Cibles des cybercriminels, les établissements hospitaliers ont essuyé de sérieux dommages ces derniers mois, en raison principalement de rançongiciels virulents. Comment réagir ? Quelles solutions mettre en place pour se prémunir de ce type d’attaques ? Comment améliorer la cybersécurité des hôpitaux ?
Selon l’édition 2021 de l’étude X-Force Threat Intelligence Index publiée par IBM Security, le secteur de la santé s’est classé en 2020 au septième rang des industries les plus ciblées par les cybercriminels dans le monde, ce qui représente une progression de trois places par rapport à 2019 dans la liste des cibles prioritaires des cybercriminels.
Ce secteur a par ailleurs été l’objet de 6,6 % de toutes les attaques enregistrées, une part qui a plus que doublé d’une année sur l’autre. Près de 28 % des attaques étaient des ransomwares. En France, 27 attaques majeures ont concerné des hôpitaux en 2020, soit une attaque toutes les deux semaines. En 2021, le rythme s’est accéléré, passant à un acte malveillant par semaine.
Les hôpitaux : une cible de choix
Plusieurs facteurs expliquent pourquoi les cybercriminels ont intensifié leurs attaques envers les acteurs de la santé pendant la pandémie. Le premier d’entre eux tient au fait que, sous très forte pression en raison de l’afflux de patients atteints de la Covid-19, les hôpitaux ont constitué des cibles de choix ; même si la consigne officielle est de ne pas payer les rançons.
La deuxième raison est que les données de santé auxquelles les pirates ont accès à travers leurs attaques ont une valeur marchande bien supérieure à celle d’autres jeux de données. Mi-mai, un tristement célèbre groupe cybercriminel a paralysé – via un ransomware – le réseau informatique du système de santé d’un pays d’Europe de l’Ouest. En tout, 700 Go de données médicales ont été dérobés. Une rançon de 20 millions de dollars a été exigée par les cybercriminels. Le très lucratif commerce des données de santé est sans limite.
Des dépenses en cybersécurité des hôpitaux largement inadaptées aux enjeux
Les établissements hospitaliers sont également la cible répétée d’attaques parce qu’il est relativement facile pour les pirates de pénétrer leur système d’information (SI). Dans la plupart des hôpitaux, la cybersécurité a jusqu’à présent été le parent pauvre des investissements IT. Le ratio préconisé par l’ANSSI (l’Autorité Nationale en matière de Sécurité et de défense des Systèmes d’Information), selon lequel les DSI des hôpitaux devraient allouer entre 5 et 10 % de leur budget à la sécurité, est dans bien des cas loin d’être respecté.
Et pourtant, ces établissements sont aujourd’hui parmi les organisations les plus informatisées qui soient. Les SIH (systèmes d’information hospitaliers) pilotent à la fois les plannings, le relevé des activités médicales, les dossiers patients, les habilitations du personnel mais aussi la paye, la facturation, le suivi budgétaire…
Les équipements biomédicaux, véritables chevaux de Troie
Les blocs opératoires, salles d’examens et chambres des patients sont par ailleurs remplis de dispositifs médicaux connectés. Les pompes à insuline, tensiomètres et autres défibrillateurs connectés fournissent au corps médical une précieuse aide ainsi que des informations de très haute qualité. Les scanners et IRM sont eux aussi reliés en permanence à des salles serveurs assurant leur bon fonctionnement. Sans IT, sans connectivité, aucune activité n’est plus possible aujourd’hui.
Le problème vient du fait que la décision d’achat de la plupart de ces équipements biomédicaux dépend le plus souvent des médecins, sans qu’une concertation systématique avec les membres de la DSI n’ait lieu. Des équipements biomédicaux divers et variés cohabitent donc avec les systèmes de la DSI, sans prise en compte globale de la cybersécurité.
C’est d’autant plus alarmant que ces matériels – même s’ils sont isolés dans des VPN – sont très exposés et vulnérables aux attaques. Cela tient notamment au fait que leur durée de vie est très longue : entre 10 et 20 ans, parfois 30. Ces équipements fonctionnent donc avec des systèmes d’exploitation la plupart du temps obsolètes, dont les failles ne font plus l’objet d’aucun correctif depuis longtemps. Or, ces OS ne peuvent être modifiés, sous peine de perte du marquage CE de l’équipement.
L’hétérogénéité et la très longue durée de vie de ces matériels est donc une source de complexité croissante pour les DSI mais aussi une porte grande ouverte aux cybercriminels. La prise de contrôle par un attaquant d’un de ces équipements peut non seulement mener au reste du SI mais aussi avoir des répercussions dramatiques pour les patients.
Que faire concrètement pour améliorer la cybersécurité des hôpitaux ?
Dans ce contexte, le tout premier chantier que les hôpitaux doivent mettre en place est celui de la visibilité. En mettant par exemple en place un SOC (Security Operations Center : Centre d’opérations de sécurité), l’établissement hospitalier est en mesure d’identifier les incidents de sécurité survenant sur l’ensemble de son SI, que ce soit une faille logicielle à combler ou une attaque avérée.
C’est le premier niveau de la cybersécurité, sans lequel les RSSI et DSI restent aveugles à tous les signaux faibles leur permettant d’anticiper les attaques en cours de préparation. Les cybercriminels préparent en effet longtemps à l‘avance leurs actes malveillants ; même si le temps de déclenchement de la charge active tend à largement décroître. Sans détection en amont, on ne peut que subir et, une fois les serveurs chiffrés, il est trop tard pour réagir.
L’étape suivante consiste à s’entourer de ressources très qualifiées. Il est en effet nécessaire que des experts en cybersécurité, internes ou externes, surveillent, qualifient et traitent les incidents. Une faille de sécurité ou un début d’attaque doivent être convenablement diagnostiqués pour être corrigés comme il se doit par la suite.
Enfin, une fois que les solutions permettant d’anticiper les cyberattaques ont été mises en place, il faut passer à l’étape suivante et réfléchir aux dispositifs donnant la capacité aux établissements hospitaliers de répondre à ce genre d’attaques et aux moyens d’automatiser cette réponse : quantification des risques, priorisation en regard des impacts, préparation à la crise, test en grandeur nature de la capacité de l’organisation à réduire l’impact, mise en place des nouvelles couches techniques de sécurité… La route est longue et l’enjeu est de taille : réduire au maximum l’impact d’actes malveillants menaçant l’activité opérationnelle et, in fine, la bonne santé des patients.
Pour finir sur une note « positive », nous pouvons souligner que si les premiers mois de l’année 2021 ont été marqués par un attrait notable des cybercriminels pour le monde hospitalier, la fin de l’année a quant à elle vu un début d’amélioration probablement liée aux aides gouvernementales et aux fameux parcours de cybersécurité. Quelles seront les prochaines cibles : collectivités territoriales, santé, banque, assurance, énergie, télécommunication, médias, transport… ? L’expérience montre que la réponse est bien souvent un panachage de l’ensemble et que le risque numérique fait plus que jamais partie de notre quotidien.
___________________
Par Sébastien Jardin, Executive Security Advisor chez IBM Security
et de Jérôme Lanniaux, Directeur Commercial chez Becycure
A lire également autour de la Cybersécurité des hôpitaux :