Le 22 février 2021 |
Après une année 2020 mouvementée, le monde de la santé pouvait espérer une nouvelle année plus calme. En dehors du contexte sanitaire, les premiers mois de 2021 montrent hélas une tension accrue sur les systèmes d’information de santé, avec une multiplication d’attaques, largement relayée par les médias.
Que cela soit en France ou à l’étranger, de nombreux acteurs de la santé font aujourd’hui face à des attaques pouvant, dans certains cas, paralyser toute ou partie du système d’information. Ces attaques peuvent avoir des effets, tant sur les systèmes d’information administratifs et de soins (Gestion Administrative du Patient, Dossier Patient Informatisé), que sur les systèmes d’information du biomédical (scanner, monitoring, etc.). Les conséquences conduisent souvent les soignants à l’utilisation de procédures dégradées : retour au dossier papier, report des interventions, etc. In fine, cela impacte directement ou indirectement la santé des patients.
Au-delà des considérations sanitaires actuelles et de la très forte tension des services hospitaliers, les systèmes d’information de santé souffrent souvent des mêmes maux.
Après une année 2020 mouvementée, le monde de la santé pouvait espérer une nouvelle année plus calme. En dehors du contexte sanitaire, les premiers mois de 2021 montrent hélas une tension accrue sur les systèmes d’information de santé, avec une multiplication d’attaques, largement relayée par les médias.
Que cela soit en France ou à l’étranger, de nombreux acteurs de la santé font aujourd’hui face à des attaques pouvant, dans certains cas, paralyser toute ou partie du système d’information. Ces attaques peuvent avoir des effets, tant sur les systèmes d’information administratifs et de soins (Gestion Administrative du Patient, Dossier Patient Informatisé), que sur les systèmes d’information du biomédical (scanner, monitoring, etc.). Les conséquences conduisent souvent les soignants à l’utilisation de procédures dégradées : retour au dossier papier, report des interventions, etc. In fine, cela impacte directement ou indirectement la santé des patients.
Au-delà des considérations sanitaires actuelles et de la très forte tension des services hospitaliers, les systèmes d’information de santé souffrent souvent des mêmes maux.
Une évaluation limitée du niveau de risque cyber
Les grands acteurs disposent pour la plupart d’un Responsable de la Sécurité des Systèmes d’Information (RSSI) qui suit et met à jour les différentes analyses des risques cyber. C’est notamment le cas des établissements supports des Groupement Hospitaliers de Territoire (GHT) ou des grandes organisations privées. Néanmoins, pour les établissements d’une taille inférieure, des démarches d’identification des risques cyber ont pu été réalisées, dans le cadre d’HOPEN par exemple, mais celles-ci ne sont pas systématiques et assez rarement mises à jour de manière périodique.
C’est pourquoi une évaluation technique, organisationnelle, ou combinée, permet d’identifier, en amont des incidents, les facteurs de risques cyber et les plans d’actions à mettre en œuvre pour augmenter le niveau de maturité.
Une « dette technologique » souvent en cause
Les attaques subies par les établissements de santé s’appuient, comme pour les autres organisations, sur des faiblesses souvent liées à la vétusté du parc informatique ou à son absence de mise à jour régulière. Le sujet est d’autant plus difficile à instruire pour l’établissement lorsqu’il s’agit d’équipements biomédicaux, quasi-intégralement maintenus par les constructeurs ou éditeurs et non, par les équipes informatiques de l’établissement.
Là encore, des projets d’identification de la dette technologique, suivis de plans d’actions doivent permettre de diminuer les risques cyber qui exposent les établissements.
Un socle technique à moderniser
Les récentes attaques se basent pour la plupart sur le déploiement d’un rançongiciel (ransomware) qui peut amener à une paralysie complète du système d’information. Ces rançongiciel se déploient généralement de la façon suivante :
- Grâce à une attaque de type hameçonnage par e-mail (phishing) ou grâce à l’exploitation d’une vulnérabilité ; un code malicieux est installé.
- Le code ainsi installé découvre le système et installe un service qui semble légitime.
- Les informations découvertes sont communiquées à l’attaquant.
- L’attaquant lance l’attaque.
La détection et la réponse aux attaques de type ransomware nécessitent la mise en œuvre d’outils spécifiques, assez similaires aux solutions antivirales.
Là encore, ces solutions sont assez peu déployées au sein des établissements. Même si ces seuls outils ne permettraient naturellement pas de se prémunir totalement de ces attaques, leur absence fait aujourd’hui courir d’importants risques aux établissements.
La sensibilisation et les tests des utilisateurs encore insuffisants
Les Directeurs des Systèmes d’Information (DSI) et RSSI ont déjà engagé depuis longtemps des actions de formation et de sensibilisation des utilisateurs aux risques cyber, suivant différents formats qu’ils soient classiques (communications Intranet, mails, etc.) ou ludiques (escape game, jeux en ligne, etc.). Néanmoins, un grand nombre d’établissements ne dispose pas des ressources suffisantes pour décliner les objectifs ambitieux de formation en matière de risque cyber.
La sensibilisation est une action primordiale dans ce contexte pour informer et guider les utilisateurs, qui ne sont pas toujours utilement alertés sur ce sujet ni sur les pratiques à adopter. La formation ainsi que la mise à l’épreuve, par exemple via des quiz ou des simulations de phishing, constituent des éléments essentiels pour la sécurité des SI afin de mesurer au mieux la prise de conscience des utilisateurs sur ces sujets, à tous les niveaux de l’organisation.
Enfin, il n’y a pas de formation efficace sans que l’on teste le niveau de connaissance ou sensibilisation acquise par les utilisateurs. Ainsi les DSI et RSSI pourront diligenter des campagnes de tests tels de phishing, identiques à ceux que pourraient faire des attaquants.
L’identification des attaques trop tardive
Quoi de pire pour un DSI ou RSSI que de constater que le système d’information de son établissement est inaccessible ou inopérant. Les attaques sont souvent identifiées a posteriori, une fois le mal fait.
Il est important de concevoir ou d’identifier des systèmes d’information permettant de prévenir, autant que possible, les attaques ou les comportements suspicieux. De nombreuses solutions du marché permettent cette identification et ces remontées proactives. L’enjeu est alors d’avoir une ressource ou un tiers en charge d’analyser les remontées techniques et d’alerter dans des délais adéquats.
Les organisations professionnelles, les cercles de support ou les autorités sont des fournisseurs de doctrines ou de bonnes pratiques en matière de cybersécurité à mettre en œuvre au sein des systèmes d’information. Ces trajectoires ou orientations sont une aide précieuse pour les décideurs et les DSI/RSSI qui souhaitent élever le niveau de sécurité de leur SI.
Enfin, il faut garder à l’esprit que pour ces menaces cyber, le facteur temps est déterminant : plus les éléments de sécurité, organisationnels et techniques sont robustes, plus le temps pour réussir une attaque sera long.
Auteurs
Découvrir nos offres
Cybersécurité et protection des données
Dans un environnement toujours plus digitalisé, la circulation et l’exploitation de données représentent un potentiel de création de valeur gigantesque pour les entreprises tout comme une menace de plus en plus redoutable pour leur sécurité.
Risques Audit et Contrôle interne
Les équipes Risques, Audit et Contrôle Interne vous aident à allier développement et croissance tout en maintenant un climat de confiance avec les autorités de régulation, et vous permettent de tirer tous les avantages compétitifs d'un paysage réglementaire évolutif.