Parmi eux, le secteur de la santé est loin d’être épargné par les cyberattaques : en 2016, les soins de santé étaient la cinquième industrie la plus ciblée. L’attaque WannaCry a servi d’avertissement pour toutes les équipes informatiques opérant dans le secteur de la santé à travers le monde, en leur donnant une idée très précise des conséquences dévastatrices d’une attaque de cybersécurité sophistiquée et prolongée. Dans ce contexte, il est clair qu’une nouvelle attaque ne saurait être tolérée.

L’importance de la cybersécurité pour le secteur de la santé

Face aux moyens de plus en plus sophistiqués déployés par certains secteurs pour détecter et empêcher les cyberattaques, les pirates, dans leur quête de nouvelles sources de données précieuses, ont pris conscience que le secteur de la santé en regorgeait. Les établissements de santé détiennent en effet d’énormes quantités d’informations sensibles sur la population ; dans certains cas, leurs systèmes informatiques ont également des liens avec des données provenant de services financiers.

En matière de sécurité informatique, les établissements de santé ont été globalement assez lents à adopter les pratiques préventives qui ont fonctionné pour d’autres secteurs. La plupart des membres du personnel médical n’a pas conscience des risques menaçant la sécurité des données (malgré l’importance traditionnellement accordée à la protection de la vie privée des patients dans ce secteur). De plus, les budgets alloués à la sécurité et les équipes dédiées à cette problématique ont tendance à être moins importants dans les établissements de santé que dans les autres secteurs.

Une récente étude révèle des progrès dans les politiques de cybersécurité du secteur français de la santé, notamment la montée en puissance des postes de RSSI (Responsable de la Sécurité des Systèmes d’Information) ainsi que des moyens budgétaires, internes et techniques dédiés à l’identification et au traitement des fuites de données.

À mesure que les entreprises adoptent les nouvelles technologies pour gagner en flexibilité, et améliorer leur rentabilité et leur croissance, il est important pour les DSI de construire des infrastructures informatiques sécurisées capables de faire face aux attaques, mais également de mettre en place des processus de sauvegarde garantissant que les données restent disponibles pour tout ceux qui en ont besoin.

Le besoin de prévention

L’adage « mieux vaut prévenir que guérir » s’applique aussi bien à la santé des individus qu’à la sécurité informatique ; il n’est jamais inutile d’insister sur l’efficacité des mesures préventives en matière de cybersécurité. Les sauvegardes hors site et hors ligne permettent non seulement d’atténuer les conséquences néfastes des ransomwares, mais peuvent également contribuer à prévenir le problème, lorsqu’elles sont accompagnées de la bonne solution logicielle de sécurité et d’une formation de sensibilisation des employés. Néanmoins, en matière de sécurité et de sauvegarde des données, il existe un écart vertigineux entre ce qui devrait être fait et ce qui se passe réellement. Les entreprises sont encore trop peu nombreuses à tester régulièrement leurs sauvegardes. Plus les tests sont espacés dans le temps, plus leur efficacité en cas d’attaque diminue.
Il existe plusieurs manières de faire une sauvegarde externe des données, à l’aide de disques systèmes, de disques durs amovibles, d’appareils à bande hors ligne ou encore de sauvegardes cloud. Quelle que soit l’option choisie par une entreprise, il est crucial que le répertoire de sauvegarde soit lui-même protégé contre les attaques.

Prévenir les conséquences des ransomwares

Il y a certaines mesures évidentes que toutes les entreprises doivent mettre en œuvre pour éviter les attaques de ransomware, comme par exemple maintenir leurs logiciels à jour et effectuer une analyse des menaces avec l’équipe chargée de la sécurité (y compris en effectuant des tests d’intrusion afin de détecter les vulnérabilités).

Les menaces étant de plus en plus fréquentes et sophistiquées, les entreprises doivent également s’assurer qu’elles parviennent à se prémunir contre les ransomwares en adoptant les bonnes pratiques en matière de gestion intelligente des données. Si elles sont victimes d’une attaque, les entreprises ne disposent plus que de deux choix : soit payer la rançon (sans garantie de récupérer les fichiers cryptés, ni d’éviter une nouvelle infection), soit restaurer les données, de la manière la plus rapide et la plus fiable possible.
En matière de protection des données, l’une des règles les plus éprouvées et les plus fiables pour limiter efficacement l’impact d’une attaque de type ransomware est la règle de sauvegarde « 3-2-1 », selon laquelle les entreprises devraient disposer d’au moins 3 copies de leurs données – les données principales et deux sauvegardes – afin d’éviter de perdre des données à cause d’une sauvegarde défectueuse, stocker ces copies sur 2 types de supports différents – bande, disque, stockage secondaire ou cloud –, et conserver une copie de sauvegarde hors site (soit sur bande ou dans le cloud) en cas de menaces locales ou d’infections causées par des ransomwares au sein du réseau.
En appliquant la règle « 3-2-1 », les entreprises disposent à tout moment d’une sauvegarde disponible et exploitable de leurs données et systèmes : une précaution essentielle dans un monde il suffit d’un instant aux ransomwares pour sévir.

Prôner plus de sensibilisation

De nos jours, l’erreur humaine reste la principale cause des failles de sécurité majeures. Il est donc important que toutes les entreprises mettent l’accent sur la formation de l’ensemble de leurs salariés. Cette décision est particulièrement adaptée au secteur de la santé, où le personnel est confronté à des décisions relatives à la vie humaine et n’a, de fait, pas forcément en tête les bonnes pratiques en matière de cybersécurité.

Les conséquences encore vivaces des récentes attaques de cybersécurité célèbres sont une raison supplémentaire pour les entreprises de s’assurer que leur personnel possède une bonne connaissance des pratiques et processus préventifs les plus efficaces.

Suite à des attaques massives comme WannaCry, protéger les informations relatives à la santé des patients nécessitera un effort hautement coordonné de la part des organismes de santé à échelle mondiale, ainsi que des investissements importants dans de nouveaux outils et procédures de mise en œuvre. Néanmoins, dans un premier temps, certains ajustements simples peuvent faire une grande différence en un laps de temps relativement court.

D’autre part, pour parvenir à une gestion intelligente des données dans le secteur de la santé, les DSI concernés devront s’attaquer aux risques de cybersécurité dans l’ensemble de l’entité et non pas seulement dans un domaine restreint, tel que l’accès aux dossiers des patients, et être prêts à partager ces connaissances avec leurs collègues.

Désormais, les hôpitaux doivent appréhender le risque d’attaque informatique avec le même degré d’importance que les pathologies médicales. C’est véritablement la gestion intelligente des données qui leur permettra de contrer toute menace sur les données de la part des logiciels malveillants, avant même qu’ils puissent affecter la vie d’un patient.