Dix conseils pour une meilleure cyber-sécurité hospitalière
publié le 6 juillet 2022
A l’occasion du récent Agoria Health Tech Summit, Patrick Coomans, expert en cybersécurité chez Agoria, a évoqué à nouveau la situation périlleuse à laquelle les établissements hospitaliers doivent faire face: des attaques de cyber-criminels sans vergogne qui les prennent de plus en plus pour cible.
La situation, de mauvaise, en raison de faiblesses spécifiques en matière de protection, devient franchement inquiétante voire potentiellement critique, comme l’a souligné l’Organisation Mondiale de la Santé elle-même. C’est que les cybercriminels “se spécialisent, s’organisent, collaborent, sans risquer grand chose”. Les attaques désormais sont imaginées en plusieurs étapes, avec une montée progressive de la pression sur les hôpitaux. Cela commence souvent par une infiltration qui demeure discrète, invisible – et non décelée – pendant des semaines, voire des mois. Puis le déclenchement se produit. Parfois sous forme d’un blocage de systèmes, prise en otage des données et demande de rançon. Pour mettre la pression, les cyber-criminels passent ensuite à l’effacement de données, de sauvegardes, menacent d’exfiltrer les données et dossiers patient pour les revendre ou les publier sur Internet. Vient parfois aussi une attaque de déni de service, toujours pour faire monter la pression…
Face à ces menaces croissantes, Patrick Coomans a formulé dix recommandations à destination des hôpitaux:
– évoluer vers une “culture” de la cyber-sécurité, impulsée en top down par les directions
– élaborer un plan de cyber-sécurité basée sur les risques, ce qui implique, au préalable, de bien comprendre ces risques, en procédant notamment à des exercices de simulation incluant les “pires scénarios”
– implémenter les normes minimales en matière de sécurité de l’information et de vie privée (MNM), édictées par le SPF Santé et la Sécurité sociale
– toujours raisonner en termes de “défense en profondeur”, organisée selon de multiples strates dont chacune doit être intrinsèquement robuste: politique de sécurité, certification, solutions technologiques
– élaborer et tester des plans de réponse aux incidents, en prévoyant des plans alternatifs afin d’assurer la continuité (exemple: le recours à des sauvegardes immuables off-line)
– se saisir de l’arrivée de la réglementation NIS 2 comme d’une opportunité, un levier d’action
– inclure dans la vision les risques induits par les tiers (fournisseurs, partenaires…)
– s’aligner sur la norme de déploiement sécurisé de dispositifs médicaux OWASP
– partir à la chasse aux équipements ICT et IoT désuets, dont le support a expiré
– s’abonner au service d’information trimestriel Cyber Threat Report du Centre Belge pour la Cybersécurité, qui expose et explique les principales tendances et menaces.