La nécessité pour les établissements de santé de concilier transformation digitale et cybersécurité

30 sept. 2022 - 15:31,

Communiqué

- MAILINBLACK
  

1/ Les établissements de santé, cibles privilégiées des hackers

Les établissements de santé sont au cœur de notre société et la récente crise sanitaire l’a parfaitement démontré. Pendant plusieurs années les professionnels de santé ont occupé une place centrale en étant sur tous les fronts et ont été très médiatisés. Cependant, ces passages télévisés n’ont pas toujours concerné l’épidémie de Covid-19. Depuis cette période, les médias mettent régulièrement en lumière le fait que les hôpitaux sont devenus l’une des cibles préférées des hackeurs. Cela a été le cas pour le centre hospitalier de Dax, attaqué le 9 février 2021 par le ransomware Ruyk. Cette histoire a été très médiatisée puisque la cyberattaque en question a mis hors service la totalité du système d'information de l’hôpital. Le coût total de l’attaque s’est élevé à 2,3 millions d’euros. Un an après, le 21 août 2022, une autre grosse attaque a lieu, celle du centre Hospitalier de Corbeil-Essonnes qui a été victime d’une cyberattaque avec une demande de rançon de 10 millions de dollars. L’affaire a également fait du bruit puisque les hackeurs avaient annoncé un ultimatum : l’hôpital avait un mois pour payer la rançon ou le groupe cybercriminel Lockbit divulguait plus de 11 giga-octets de données dérobées pendant l’attaque. Le Centre hospitalier sud-francilien, qui assure la couverture sanitaire de 700 000 habitants, n’a pas cédé à la pression et a découvert vendredi 25 septembre, que les menaces du groupe cybercriminel avaient été mises à exécution. 

La méthode de « double extorsion » ici utilisée est très récente puisqu’elle est apparue au cours de ces trois dernières années. Elle consiste en le fait d’exfiltrer des données et de faire pression sur les victimes en les menaçant. Les hackeurs ont l’habitude utiliser cette extorsion dans le milieu médical puisque même si la rançon n’est pas payée, les données de santé extraites de l’établissement peuvent être revendues à prix d’or sur des marchés parallèles et illégaux. Pour information, le prix des données de santé est plus élevé que celui des données bancaires. Un dossier médical peut être revendu jusqu’à 300 €. 

Les établissements de santé sont donc la cible de menaces toujours plus abouties : 

  • Le phishing : appelée aussi hameçonnage, cette attaque informatique vise à obtenir des données personnelles en misant sur l’usurpation d’identité. Les hackeurs se font passer pour des entités connues telles que votre banque, votre opérateur ou encore vos prestataires habituels, afin de duper votre confiance et de vous soutirer des informations privées comme vos coordonnées bancaires, vos identifiants ou des données de patients. 
  • Le spearphishing : plus connue sous le nom de fraude au président, cette cyberattaque est basée elle aussi sur de l’usurpation d’identité mais plus ciblée. L’objectif est de viser des personnes précises dans l’optique d’obtenir des données privées ou de véhiculer des logiciels malveillants.
  • Le ransomware : appelée en français rançongiciel, cette menace est celle utilisée par les hackeurs dans l’attaque du centre hospitalier de Dax ainsi que dans celui de Corbeil-Essonnes. Ce logiciel malveillant a pour but de bloquer l’accès à votre ordinateur ou à des données personnelles tant qu’une rançon n’a pas été versée. Une fois infiltrer dans l’ordinateur, le ransomware se propage dans tout le système d’information et ses différents composants informatiques pour crypter un maximum de données et les rendre inexploitables.

De nombreux hôpitaux et établissements de santé français ont ainsi été frappés par des attaques comme celles-ci, mais par chance, cela n’a pas toujours donné lieu à une diffusion de données confidentielles. Pour éviter tout risque et réduire le nombre d’attaques ; qui s’élevait à une par semaine selon Cédric O, secrétaire d'État à la Transition numérique et aux Communications électroniques, il est important d’intégrer de nouveaux challenges dans le fonctionnement des centres hospitaliers. Le principal défi étant aujourd’hui de concilier transformation digitale et cybersécurité.

2/ Face aux cyberattaques, de nouveaux challenges pour les Systèmes d’Information Hospitalier

Aujourd’hui encore, le secteur de la santé fait partie des plus visés par les hackeurs. Les établissements de santé connaissent de nombreuses failles de sécurité, principalement concentrées dans leurs systèmes d’informations. En effet, ils sont encore composés en mode best of breed, c’est-à-dire concentrés sur un domaine en particulier. Leurs systèmes, souvent anciens et peu mis à jour, ne peuvent pas faire face aux nouvelles menaces informatiques plus évoluées que le domaine en question. Ce manque d’évolution laisse une porte ouverte aux nouvelles menaces, surtout que ces systèmes sont composés de plus de 200 applications soit des centaines de vecteurs d’attaques potentielles.

