Acteurs de la santé, comment renforcer votre dispositif de cybersécurité ?

Les cyberattaques continueront de se multiplier dans le secteur de la santé

La recrudescence des cyberattaques perpétrées contre les établissements de santé est-elle en voie de se pérenniser ? Manifestement – et malheureusement – oui. Encore récemment, une nouvelle fuite de données, contenant cette fois les informations personnelles et données de santé de près de 500 000 personnes, a été découverte sur Internet. Ces données auraient été exfiltrées de laboratoires d’analyses et de biologie médicales du fait de la faiblesse d’un logiciel.

Ces sinistres successifs, bien que de natures différentes, démontrent que la variété de vecteurs d’attaques permet aux attaquants de bloquer les organismes de santé dans le cas des ransomware, ou d’en atteindre les usagers par l’exfiltration de données, en mettant à mal leur réputation voire leur responsabilité. Justement, dans le cas de cette dernière fuite, la sensibilité des données publiées est acte d’une gravité significative compte tenu des répercussions importantes pour les patients dont les noms et pathologies ont été rendus publics.

Au vu de la multiplication de ces événements, le gouvernement a initié des travaux de mise à niveau de la cybersécurité des établissements de santé. En ce sens, un montant de plus de 350 millions d’euros a été alloué dans le cadre du Ségur de la Santé : les nombreuses mesures prises dans ce cadre sont notamment accompagnées de budgets d’audit, du renforcement des contrôles de l’ANSSI, du support à l’investissement, etc. Néanmoins, et dans l’urgence, comment les professionnels de la santé peuvent-ils renforcer leur dispositif de cybersécurité ?

Des solutions pour améliorer sa maîtrise du risque cyber

• Faire tester les logiciels et l’infrastructure des éditeurs : la fuite de données récemment découverte semblait liée à une faille de sécurité dans le logiciel de saisie d’informations médico-administratives. Lors de la mise en œuvre d’une application, et même si celle-ci est largement utilisée, l’acquéreur doit impérativement la tester afin de déterminer les vulnérabilités / bugs qui pourraient être exploités par des personnes malveillantes et, le cas échéant, mettre en œuvre des contrôles compensatoires. Ces tests techniques doivent être réalisés par des spécialistes dans la mesure où, bien souvent, le questionnaire basé sur les déclarations de l’éditeur n’est pas suffisant.

• Réaliser des tests d’intrusion : à l’instar des tests sur les logiciels, ils sont à réaliser au moins un fois l’an par des spécialistes. Ces tests doivent être effectués sur les réseaux depuis l’extérieur de l’établissement ou de l’organisation, et être menés à la fois sur les applications web, sites internet et à l’intérieur même du réseau.

• Mener des campagnes de sensibilisation : plus de 80% des sinistres sont liés à des erreurs humaines. C’est pourquoi il convient de mettre en place un programme de sensibilisation incluant des temps de formations, des questionnaires de validation des connaissances, de l’affichage, de la communication et enfin des tests tels que de l’hameçonnage. Utiliser une forme de concours permanent assorti de prix peut faciliter la participation et l’adoption.

• Adopter une approche d’amélioration continue : à l’issue d’une première évaluation de la maturité de la réponse aux risques cyber, un plan d’action doit être établi afin d’atteindre la maturité nécessaire à niveau de protection à la fois acceptable pour le management et en adéquation avec le niveau de risque.

• Evaluer les risques :afin de prioriser les travaux et investissementsà prévoir et de mettre en place des remédiations ciblées.

En 2021 plus que jamais, les établissements de santé, médico-sociaux et laboratoires français doivent améliorer leur maîtrise des risques cyber : par la mise en œuvre d’un plus grand nombre de contrôles et de dispositifs, mais aussi grâce à une appréciation plus réaliste de ces risques. Il s’agit aujourd’hui d’une urgente nécessité.