Par Jean-Michel Tavernier, country manager France et Iberia, Armis.
Les établissements de santé, qu’ils soient publics ou privés, semblent tous pâtir de la même impréparation devant les cyberattaques. Mais plus alarmant, quel que soit le type d’attaque, toute perturbation dans la chaîne de soins de santé a des conséquences sur la qualité et la continuité des soins. Sans exagérer, une gestion de la surface d’attaque (ASM) de ces établissements est cruciale pour la santé des personnes et la bonne marche de nos sociétés.
Tirer des leçons du passé. L’année 2023 est à marquer d’une pierre noire, tant les cyberattaques ayant ciblées les hôpitaux français ont été nombreuses et lourdes de conséquences : clinique Ramsay Santé (Toulouse et Lyon), Centre hospitalier de Brest, Centre hospitalier de Rennes, hôpitaux de Vittel et Neufchâteau dans les Vosges... Nous aurions pu espérer une année 2024 plus clémente, comptant sur le bon sens des établissements et des autorités pour renforcer ou mettre à jour les outils de cybersécurité.
Pis, les attaques menées cette année mettent en lumière non seulement un manque de moyens financiers et technologiques, mais aussi la trop grande interdépendance de toute la chaîne de soins de santé.
Les hôpitaux et cliniques, publics ou privés, travaillent avec une nébuleuse de prestataires dépendants les uns des autres. Cette dépendance est comparable à des coureurs qui se passeraient un témoin en relais. Le coureur qui reçoit le témoin hérite en même temps de l’avance ou retard de ses coéquipiers.
L’attaque ayant touchée le système d’information de Change Healthcare/Optum aux Etats-Unis (21 février 2024), illustre parfaitement cette interdépendance.
Cette cyberattaque a eu pour effet de paralyser les hôpitaux du territoire Nord-américain et plusieurs entreprises travaillant avec ces établissements, perturbant les soins et le traitement des demandes de remboursement. A y bien regarder, l'interconnexion des différentes composantes du parcours de soins ressemble beaucoup à une infrastructure informatique de type « cœur et réseau ». Au lieu de cibler chacun des prestataires, les hackers s’attaquent donc à ces hubs (cœur) qui se déploient dans des centaines d'organisations et causent plus de ravages et avec une plus grande efficacité.
Ceci conduit à soutenir que la Santé ne semble pas avoir pris la mesure de l’environnement de menace dans lequel elle évolue désormais. Il ne s’agit plus seulement de soigner les malades, mais de reconnaitre la gestion de la surface d’attaque comme un point d’attention majeur.
Pour rappel, la gestion de la surface d’attaque (ASM) réfère à un contrôle et une sécurisation de tous les points d’entrées où une entité non autorisée pourrait essayer de s’introduire. Cette gestion de la surface d'attaque implique l'identification, la surveillance et la réduction de ces vulnérabilités.
Enseignement
Nous l’aurons compris, la trop grande interdépendance et le nombre de prestataires dans la chaîne des soins de santé fragilise et accroît le périmètre de leur surface d’attaque. Pourquoi les prendre pour cibles ? Ils ont souvent accès à de vastes quantités de données sensibles (dossiers médicaux, informations d'assurance et de paiement...), sans toujours disposer des outils de cybersécurité ou mesurer l’ampleur des risques. L’attaque d’un hôpital va maintenant, bien au-delà des simples perturbations opérationnelles : la compromission des données patients peut avoir des conséquences pour la vie privée des personnes, leur sécurité financière et même personnelle.
Faut-il s’étonner aujourd’hui encore de la recrudescence de ces attaques ? Nous aurions tort selon un récent rapport d’Armis, The State of Cyberwarfare, qui alertait déjà. D’après cette enquête internationale menée en Angleterre, aux Etats-Unis, en France et en Allemagne auprès de 1 003 professionnels de l'informatique et de la cybersécurité, le secteur de la santé s’appuie encore sur des technologies obsolètes, avec 12% de l'industrie utilisant encore des systèmes d'exploitation en fin de support (EoS).
Notons aussi que ce type d’attaque n’est jamais mené par hasard. Il survient souvent après l’annonce d’un partenariat ou d’une acquisition. Ce moment peut être perçu comme opportun par les cyberattaquants ; car il s’agit d’une période de réorganisation et de refonte des systèmes...
Solution
Lors du salon SantExpo (21 au 23 mai, Porte de Versailles, Paris 15e), plusieurs conférences ont été l’occasion d’affirmer que les hôpitaux français manquent cruellement de moyens. L’opportunité aussi d’affirmer que des solutions existent et qu’il s’agirait de ne pas subir. Comment ? En ayant une visibilité sur chaque appareil connecté au réseau de l’hôpital, pour identifier et en atténuer les vulnérabilités.
Nous l’avons dit, une gestion robuste de l'exposition cyber est non négociable. Les organisations de santé doivent élargir leur champ de visibilité à l'ensemble de leur écosystème de dispositifs et de services supports, pour mener des évaluations holistiques des risques - en particulier des systèmes qui permettent directement le fonctionnement des services de soins, qu’il s’agisse d’un hôpital, d’une clinique ou d’un service ambulatoire.
En France, comme ailleurs, des progrès sont possibles. Les organisations peuvent trouver un soutien dans le plan stratégique de lutte contre les cyberattaques, annoncé en décembre 2023 par l’État. Une première tranche de financement de plus de 230 M€ est allouée jusqu’en 2024, pour un montant qui pourrait atteindre jusqu’à 750 M€ en 2027, indique plusieurs sources. Aux Etats-Unis, les établissements peuvent compter sur le plan stratégique du Conseil de coordination du secteur de la santé, le HIC-SP. Il juge d’ailleurs préoccupant l'état de la cybersécurité dans le secteur de la santé. Mais toutes ces améliorations ne seront possibles qu’à la condition d’adopter des technologies de protection proactives et d’avoir compris que nous sommes désormais dans un état de menaces cyber perpétuel.
_____________________
A propos de l’auteur. Country Manager France et Iberia, Armis, M. Jean-Michel Tavernier est rompu à la gestion et à la résolution de problématiques de cybersécurité pour des groupes français et internationaux. JM Tavernier fait ses premières armes auprès de sociétés internationales, à l’instar de Cisco, Juniper, Tufin, etc. Des expériences qui lui confèrent une connaissance étendue du marché et des enjeux stratégiques de la cybersécurité.