Les cyber-attaques à l’hôpital
Estimation du temps de lecture : 10 min
Les hôpitaux sont devenus une cible de choix pour les cybercriminels en raison de la quantité de données sensibles stockées dans leurs systèmes d’information. Les cyber-attaques peuvent entraîner des conséquences dévastatrices, allant de l’interruption de la prestation de soins à la perte de données médicales critiques. Pour lutter contre ces attaques, il est crucial que les professionnels de santé soient conscients des risques et prennent des mesures proactives pour protéger leurs systèmes d’informations.
UN RISQUE TECHNOLOGIQUE ET HUMAIN
Particulièrement sensibles : les parcs informatiques des hôpitaux dont les systèmes et les logiciels peuvent être obsolètes et non mis à jour depuis trop de temps, cette faiblesse technique étant d’ailleurs souvent liée à l’amortissement du matériel médical. Ces systèmes trop anciens sont souvent vulnérables aux cyberattaques, car ils ne sont plus actualisés par les éditeurs de logiciels et ne reçoivent plus de correctifs de sécurité.
Les failles humaines sont également une cause majeure de la vulnérabilité des établissements de santé face aux risques cyber. Principalement en cause : la méconnaissance des risques et des règles de sécurité informatique par les collaborateurs. La transformation numérique du secteur de la santé touche de nombreux utilisateurs au sein des établissements et tous ne partagent pas les mêmes réflexes d’hygiène numérique ou de niveau tout simplement.
Chaque collaborateur doit être informé des enjeux de sécurité et des règles à respecter dès son arrivée dans un établissement de santé. Les nouvelles tendances de travail comme celle du Bring Your Own Device (BYOD), c’est-à-dire le recours à son propre équipement personnel sur son lieu de travail, sont à surveiller particulièrement car susceptibles d’introduire des éléments d’insécurité
Les hôpitaux sont de plus en plus visés par les cybercriminels compte tenu de la sensibilité des données de santé et de leur caractère monayables. Les ransomwares sont par exemple une forme courante de cyber-attaque. Dans cette configuration, les criminels empêchent une organisation d’accéder à ses données puis réclament une rançon pour débloquer la situation, sans garantie de surcroît… !
Autre cas de figure :
La 5G. Si celle-ci offre des avantages en termes de vitesse d’exécution et de connectivité pour les hôpitaux, elle augmente néanmoins également les risques liés au numérique. De même que les objets connectés, tels que les équipements médicaux, de plus en plus intégrés dans les systèmes d’informations des hôpitaux, démultiplie la surface d’attaque et les tentatives d’intrusion.
La robotique (robots médicaux, chirurgie assistée par ordinateur, télésurveillance des patients….) est un point d’entrée potentiel dans les réseaux informatiques, donc une source de fragilisation et un point de vigilance. Les hôpitaux doivent savoir évaluer les risques et définir une feuille de route globale et des protocoles d’action pour protéger les données de santé et parer les attaques.
Les professionnels de santé doivent être formés à la cybersécurité pour déceler les signes d’une campagne d’hameçonnage ou d’une tentative de fraude, afin de pouvoir réagir en conséquence. La lutte contre la cybercriminalité est un effort quotidien qui nécessite de suivre un parcours de formation et d’amélioration continue.
Les médiatisations récentes des nombreux incidents de cybersécurité en milieu hospitalier mettent en exergue l’importance qu’il faut accorder à la protection des données de santé et l’attractivité par les cybercriminels pour ce secteur. Les cyberattaques peuvent entraîner des conséquences dévastatrices pour la prestation de soins de santé et la sécurité des patients. La formation des professionnels de santé est une réponse à ces ces attaques mais aussi la capacité à évaluer les risques au sein des hôpitaux mais aussi celle des prestataires avec lesquels ils sous-traitent. L’idée étant de minimiser les risques et de se tenir prêts s’ils surgissent..
QUELLES MESURES DE PREVENTION ?
- Hygiène informatique au sein des hôpitaux :
Premier réflexe : la mise en place d’un audit et une analyse de risques. Cette étape permet de mieux comprendre les systèmes et les actifs les plus sensibles, puis de définir une politique de sécurité adaptée. Cette cartographie identifie entre autres les risques d’obsolescence et les points critiques.
Dans un second temps, la vigilance s’exercera sur les fonctionnalités :
- Protection des réseaux informatiques :
- la segmentation réseau pour isoler les différents services et limiter la propagation d’une éventuelle attaque ;,
- le contrôle des accès et la gestion de la télémaintenance et autres accès à distance pour limiter l’accès aux ressources uniquement aux personnes autorisées ;
- la sécurisation des communications pour garantir la confidentialité, l’intégrité et l’authenticité des données échangées ;
- l’authentification à double facteur pour renforcer la sécurité des comptes utilisateurs ;
- le filtrage par utilisateur pour limiter l’accès aux ressources en fonction des profils utilisateurs ;
- la sécurisation des protocoles de communication des équipements biomédicaux pour prévenir les intrusions potentielles.
