Même si la tendance s’était déjà installée auparavant, ces deux dernières années ont été marquées par une recrudescence de cyber-attaques visant des établissements hospitaliers. Aucun pays, Belgique comprise, n’a fait exception. Comment expliquer cette “épidémie”? Comment y faire face? Quelle transformation dans les approches mettre en oeuvre ? Tels étaient les fils rouges d’une master class organisée par la communauté Patient numérique.
Les chiffres donnent le tournis: 93% des établissements de santé victimes de failles de sécurité ces trois dernières années, 57% en ayant essuyé au moins cinq, 30% ayant perdu des données dans la bagarre. Et une augmentation du nombre d’attaques (+ 45% en 2020-2021) qui est sensiblement plus élevée que dans les autres secteurs d’activités (la moyenne y étant de 22%).
Pourquoi une telle “préférence” des hackers pour le secteur de la santé? Thomas Tardieux, expert en sécurité chez Inetum-Realdolmen, énumérait une série de facteurs: la “valeur” d’un dossier patient (qui se négocie entre 250 et 1.000 dollars pièce sur le Dark Web), un processus de transformation numérique qui a modifié en profondeur les modes de fonctionnement et multiplié les portes d’entrée et points faibles potentiels, un secteur qui protège moins ses infrastructures que d’autres…
Sans parler des multiples façons dont les pirates peuvent exploiter leurs méfaits: “Quand ils réclament une rançon à un hôpital pour déverrouiller un système qu’ils ont chiffré, c’est la dernière étape de la prise d’otage.” Une sorte de cerise sur le gâteau. “Entre-temps, ils ont déjà revendu les données sur le Dark Web, fait pression sur les fournisseurs de l’hôpital, procédé à du chantage sur les infos patients, menacé l’image de l’hôpital et sa crédibilité….”
La crise sanitaire fut comme un don du ciel pour les hackers: des hôpitaux sous pression, un basculement vers le télétravail qui a étendu la “surface d’attaque” (ordinateurs mal protégés, pièges à l’hameçonnage, incapacité de bénéficier d’un support technique par le service central…).
Changer de méthode
La défense est toujours en retard sur l’inventivité des assaillants, soulignait Thomas Tardieux. “Ils diversifient sans cesse leurs attaques, revendent leurs nouvelles méthodes à d’autres hackers, ce qui amplifie encore la puissance d’attaque.” Et les choses risquent encore de se détériorer, certaines prévisions parlant d’une multiplication par deux ou trois des risques d’ici 2027…
Selon Inetum, les établissements hospitaliers doivent changer leur stratégie de sécurité pour adopter une démarche mieux alignée sur les nouveaux risques et sur le nouveau contexte opérationnel. La défense de périmètre, qui prévalait lorsque les systèmes informatiques étaient majoritairement installés et gérés sur site, n’a plus cours à l’heure des solutions et services cloud, de l’imbrication étroite entre hôpital, clients et fournisseurs. Un exemple: l’interconnexion du système de facturation avec le système comptable, les solutions financières ou logistiques des fournisseurs, le dossier patient…
Qui plus est, la nature des attaques a changé. Hier, elles visaient les systèmes. Désormais, elles prennent en priorité pour cible les identités des utilisateurs (via hameçonnage, vol d’identifiants…). “D’une approche de sécurité périmétrique, il faut passer à une approche basée sur l’analyse des risques métier. Il faut déterminer quoi protéger plutôt que tout vouloir protéger de la même manière. Cela permet de réduire les coûts et la complexité”. Et de se rapprocher du “zero trust”, cette doctrine qui veut que l’on ne fait a priori confiance à personne (collègue, fournisseur, client) mais qu’on vérifie toujours.
Elle implique de fréquents audits (systèmes, configurations, identités, droits d’accès…), la mise en oeuvre du principe de droits d’accès différenciés, progressifs, sur autorisation spécifique. Parmi les conseils formulés: procéder régulièrement aux mises à jour et installations de correctifs, recourir au machine learning pour identifier les risques et les signaux faibles d’attaque, segmenter le réseau en petites zones avec classification de données, évaluer le niveau de tolérance aux risques, définir une matrice d’impact et de criticité des ressources, identifier les responsables des processus de gestion des risques… “C’est un long travail de cartographie, rébarbatif, mais essentiel pour progresser. Revoyez les fondations existantes (infrastructure, équipes…). Déconstruisez éventuellement pour mieux reconstruire, en étant plus en phase avec les nouvelles technologies et les nouveaux risques.”