puis Villefranche-sur-Saône, Tarare et Trévoux le 15 du même mois… En pleine pandémie, le secteur de la santé doit gérer une nouvelle urgence : la lutte contre les cyberattaques. Un domaine dans lequel une prise de conscience est en cours, qui devra être suivie d’effets rapidement.
LES FAIBLESSES DES HÔPITAUX FACE À LA MENACE
Le secrétaire d’État à la transition numérique, Cédric O, l’annonçait en février : les hôpitaux français ont fait l’objet de 27 cyber-attaques majeures en 2020 et une par semaine depuis début 2021. Pendant la crise, le risque s’intensifie. Particulièrement fragilisés, leur vulnérabilité, déjà établie, s’accentue. « L’urgence est une donnée intrinsèque aux établissements de santé, fait remarquer Vincent Nicaise, responsable des partenariats et de l’écosystème industriel chez Stormshield. Mais elle est encore plus élevée dans ce contexte de pandémie. Les hackers savent que cela ajoute encore au stress des décideurs à qui sont demandées les rançons ».
Mais au-delà de ce facteur ponctuel, c’est aussi une question de culture. « La prise de conscience est relativement tardive dans le domaine de la santé, précise Yohann Fourchon, RSSI et délégué à la protection des données au GHT d’Armor. Les systèmes sont trop peu sécurisés « by design ». Pourtant les besoins nous exposent de plus en plus : partage de données, télémédecine, téléexpertise… Ces nouvelles démarches sont très positives mais nécessitent un cadrage fort ».
Et alors que les vecteurs potentiels de cyberattaques se développent (dispositifs médicaux, DPI, systèmes industriels…), la formation des usagers est encore à la peine. Vincent Nicaise indique que, « bien souvent, le maillon faible de la cyberattaque, c’est l’humain. En cliquant sur un lien ou via une interaction, il va ouvrir une porte vers le système d’information ». Pourtant, les campagnes de sensibilisation sont encore assez peu nombreuses.
UN ARSENAL DE PROTECTION
Pour toutes ces raisons, les directions de systèmes d’informations sont sur le qui-vive. Sur la base des préconisations de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, les équipes se positionnent pour parer un maximum d’attaques. C’est le cas notamment au GHT de l’Artois, où un changement de firewall est en cours, sous l’impulsion des recommandations de l’agence. « Pour nous mettre en conformité, notre choix s’est porté sur la solution firewall de Stormshield, explique Christophe Konieczny, RSSI de l’établissement. Le firewall est l’un des principaux vecteurs d’entrée, il est donc primordial de surveiller et de monitorer toutes les communications qui entrent et qui sortent de l’établissement. Cela permet de bloquer les tentatives d’intrusion sur le SI. ».
Le firewall « Stormshield Network Security » bloque en effet les communications à l’entrée du SI et segmente les réseaux et les sous-systèmes pour ralentir les attaques. « Nos outils sont complémentaires, insiste Vincent Nicaise. C’est pourquoi le firewall peut être couplé avec la solution « Stormshield Endpoint Security Evolution » qui sécurise les postes de travail en détectant les comportements anormaux ». Enfin, le chiffrement des données de santé sensibles vient parfaire la protection.
VOIR AU-DELÀ DES ATTAQUES IT
Pour être exhaustif, il s’agit de bien couvrir tout le scope des attaques possibles. Si la plupart d’entre elles visent bien le système IT (Technologies de l’Information), il ne faut pas pour autant négliger les systèmes industriels. Dans un hôpital en effet, de nombreux réseaux sont gérés par des systèmes d’information OT (Technologies Opérationnelles). La gestion des fluides médicaux, la sécurité incendie, la gestion technique électrique sont autant de points sensibles de sécurité et peuvent impacter l’établissement. Un mauvais fonctionnement du système qui traite de la qualité de l’air peut ainsi conduire au développement de bactéries et donc à l’arrêt d’un service ou à des transferts de patients. « C’est en prenant en compte l’environnement où sont déployés ces systèmes que l’on a élaboré des équipements capables de résister à l’humidité, aux chocs et à l’électromagnétisme, détaille Vincent Nicaise.
Ces systèmes communiquent avec des protocoles industriels qui sont propres à ces installations. Nous avons poussé le travail d’analyse protocolaire et la détection des attaques et communications malveillantes jusque sur ces installations industrielles ».
Marion BOIS
