Les cyber-attaques saturent le système sanitaire : il est urgent de réagir !

juin 2021 par Laurent Coulon, co-fondateur et président de Cognitive Companions

Cyber-attaques contre les hôpitaux, vol de données sur les vaccins anti-Covid… les attaques numériques à l’encontre d’acteurs du secteur de la santé se sont multipliées ces derniers mois. Et ce n’est qu’un début, car d’autres secteurs pourraient bientôt être la cible d’attaques massives, coordonnées et aux dimensions géopolitiques. Et si, pour faire face à cette menace, il fallait envisager la problématique d’un point de vue plus systémique ?

Marché de la santé : un capital immatériel à haut risque

Dans le monde sous pandémie que nous connaissons depuis plus d’un an, s’il y a bien un secteur qui s’est retrouvé sous le feu des projecteurs, c’est celui de la santé. Il y a bien sûr les hôpitaux et le difficile management de leurs services de réanimation, mais aussi les sociétés biotechnologiques et pharmaceutiques. La compétitivité de ces dernières repose en partie sur leur capital immatériel : brevets, patrimoine de savoir-faire, propriété intellectuelle pour développer médicaments et vaccins, etc. En outre, elles gèrent un volume important de données sur les patients, les protocoles de soins et la chaîne logistique du secteur de la santé.

Pour ces deux raisons, cette industrie a toujours été une cible de choix pour les cybercriminels qui cherchent à compromettre, voler et exploiter des informations sensibles. Une situation qui n’a fait que s’aggraver ces dernières années : entre 2017 et 2018, les attaques envers les entreprises biotechnologiques et pharmaceutiques ont progressé de 200%, puis encore de 50% entre 2019 et 2020 [1]. Dans 40% des cas, il s’agit de ransomwares – demandes de rançon en échange de données prises en otage par le biais d’un logiciel – obligeant les structures à payer des sommes souvent importantes pour assurer la continuité de leurs services. La crise de Covid-19 a davantage amplifié le phénomène et a rendu l’industrie de la santé, déjà identifiée comme sensible, extrêmement critique et vulnérable face aux cyber-attaques. Dans ce contexte, rien d’étonnant à ce que l’instabilité et le degré de risque se répercutent directement sur le cours de bourse des sociétés en question.

Du ransomware ciblé à la menace supra-étatique

La crise sanitaire a aussi donné une autre dimension à la question de la cybersécurité. En effet, si de façon isolée nombre d’entreprises ont été la cible d’attaques par ransomware, la course au vaccin a mis en exergue de nouvelles cyber-menaces en provenance d’états. La nature même de l’écosystème numérique de la chaîne d’approvisionnement de ce secteur nécessite l’intervention directe des pays pour sécuriser les systèmes d’information des fabricants. Or, dans certains cas – comme celui de la crise actuelle – les process sont élaborés au fur et à mesure. Prenons l’exemple du vaccin : il s’agissait d’abord de développer la technologie avant de mettre en place la logistique de transport et de conservation des doses. Comment dès lors sécuriser une chaîne en construction, interconnectée et internationale ? C’est un véritable enjeu de suprématie auquel sont aujourd’hui confrontés les différents acteurs nationaux et internationaux.

Et demain ? L’exemple du marché de la santé doit éveiller les consciences et souligner un niveau de criticité trop souvent sous-estimé dans de nombreux secteurs, qu’ils soient ou non considérés d’importance vitale pour les pays. Que se passera-t-il demain si des industries comme celles de l’énergie, de l’eau, des télécoms, des transports, ou encore des banques, devenaient la cible de cyber-attaques globales et massives ? Il est temps de réagir et d’envisager différemment l’analyse du cyber-risque.

Intelligence économique et cybersécurité : une approche combinée qui redonne du sens à l’information

Cette logique de cyber-attaques étatiques ne vient plus toucher une cible particulière mais bien un système d’influence complet. Pour y répondre, il s’agit de combiner deux approches que sont la cybersécurité (et donc la sécurisation technique des systèmes) et l’intelligence économique. Cette dernière consiste en la maîtrise et l’exploitation de l’information pour créer durablement de la valeur. L’intelligence économique repose sur (1) l’anticipation (veille, écoute, surveillance), (2) l’optimisation d’un potentiel d’innovation, (3) la communication d’influence et (4) la protection du capital immatériel. C’est en s’appuyant sur ce dernier point que l’on peut envisager ce rapprochement avec la cybersécurité, comme l’illustre le marché de la santé. L’intelligence économique vient faire la liaison entre la matière première qu’est l’information, et une logique de gouvernance.

Appliquée à l’échelle des entreprises, cette approche a l’avantage d’associer deux disciplines habituellement séparées. C’est une piste nouvelle pour les industries, car les dirigeants vont pouvoir envisager la sécurisation de leurs systèmes à un niveau plus juste et plus adapté aux situations. Cela permet de s’intéresser au « pourquoi » plutôt qu’au « comment » et de redonner du sens à l’information, et donc par extension à la cybersécurité. En outre, cette logique permet à chaque entreprise de s’interroger sur son cœur de métier et sa valeur ajoutée, et d’engager une réflexion stratégique plus globale sur ce qu’il faut protéger.

Pour être efficace et adaptée à la société contemporaine, la cybersécurité doit s’envisager comme un système des systèmes, et non pas seulement comme la dimension technique d’une stratégie globale. Cette vision holistique permet d’identifier les points critiques et donc de les sécuriser, surtout quand le système se crée au fur et à mesure comme dans le cas de la crise sanitaire de Covid-19. Nourrissons-nous de l’expérience du marché de la santé pour améliorer notre protection systémique, et hybridons les approches : intelligence économique et cybersécurité sont faites pour s’entendre !

[1] Rapport Bluevoyant 2020