Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les infrastructures de santé s’arment pour mieux se protéger du risque cyber

mai 2016 par Coline Magne

Depuis plusieurs années, les cyber attaques et les fuites de données de santé se sont largement développées. La cyber sécurité est donc un enjeu majeur que les infrastructures de santé doivent intégrer à leur fonctionnement et la sensibilisation à la sécurité des systèmes d’information et des données de santé est primordiale. C’est dans ce contexte que s’inscrit, depuis février dernier, la démarche du Cyber Cercle visant à anticiper et décrypter les principales questions de sécurité numérique au sein des établissements de santé. Présidé par Monsieur le député Gérard Bapt, et accompagné de Philippe Loudenot, FSSI, Cédric Cartau, RSSI, Loïc Guezo, administrateur du CLUSIF, Patrice Large, DSI et Vincent Trely, Président de l’APSSIS, la table ronde du CyberCercle avait notamment pour problématique la manière dont les infrastructures de santé s’arment afin de lutter contre les cyber menaces et les conséquences qu’elles peuvent avoir sur un établissement de santé.

Comme l’a rappelé Monsieur le député Gérard Bapt, la loi de modernisation du système de santé ainsi que la loi sur la république numérique ont pour but de changer les comportements en matière de cyber sécurité et de santé. La nouvelle loi de modernisation du système de santé permet une prise de conscience. Auparavant, l’aspect sécurité était focalisé sur les données de santé et leur protection.

Les matériaux médicaux véritables vecteurs de vulnérabilités

Aujourd’hui, les matériels médicaux sont de véritables vulnérabilités pour les établissements de santé. En cas de piratage, un système d’information peut être totalement paralysé : plus d’administration, de soins, d’appareils numériques sécurisés etc. À titre d’exemple, Cédric Cartau, RSSI du CHU de Nantes, dénombre entre un incident par semaine et un incident tout les quinze jours. En effet, les systèmes informatiques des établissements de santé ont été développé dans les années 70 afin de répondre à un besoin précis : le passage au numérique. Ils n’ont donc pas été conçus pour être résilients et capables de faire face à une attaque. Sur la base du volontariat, et depuis la mise en place de la loi de modernisation de notre système de santé, Philippe Loudenot a rappelé que 1300 incidents ont été déclarés dont la plupart étaient dû à une opportunité ou à un rebond saisi par le hacker. Cependant, 18 incidents étaient liés à un piratage interne ou externe. Lors d’une attaque, la priorité doit être l’accès au système informatique. La disponibilité prime sur la confidentialité et l’intégrité. En fait, aujourd’hui les incidents se développent au sein des établissements de santé en raison de la vulnérabilité de leurs systèmes d’information. Cette situation est due au renforcement du niveau de sécurité des banques et des assurances. Il faut également ajouter à cela le fait que les données de santé ont désormais une valeur marchande ; les incidents ne peuvent donc que se multiplier.

Une multiplication des cyber-incident due à l’explosion numérique et à la gouvernance…

Il ressort principalement de cette table ronde que les incidents dans le milieu de la santé sont dus à deux éléments : une explosion du numérique ainsi qu’un problème de gouvernance. En effet, culturellement l’informatique est perçue comme un élément mineur, dont le degré de considération varie selon la taille de l’établissement. Lorsque dans les années 2000, les soins furent informatisés, la culture du numérique n’a pas été apporté dans les infrastructures de santé. La sensibilisation du personnel doit donc être entamée par les dirigeants des établissements de santé. Le personnel ne maitrisant pas les codes de la sécurité informatique, il représente, de ce fait, un risque majeur pour les infrastructures de santé. Le système numérique reste une aide pour le corps médical même si il ne leur est pas nécessaire. Malgré tout, le numérique est devenu un habitus difficile à défaire. En outre, les DSI ne sont pas suffisamment sensibilisés aux conséquences de leurs métiers sur les établissements de santé. En effet, la plupart sont des techniciens de l’informatique et leurs connaissances ne sont pas complètes sur le sujet. Il est également nécessaire de noter que l’on compte aujourd’hui 52 RSSI dans le domaine de la santé pour 3600 établissements. C’est beaucoup trop faible comparativement au ministère de la défense par exemple… De plus, les tâches des RSSI concernent principalement les données de santé et le système d’information mais ne comprennent pas les machines et autres matériels. Il s’avère que ces outils nécessaires aux établissements de santé sont extrêmement vulnérables et nécessitent une véritable prise en compte de la part des RSSI. Cependant, comme le souligne l’étude faite par le Clusif en 2014, les imageries, scanners ou IRM, sont des risques de vulnérabilités pour le secteur de la santé. En effet, tous les systèmes sont connectés sur le réseau sans aucune sécurité et les matériels médicaux sont contraignants car ils sont considérés comme des boîtes noires. Il est donc impossible d’avoir une gestion pro active de la sécurité concernant ce type d’appareils. Une bonne gouvernance n’est donc pas envisageable avec ce genre d’appareil. D’ailleurs, les photocopieurs multifonction devraient être les prochains outils piratés selon les orateurs de la table ronde.

Il ressort également de cette table ronde que le problème de gouvernance résulte d’un manque de prise en compte de cette problématique cyber par les élites des infrastructures médicales. En effet, c’est à eux d’impulser le changement. À titre de comparaison, une salle informatique de qualité est aussi importante qu’un bloc opératoire de pointe. Malgré tout, les petites infrastructures ne peuvent pas toujours se permettre d’investir dans ce type d’installations car trop coûteuses. Selon Cédric Cartau, la dimension cyber sécurité est une contrainte de plus pour les directeurs d’hôpitaux. La loi de modernisation du système de santé devrait donc permettre aux petites comme aux grandes infrastructures de sécuriser leurs systèmes d’informations afin de palier aux différents risques qu’ils encourent en matière de cyber attaques. Cependant, cette loi sera longue à mettre en place, entre 5 et 10 ans selon Cédric Cartau.

… mais des solutions techniques et organisationnelles émergent

Il existe malgré tout des solutions afin d’éviter cela. Tout d’abord, mettre tout les équipements dans un réseau dédié ce qui éviterait, en cas d’intrusion, de déborder sur d’autres systèmes d’information. Ensuite, Loïc Guezo a présenté un nouveau concept développé par Trend Micro : les clé USB autonomes de scan. Il s’agit de vérifier par le scan si l’appareil est compromis ou non. Cela ne laisse aucune trace sur la machine et permet de savoir rapidement si l’appareil est infecté. Un process peut alors être mis en place en fonction de la réponse obtenue par la clé USB. Une autre réponse pouvant aider les infrastructures de santé a mieux gérer leurs systèmes d’informations serait a minima de réaliser des analyses de risque avant l’installation du SI. Il faut prendre des risques oui, mais en connaissance de cause. Il a également été soulevé la question de l’externalisation de la gestion des systèmes d’information. C’est un vrai sujet de préoccupation car elle serait bénéfique à une infrastructure de santé en la délestant d’un poids. Malgré cela, une externalisation nécessite un contrôle, la question est : qui ? De nombreuses solutions existent mais ce n’est pas la solution en elle même qui importe mais le process qui en découle. Il faut que l’idée de la mise en place d’une solution émerge : la sensibilisation est donc primordiale.




Voir les articles précédents

    

Voir les articles suivants