Les nouveaux défis de la (cyber)sécurité en milieu hospitalier
publié le 3 février 2021
Ces derniers temps, en raison d’une recrudescence de (cyber-)attaques dont ont malheureusement été la cible de nombreux hôpitaux, le secteur hospitalier est amené à analysé et à repenser les mesures prises à ce jour pour assurer la résilience et la pérennité de ses infrastructures.
Le sujet a fait l’objet d’un échange de vues récent entre le membre du CESIN (Club français des Experts de la Sécurité de l’Information et du Numérique) et le fondateur de la société Wallix, spécialisée en sécurité (accès et identités numériques) et par ailleurs président d’HexaTrust, groupement de sociétés de consultance et d’éditeurs français de la cybersécurité.
Morceaux choisis…
La cyber-attaque par rançongiciel qui a visé le CHU de Rouen a provoqué un arrêt général des équipements – systèmes informatiques, ascenseurs, imagerie médicale, systèmes d’analyses… “Preuve que la cybersécurité ne concerne pas uniquement la DSI [direction des systèmes d’information] mais bien tous les métiers de l’hôpital. […] Tout est désormais interconnecté et des pans entiers de l’hôpital sont “numérico-dépendants”. On ne peut plus penser la cybersécurité en silo.”
“Avoir une approche de la cybersécurité autre que la gouvernance amène inévitablement à laisser des failles de cybersécurité béantes dans le système d’information de l’hôpital. […] Il faut penser gouvernance pour la sécurisation de l’infrastructure informatique globale, pour la gestion des identités numériques des utilisateurs qui se connectent au système d’information de l’hôpital et la protection des données. C’est la clé pour un système d’information résilient aux cyber-attaques.”
Par et pour l’Europe?
L’ENISA (agence européenne pour la cybersécurité) a publié, en février 2020, un guide de cybersécurité à destination des hôpitaux européens, qui fournit des recommandations et des bonnes pratiques visant à inclure les problématiques de cybersécurité dans les processus d’acquisition d’équipements des hôpitaux.
“Il faut que l’on envisage à moyen terme des standards du numérique au niveau européen, qui ne soient pas ceux du “Cloud Act”, cette ”pompe à données” mise en place depuis des années par les GAFAM, qui siphonne systématiquement les données des patients pour en faire ensuite un commerce. Nous, acteurs de la cybersécurité, il est de notre devoir de faire en sorte que nos établissements de santé disposent d’un espace numérique de confiance pour y mettre ces données, les plus personnelles et les plus précieuses qui existent, pour ensuite utiliser des algorithmes qui seront les nôtres, afin de faire avancer la recherche et de concevoir des vaccins le plus rapidement possible. Travailler avec l’ENISA c’est aller vers cette standardisation du numérique dont nous avons besoin aujourd’hui.
[…] C’est de ce constat que sont nés le Comité Stratégique de Filière ou le projet GAIA-X, le méta-cloud européen, qui ont pour vocation de créer un véritable écosystème du numérique européen de confiance, capable aussi de s’adapter aux géants américains, pour permettre une massification du numérique fiable et sûre”.
”Le souhait aujourd’hui c’est même d’aller plus loin que l’ENISA dans la standardisation dont le périmètre du guide s’arrête à l’infrastructure informatique. Ce dont le secteur de la santé a besoin c’est une standardisation des processus. Comme pour les voitures qui doivent passer le contrôle technique, les équipements numériques des hôpitaux devraient passer toutes les N années des contrôles de sécurité.”
A cet égard, soulignait le membre du CESIN, il faut établir des pré-requis pour mettre en oeuvre une culture de la cyber-sécurité by design, et ce, aussi bien pour les concepteurs “de dispositifs médicaux, de systèmes de gestion d’énergie, d’ascenseurs et de tout équipement connecté de l’hôpital”.
Démarche holistique
Les deux interlocuteurs évoquent également le “maillon faible” que demeure souvent l’utilisateur final lui-même. Par manque d’information ou de formation. “il est nécessaire d’adapter les messages de sensibilisation à la cible. En effet, chaque acteur de l’écosystème de santé (employés, professionnels de santé, directions hospitalières…) a une vision différente de la structure pour laquelle ils travaillent. Il faut donc bien prendre en compte les difficultés métier de chacun. […] (Actuellement), le plus efficace et le plus concret, ce sont les exercices de gestion de cyber-crise qui permettent de simuler des pannes complètes d’équipements numériques et de tester les plans blancs des établissements de santé.”
Autre obligation: penser et agir dans le long terme: “Le plus gros défi sera de faire comprendre aux responsables de la sécurité informatique qu’il ne suffit pas de se mettre en conformité avec les exigences réglementaires pour faire de la cybersécurité. Une action “one shot” n’est pas suffisante, il faut pérenniser les actions. La mise en conformité doit s’adapter à l’évolution de l’état de l’art. Encore une fois, on peut reprendre l’exemple du contrôle technique pour les voitures. La conformité doit être réévaluée chaque année.”