La deuxième édition du Livre blanc Cybersécurité et santé, publiée par Digital Wallonia dans le cadre du programme Cyberwal, est désormais en ligne. Un chapitre clé, rédigé par le Centre pour la Cybersécurité Belgique (CCB), se concentre sur les typologies des attaques, les vulnérabilités, mais aussi les aides et les outis fournis aux hôpitaux. Ce guide met en avant des stratégies de résilience essentielles pour renforcer la sécurité des infrastructures de santé face aux cybermenaces croissantes.

Les hôpitaux belges n'échappent pas à l'augmentation du nombre de cyberattaques à travers le monde. Selon une récente étude de la société spécialisée Check Point Software Technologies, le secteur de la santé fait l'objet de 2.434 attaques hebdomadaires. La nature hautement sensible des données de santé et le caractère indispensable des services médicaux rendent les infrastructures hospitalières particulièrement vulnérables. Or, face à ces menaces, de nombreux établissements ne sont pas encore suffisamment préparés pour gérer les incidents efficacement, ni pour rétablir rapidement leurs systèmes, d'où une nécessité accrue de renforcer leur résilience.

Dans ce contexte, le Centre pour la Cybersécurité Belgique (CCB), et plus spécifiquement son équipe d’intervention CERT (Cyber Emergency Response Team), joue un rôle central en offrant un accompagnement opérationnel aux hôpitaux pour anticiper, détecter et répondre aux cyberincidents. Le CERT intervient en première ligne, analysant, contenant et éliminant les menaces qui visent les infrastructures critiques, dont celles des établissements de santé. Ce soutien s’avère d’autant plus essentiel que la complexité et la vitesse des cyberattaques, en particulier les ransomwares et les vols d’identifiants, continuent d’évoluer rapidement.

Diagnostic des vulnérabilités hospitalières 

Les infrastructures hospitalières, souvent vieillissantes et composées de systèmes hétérogènes, présentent des vulnérabilités significatives, aggravées par l’absence fréquente de plans de réponse et de reprise après sinistre. Les audits du CCB révèlent des faiblesses récurrentes, telles que le manque de mécanismes de double authentification. Dans de nombreux établissements, les mots de passe restent le seul moyen d’accès, augmentant ainsi le risque d’intrusions. De plus, la gestion des correctifs logiciels se révèle souvent défaillante, les dispositifs réseau et les VPN n’étant pas mis à jour assez rapidement. Cette « fenêtre de vulnérabilité », entre la disponibilité d’un correctif et son installation effective, laisse le champ libre aux cybercriminels.

Une autre source de faiblesse est liée aux équipements médicaux connectés. Souvent non segmentés, ils facilitent la propagation rapide des attaques au sein du réseau. Certains de ces dispositifs, sous gestion de fournisseurs externes, restent connectés aux réseaux hospitaliers pour des raisons de support technique, ce qui représente un risque élevé, notamment en cas d’attaques par la chaîne d’approvisionnement. Certaines machines sont même « impatchables » et ne peuvent recevoir de mises à jour de sécurité, rendant leur isolation du reste du réseau crucial pour réduire le risque de compromission.

La gestion des accès à distance est aussi pointée du doigt. Le CCB constate que le vol d’identifiants, facilement accessible sur le Dark Web, constitue fréquemment la première étape d’infiltration dans les réseaux hospitaliers. Enfin, les sauvegardes des systèmes critiques des hôpitaux ne sont pas toujours bien sécurisées : connectées aux systèmes principaux, elles sont souvent la cible d’attaques par ransomware. Le CCB recommande de déconnecter les sauvegardes et d’éviter tout lien avec les systèmes principaux pour limiter les dégâts en cas de compromission.

Typologie des attaques 

Les hôpitaux sont confrontés à un éventail de cybermenaces, mais certaines attaques se démarquent par leur fréquence et leur impact. Le ransomware est l’une des plus redoutées. En plus de chiffrer les données critiques, les cybercriminels menacent de divulguer les informations exfiltrées en cas de refus de paiement. Cette double pression s’avère particulièrement efficace face aux hôpitaux, du fait de la nature hautement confidentielle des données traitées. Une autre attaque fréquente repose sur l’utilisation d’identifiants compromis, souvent récupérés à bas prix sur le Dark Web, facilitant l’accès aux réseaux des établissements de santé.

Bien que moins courantes, les attaques par déni de service distribué (DDoS) restent une menace. Celles-ci visent à saturer les réseaux des hôpitaux, rendant les services critiques temporairement inaccessibles. Le CCB souligne une évolution rapide des tactiques : alors que les cyberattaques prenaient autrefois plusieurs jours, voire semaines, les attaques récentes montrent que seuls quelques heures peuvent suffire pour verrouiller des systèmes entiers, soulignant l'importance d’une réponse rapide et coordonnée.

Le rôle central du CCB 

Le CCB, via ses équipes et outils, fournit aux hôpitaux une aide proactive pour répondre aux cyberincidents. Un des services phares est l’Early Warning System (EWS), une plateforme d’alerte précoce via Safeonweb@work. Elle envoie des notifications spécifiques dès qu'une menace est détectée sur les réseaux d’organisations enregistrées. Le CCB encourage les hôpitaux à inscrire leurs adresses IP, noms de domaine, et technologies utilisées pour recevoir des notifications précises en cas de vulnérabilité.

En cas d’incident, le CCB offre des conseils techniques et coordonne les réponses pour limiter les dégâts. Son rôle se compare à celui de « pompiers numériques » qui endiguent l’incendie, sans nécessairement reconstruire les infrastructures endommagées. Le CCB peut intervenir pour analyser les causes de l’intrusion, comprendre les modes d’action des cybercriminels, et proposer des recommandations pour la récupération. Il peut également jouer un rôle de communication de crise, en aidant les hôpitaux à informer leur personnel, le public, voire les hackers eux-mêmes, sans jamais divulguer les informations sensibles des victimes.

Renforcer la résilience des hôpitaux 

Pour le CCB, il est impératif que les hôpitaux se dotent de plans de gestion des incidents et de continuité des opérations pour réagir rapidement et efficacement en cas d’attaque. Ces plans doivent inclure des procédures de réponse aux incidents, des solutions de communication de secours et des sauvegardes déconnectées. Le CCB souligne que les cyberattaques sont inévitables et qu’anticiper différents scénarios d’attaque est crucial pour réduire les impacts.

Parmi les outils proposés pour soutenir cette résilience, le CyberFundamentals Framework offre des mesures pratiques pour sécuriser les infrastructures, et le Cyber Security Incident Management Guide propose une feuille de route pour identifier, contenir et résoudre les attaques tout en minimisant les perturbations.

> Découvrez la deuxième édition du Livre blanc Cybersécurité et santé

Lire aussi:

> Cybersécurité : les hôpitaux invités à s’assurer

> Cyberattaque: la responsabilité du médecin peut être engagée

> Cybersécurité: la sécurisation proactive est toujours moins coûteuse

> Les médecins et pharmaciens demandent au prochain gouvernement d’investir dans la cybersécurité

> Renforcement de la cybersécurité dans le secteur de la santé par la Commission européenne