- Protection des postes de travail :
- L’authentification à double facteur pour renforcer la sécurité des comptes utilisateurs ;
- La prévention d’intrusion sur les postes (HIPS) par analyse comportementale pour détecter les comportements malveillants ;
- La gestion des périphériques externes et l’application d’une politique de mots de passe suffisamment robustes pour éviter d’être la cible d’actions malveillantes depuis Internet ;
- La mise à jour régulière des correctifs pour augmenter le niveau de sécurité des postes de travail et traiter les vulnérabilités critiques.
- Protection des données :
- Proscrire l’envoi de tout dossier patient par email en clair ;
- Chiffrer le dossier médical avec différentes clés d’accès pour garantir la confidentialité et la protection des données sensibles ;
- Chiffrer de bout en bout les informations lorsqu’elles sont extraites du système d’information pour être transmises à un autre établissement de santé;
- Mettre en place un processus d’anonymisation et de pseudonymisation pour un traitement efficace de la donnée.
Dans un troisième temps, les établissements de santé doivent :
- Formaliser le processus de contrôle de conformité et de vérification des écarts par rapport à la politique de sécurité mis en place.
- Pratiquer une analyse régulière des journaux des équipements du réseau pour détecter toute activité suspecte ou non autorisée.
- Assurer la pratique régulière d’audits de sécurité ou de tests de pénétration pour identifier les vulnérabilités et les failles potentielles dans les systèmes et les applications.
- Planifier des actions correctives afin de résoudre les écarts identifiés lors des audits et des tests de pénétration.
Il est important de mutualiser les ressources en raison des difficultés de recrutement pour ces postes, notamment en raison de la pénurie de profils et de financements insuffisants.
L‘Agence Numérique en Santé (ANS)
L‘État a créé l’Agence Numérique de la Santé (ANS) en 2019. Cette agence a pour mission de soutenir la transformation numérique du système de santé en France.
L’ANS travaille en collaboration avec les différents acteurs du système de santé (professionnels de santé, établissements de santé, patients, etc.) pour développer des solutions numériques innovantes et sécurisées, telles que les dossiers médicaux partagés, les téléconsultations, les applications de suivi de santé, etc.
L’ANS aide également les professionnels de la santé à sécuriser leur système d’information, en particulier en élaborant une politique générale de sécurité des systèmes d’information de santé (PGSSI-S). Cette politique est élaborée en collaboration avec tous les acteurs concernés et vise à établir un cadre pour la sécurisation des systèmes d’information de santé.
La PGSSI-S est un corpus de documents qui définit les exigences de sécurité incontournables pour tout système d’information de santé, tout en respectant les droits des patients. Elle vise à établir des contraintes opérationnelles et économiques cohérentes pour l’ensemble des acteurs du secteur, afin de renforcer la confiance et l’adhésion des professionnels, des patients et du grand public.
https://esante.gouv.fr/produits-services/pgssi-s
- Le personnel de santé hospitaliers :
Comme mentionné dans le guide d’hygiène informatique de l’Agence nationale de systèmes de sécurité et d’information (ANSSI https://www.ssi.gouv.fr/)), il est essentiel de reconnaître que chaque utilisateur est un maillon important dans la chaîne des systèmes d’information. Par conséquent, dès son arrivée dans un établissement de santé, il est primordial de l’informer des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information.
Des actions de sensibilisation et de formation sont à mettre en place de manière régulière et adaptée aux profils ciblés. Ces actions peuvent prendre différentes formes, telles que des mails, des affichages, des réunions, un espace intranet dédié, etc.
Les sujets abordés doivent au minimum inclure les objectifs et les enjeux liés à la sécurité des systèmes d’information, les informations considérées comme sensibles, les réglementations et obligations légales, ainsi que les règles et consignes de sécurité régissant l’activité quotidienne.
Cela comprend notamment le respect de la politique de sécurité, la non-connexion d’équipements personnels au réseau de l’entité, la non-divulgation de mots de passe à un tiers, la non-réutilisation de mots de passe professionnels dans la sphère privée et inversement, ainsi que le signalement d’événements suspects.
Pour renforcer ces mesures, il est recommandé d’élaborer et de faire signer une charte des moyens informatiques précisant les règles et consignes à respecter par les utilisateurs.
