Alors que les cyberattaques paralysent de plus en plus les infrastructures critiques de santé, la directive NIS2 impose des mesures strictes pour renforcer la sécurité. L’intégration de méthodes modernes comme la MFA avancée et une stratégie Zero Trust devient essentielle pour protéger les données sensibles et garantir la continuité des services.

Les cyberattaques ciblant le secteur de la santé se multiplient, compromettant selon les cas la disponibilité des systèmes, la confidentialité, l’intégrité et la traçabilité des données et, indirectement, la prise en charge des patients.

Le rapport 2024 de l’ANSSI sur l’état de la menace dans le secteur de la santé publié récemment révèle qu’un tiers des incidents touchant des établissements de santé observés en 2022 et 2023 concerne des compromissions de comptes de messagerie, parfois couplées à des envois d’emails de phishing.

Un secteur privilégié des cybercriminels

Le secteur de la santé est ainsi depuis plusieurs années la cible privilégiée de cyberattaques de plus en plus sophistiquées. Les attaques par ransomware, par exemple, se sont multipliées, bloquant l’accès aux systèmes critiques jusqu’au paiement d’une rançon. La complexité des infrastructures, alliant bien souvent anciennes et nouvelles technologies, rend ces organisations vulnérables. De plus, les données de santé ont une grande valeur sur le marché noir : elles contiennent des informations sensibles sur les patients, des résultats de recherches en laboratoire, des innovations en cours de développement et des secrets industriels protégés par des années d’investissements. Ces éléments font du secteur une cible de choix pour les cybercriminels, qui savent qu’une attaque peut paralyser l’activité et mettre en danger la sécurité des patients, un argument qui leur donne l’avantage en cas de chantage par exemple.

Cette situation est exacerbée par la transformation digitale qui se généralise au fil des années. Les systèmes informatiques (IT) et opérationnels (OT) convergent de plus en plus, connectant des hôpitaux, des laboratoires, des universités et des partenaires industriels via des plateformes numériques partagées. Or, cette interconnexion élargit la surface d’attaque, multipliant les points d’entrée pour les cybercriminels. En outre, la dépendance croissante au cloud et aux systèmes de données dématérialisés crée de nouvelles vulnérabilités. Les configurations erronées et la compromission d’identifiants restent des faiblesses fréquentes, facilitant les intrusions par le biais de techniques de phishing ou d’ingénierie sociale. La nécessité de renforcer la sécurité devient ainsi une priorité stratégique pour le secteur.

La directive NIS2, un bouclier renforcé pour les infrastructures critiques

Face à la montée des cybermenaces, la directive européenne NIS2 qui vient d’entrer en vigueur est une étape cruciale pour la sécurité des infrastructures critiques, y compris dans le secteur de la santé. Adoptée pour faire face à l’intensification des attaques, cette directive étend son champ d’application pour englober un plus grand nombre d’acteurs, tels que les hôpitaux, les laboratoires, les cliniques et les fournisseurs de services numériques en santé. Son objectif est d’améliorer la résilience des infrastructures critiques en imposant des exigences de cybersécurité plus strictes.

Une des nouveautés majeures de NIS2 concerne la réduction des délais de signalement des incidents. Les établissements de santé devront désormais informer les autorités compétentes de toute faille de sécurité dans un délai de 24 à 72 heures après sa détection. Cette obligation de transparence vise à permettre une réponse rapide et coordonnée face aux incidents, minimisant ainsi les impacts potentiels sur les patients et la sécurité nationale. En parallèle, la directive prévoit des sanctions financières plus sévères pour les organisations non conformes, ce qui les incite à investir dans des mesures de cybersécurité robustes. L’accent est mis sur la nécessité d’adopter des solutions modernes, notamment en matière d’authentification, pour sécuriser les systèmes et les données critiques.

Authentification multi-facteurs moderne et Zero Trust : des solutions essentielles

Dans ce contexte de réglementation renforcée et de menaces accrues, l’authentification multi-facteurs (MFA) moderne s’impose comme un élément central de la stratégie de cybersécurité des organisations de santé. En matière de protection, toutes les MFA ne se valent cependant pas : les formes d’authentification traditionnelles, comme les SMS ou les codes à usage unique, ne sont plus suffisantes pour protéger les systèmes critiques face aux nouvelles techniques de phishing et de détournement d’identité. C’est pourquoi le déploiement de méthodes modernes, telles que les clés de sécurité FIDO2, est essentiel. Ces dispositifs reposent sur l’utilisation d’un matériel physique, combiné à une vérification par code PIN ou biométrie, pour garantir un accès sécurisé aux données sensibles et minimiser les risques de compromission.

L’approche Zero Trust prend ici tout son sens. Fondée sur l’idée que toute tentative d’accès, interne ou externe, doit être vérifiée et validée, cette stratégie repose sur une gestion fine des identités. En s’assurant que chaque connexion provient d’un utilisateur légitime via une MFA robuste, l’approche Zero Trust permet de réduire considérablement la surface d’attaque. Ce modèle renforce la sécurité en limitant l’accès aux seules personnes autorisées, en segmentant les réseaux, et en appliquant des contrôles d’accès dynamiques en fonction des comportements et du contexte. Ainsi, même en cas de compromission d’un compte, les attaquants sont rapidement isolés et ne peuvent pas se déplacer latéralement au sein du réseau.

En outre, la directive NIS2 exige la mise en œuvre de pratiques d’authentification robustes et modernes pour protéger les infrastructures critiques. Les établissements de santé devront ainsi s’assurer que leurs systèmes d’authentification respectent ces nouvelles normes, sous peine de sanctions. Cela inclut l’adoption de MFA qui ne se contente pas d’ajouter une couche de sécurité supplémentaire, mais qui résiste activement aux techniques d’attaque les plus courantes. La combinaison d’une authentification forte et d’une approche Zero Trust devient donc un impératif, non seulement pour répondre aux exigences de NIS2, mais aussi pour sécuriser durablement le secteur face à des menaces en constante évolution.

L’entrée en vigueur de la directive NIS2 et l’évolution des cybermenaces obligent les acteurs du secteur de la santé à revoir et moderniser leur approche de la cybersécurité. L’authentification multi-facteurs moderne, intégrée dans une stratégie Zero Trust, apparaît comme la meilleure réponse pour sécuriser des données critiques tout en répondant aux exigences réglementaires. Il s’agit d’une transformation nécessaire pour garantir non seulement la sécurité des patients et des données, mais aussi la pérennité des recherches et des innovations dans un domaine où la sécurité et la continuité des services sont primordiales.
____________________________

Par Fabrice de Vésian, Sales Manager France de Yubico

À lire également :

Pourquoi les DSI doivent privilégier une MFA résistante au phishing ?

Santé et IA : comment allier innovation et éthique…

Renforcer la cyber résilience : un impératif pour les services publics à l’ère des cybermenaces croissantes

Santé : Et si l’IA Générative tombait entre de mauvaises mains ?

Santé et cyberattaques : code rouge activé !

Protéger individuellement les utilisateurs afin de réduire les risques de phishing en entreprise…