Pour éviter que ces systèmes deviennent le terrain de jeu des hackeurs, il est nécessaire d’augmenter leur niveau de protection. Pour une sécurisation optimale, il faut : 

  • Améliorer l’interopérabilité entre toutes les applications utilisées au quotidien par les établissements de santé. 
  • Mettre en place et encadrer le développement des télé activités avec des applications sécurisées.
  • Intégrer une solution de sécurisation de messageries, l'email représentant le vecteur principal d'attaque.

Les hôpitaux connaissent principalement des attaques par ransomware, c’est-à-dire des logiciels glissés dans une pièce-jointe qui une fois ouverte, bloque l’accès aux fichiers et crypte tous les documents. Le seul moyen de les décrypter : payer une rançon aux hackeurs. Les risques et les impacts sont désastreux, surtout que les hackeurs, une fois la rançon empochée, ne décryptent pas forcément les documents. Ce qui entraine leur perte définitive. Il n’est donc pas conseillé de payer la rançon. 

Ces attaques laissent donc de lourdes séquelles aux établissements de santé, qu'elles touchent l’activité des hôpitaux, les équipes ou encore les patients. 

3/ Des impacts liés aux attaques informatiques lourds à gérer pour les établissements de santé

Subir une cyberattaque n’est pas anodin puisqu’elle bouleverse complètement le quotidien du personnel et de ses patients.

3.1 Des impacts sur l’activité de l’hôpital et les équipes

Les impacts d’une cyberattaque sur un établissement de santé et sur son équipe sont nombreux et peuvent réduire significativement l’activité de ces derniers. Ainsi, on peut mentionner : 

  • La réduction de l’activité des services qui dépendent de la technologie (radiologie, laboratoire, etc…) 
  • La mise hors service des ordinateurs utilisés pour consulter les données des patients 
  • La paralysie de certains outils numériques connectés (IRM, Scanner…) 
  •  … 

Une cyberattaque ne s’arrête donc pas à la simple invasion des ordinateurs, elle peut aussi mettre à mal de nombreux équipements de santé et compliquer le quotidien du personnel soignant. 

Le risque financier est également à prendre en compte puisque très élevé : les coûts cachés sont 5 à 10 fois plus élevés que le coût de la rançon. Les coûts d’intervention, le rachat de matériel, les frais d’interruption de l’activité, la dégradation de la réputation, la perte de confiance, les investissements technologiques, la formation ou encore le recrutement de profils cyber représentent autant de nouveaux coûts que l’hôpital doit prendre en considération. 

3.2 Des impacts sur les patients de l’hôpital

Au travers des attaques subies par les établissements de santé, les patients peuvent devenir de véritables dommages collatéraux. Qu’elles concernent la revente de leurs données sur le darknet ou encore les problématiques liées aux soucis de transferts et d’interventions médicales, ces menaces sont à prendre en compte. Pour illustrer l’impact de ces attaques sur les patients des établissements de santé, en 2020, nous avons malheureusement assisté au premier décès humain lié à une cyberattaque… Ce drame s’est déroulé au sein de l’hôpital de Düsseldorf, qui était alors victime d’une cyberattaque paralysant l’ensemble de ses services. Cet incident a donc forcé le transfert de certains patients en urgence vitale vers d’autres hôpitaux de la région. Une patiente est alors décédée lors de son transfert, car elle n’avait pas pu recevoir les soins nécessaires à temps. 

Véritable point de non-retour dans la lutte contre la cybercriminalité, cet événement souligne également le lien entre la santé des patients et le niveau de protection IT. Pour faire face à la recrudescence des cyberattaques, les hôpitaux doivent s'armer en augmenter leur budget IT et en mettant en place des solutions efficaces.

4/ Des solutions dédiées aux hôpitaux pour faire face aux risques cyber

Au vu de la nature sensible et confidentielle des établissements de santé, il est important de tout mettre en œuvre pour que les parcs informatiques de ces derniers connaissent une sécurisation maximale. Pour prévenir ces cyberattaques, il est nécessaire de mettre en place une cybersécurité complète, intégrant des solutions technologiques de protection ainsi qu’une formation efficace des employés. La technologie est certes un allié de poids pour protéger les organisations mais elle n’est pas suffisante sans le soutien et la formation du personnel de santé.
Rappelons que 90% des incidents de sécurité sont liés à une erreur humaine !