Glossaire des cybermenaces
- L’ingénierie sociale est une méthode d’attaque, qui consiste à manipuler les employés d’un établissement de santé pour obtenir des informations confidentielles ou pour accéder aux systèmes informatiques. Les cybercriminels peuvent se faire passer pour des employés, des fournisseurs ou des partenaires pour gagner la confiance du personnel de santé et obtenir des informations sensibles.
- Le phishing est une technique de hacking qui consiste à envoyer des e-mails ou des messages texte frauduleux qui semblent provenir d’une source légitime, comme une banque ou un fournisseur de services de santé. Les messages incitent souvent les employés de l’établissement de santé à fournir des informations confidentielles ou à cliquer sur des liens malveillants qui téléchargent des logiciels malveillants sur les ordinateurs de l’établissement.
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing
- Les libéraux :
Les professionnels de santé libéraux ne peuvent plus se passer de l’informatique dans l’exercice de leur activité. Cela les expose à des incidents de sécurité qui peuvent entraîner des conséquences graves sur leur activité et la protection des données de santé de leurs patients.
Pour les accompagner dans cette démarche, l’ANS a mis à leur disposition un guide de bonnes pratiques. Ce guide regroupe les règles d’hygiène informatique de base à appliquer de manière stricte et régulière pour se prémunir contre la majorité des attaques informatiques.
Dans ce guide de bonnes pratiques de l’ANS, on retrouve une checklist des mesures d’hygiène informatique à mettre en œuvre tels que :
- Assurer la sécurité physique en maîtrisant l’accès physique au lieu d’exercice et en protégeant la sécurité physique des équipements informatiques.
- Protéger le poste de travail et l’accès aux applications en utilisant des mots de passe robustes et en veillant à la mise à niveau du système et des outils logiciels. Il est également important de séparer les usages professionnels des usages personnels et de maîtriser les accès aux informations.
- Utiliser une messagerie sécurisée de santé, respecter les règles de sécurité pour l’usage des cartes de type CPx et e-CPS et renforcer la protection des comptes informatiques les plus sensibles.
- Connaître les principes de sécurité et les diffuser, se renseigner sur les cybermenaces et documenter les usages de l’informatique.
- Anticiper la survenue d’incidents de sécurité, sauvegarder les données, détruire les données qui doivent être supprimées et savoir réagir en cas d’incident de sécurité informatique.
- Respecter les règles d’échange et de partage des données de santé à caractère personnel, ainsi que les principes de la protection des données de santé à caractère personnel, en connaissant et en appliquant les principes du règlement général sur la protection des données (RGPD).
- Elaborer un registre des activités de traitement de données à caractère personnel et informer les patients du traitement de leurs données à caractère personnel.
Enfin, en complément de son guide de bonnes pratiques, l’ANS met à disposition des professionnels de santé libéraux des fiches et des mémentos qui leur permettent d’adopter les bons réflexes en cas d’incident de sécurité informatique. Ces outils pratiques visent à aider les professionnels à se prémunir contre les cyberattaques et à limiter les impacts de celles-ci sur leur activité.
Les fiches proposées par l’ANS contiennent des informations claires et précises sur les mesures à prendre pour assurer la sécurité des données de santé des patients, ainsi que des conseils sur les règles d’échange et de partage des données de santé à caractère personnel. En utilisant ces outils, les professionnels de santé libéraux peuvent mieux se protéger contre les risques liés à l’utilisation des outils informatiques et assurer la confidentialité et l’intégrité des données de leurs patients.
CYBERSÉCURITÉ : ENCORE BEAUCOUP DE NÉGLIGENCE ET DE DÉNI
Certains professionnels de santé sous-estiment encore largement les risques liés à la cybersécurité et ne prennent pas les mesures nécessaires pour protéger les données des patients.
Idem du côté des hôpitaux et prestataires de soins de santé avec d’insuffisantes et irrégulières mises à jour de leurs systèmes d’informations et des logiciels qu’ils utilisent. Sans compter sur la réticence des hôpitaux comme des professionnels de santé à divulguer les incidents de cybersécurité, de peur que cela ne nuise à leur réputation.
Le manque de transparence est également un sujet important car les patients peuvent ne pas être informés de manière adéquate des risques liés à la cybersécurité et des mesures prises pour protéger leurs données de santé.
Il arrive que les professionnels de santé puissent ne pas être correctement formés à la cybersécurité, ce qui peut les rendre vulnérables aux attaques de cybercriminels.
Afin de briser ces tabous, il est important de sensibiliser les professionnels de santé et les patients aux risques liés à la cybersécurité dans le domaine de la santé, afin de mieux protéger les données sensibles des patients et assurer la continuité des soins de santé.
Retrouvez également notre autre article sur la cybercriminalité au sein des hôpitaux avec l’interview de Baptiste Le Coz.