4.1 Mettre en place des solutions technologiques

Dans un premier temps, il est important de développer la capacité des établissements de santé à pouvoir travailler et à échanger des données avec d’autres systèmes informatiques dans le respect des règles de confidentialité établies. Grâce à l’amélioration de ce point bloquant, les établissements pourront continuer à échanger et à consulter leurs données de santé, même dans le cadre d’une paralysie ou d’un vol de données à la suite d’une cyberattaque.   

Deuxièmement, il est très important pour ces établissements de pouvoir continuer à améliorer l’utilisation des télé-activités. Car depuis la crise sanitaire, la notion de télétravail est devenue omniprésente dans notre société et dans le monde professionnel. Et le secteur de la santé n’y échappe pas. Ainsi, il va falloir que cette pratique gagne en simplicité et en efficacité. Le tout en garantissant aux équipes, mais aussi aux différents patients, que toutes leurs données soient extrêmement bien protégées. 

Pour finir, il est nécessaire pour les établissements de santé de protéger leurs messageries. Cette étape clé va leur permettre de miser sur des solutions de cybersécurité qui trient et bloquent les emails dangereux avant qu’ils n’arrivent dans la boîte de réception de leur personnel. La solution Protect de Mailinblack, par exemple, représente un excellent choix. Solution simple, performante, accessible, et basée sur des technologies de pointe couplées à de l'intelligence artificielle, Protect assure aux établissements une véritable sécurité.

4.2 Placer l’humain au cœur de la sécurité

La cybersécurité est très souvent liée à de nombreux termes techniques et technologiques, mais il ne faut pas oublier un facteur très important dans ce domaine : l’humain !  
Car oui, les équipes qui composent les établissements de santé ont aussi un rôle à jouer dans la protection des données et il est désormais l’heure d’en prendre conscience.    
Malgré la crise sanitaire et ses multiples conséquences, il est important d’en tirer des leçons et de conduire à un changement. DSIRSIDG ou encore DPO se doivent d’être au courant des véritables enjeux cyber existants et d’impliquer chaque membre de leur structure dans leurs démarches de protection. Cela peut tout d’abord prendre la forme d’une micro-éducation des employés. Les avantages du micro-apprentissage ne sont plus à prouver ! Et nous en sommes convaincus chez Mailinblack. C’est d’ailleurs dans cette optique de démocratisation de ce type d’éducation qu’a été pensé et conçu notre dernière solution : Cyber Coach. Cette solution vous permet de former vos utilisateurs aux attaques de phishing et de ransomware et à leurs différentes conséquences. Concrètement elle permet de :    

  • Simuler des attaques d’hameçonnage et de ransomware personnalisées 
  • Obtenir des résultats détaillés sur les réactions des équipes 
  • Former les collaborateurs avec des contenus de formation personnalisés et adaptés à tout type de profil et tout niveau de compétences 

Et parce que nous savons que la compréhension et l’enseignement doivent se faire au rythme et en fonction du niveau de chacun, nous avons développé nos contenus de formation de manière à ce que chaque collaborateur puisse évoluer comme il le souhaite et devenir, petit à petit, un acteur à part entière de la sécurité informatique de son établissement. 

Pour être menée et développée de la meilleure manière possible, cette stratégie doit être encadrée par des « chefs d’orchestres » bien organisés. Pour un maximum d’efficacité, il faut que chaque membre connaisse son rôle. Directeur des systèmes d’informations, Directeur Général, Responsable de la Sécurité des Systèmes d’informations, Data Protection Officer et autres, chacun d’entre eux a des missions précises. Mais quelles sont-elles ?  

Le rôle du DG est assez simple, tel un chef de famille il a pour mission de montrer l’exemple au personnel soignant afin de les accompagner à bien agir et à s’investir à 100% dans la protection des données de santé. Mais il n’est pas le seul à avoir un rôle important à jouer :  

  • Le DSI doit s’occuper, lui, de démocratiser la sensibilisation dans l’établissement. 
  • Le RSSI lui, doit identifier et développer les solutions de formation au sein de son établissement.
  • Le DPO, quant à lui, doit œuvrer à la sensibilisation de ses équipes sur l’importance des données. Il utilise tous les canaux de communication internes possibles. 
  • … 

Vous l’aurez compris, pour obtenir des résultats rapides et efficaces, un tel projet doit être mené par une équipe motivée, pédagogue et accompagnée d’une solution de cybersécurité comme Cyber Coach.

Ces solutions dédiées aux établissements de santé face aux risques cyber leur permettront de protéger leurs systèmes d’exploitation tout en formant leurs collaborateurs aux bons réflexes. Cette double protection les aidera à évoluer sereinement et de connaître une transformation digitale pérenne. Les attaques cyber ne seront plus qu’un mauvais souvenir !

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie