Cybersécurité et santé – protéger les hôpitaux grâce aux technologies réseaux (NDR)
24 fév. 2023 - 13:25,
Tribune
- Jacques de La Rivière,GatewatcherL’Etat en plein rattrapage ?
Ces deux dernières années, l’Etat a fait preuve d’un volontarisme marqué à travers la mise en place de différents programmes en faveur d’un renforcement du niveau de cybersécurité des hôpitaux, comme en témoigne l’ambitieux plan d’investissement « France 2030 » allouant plus de 600 millions d’euros à cet effet. En décembre dernier, le gouvernement annonce cette fois-ci un programme de préparation aux incidents cyber, suivi de la mise en place d’une task force ministérielle. Cette dernière est chargée de définir le plan cyber pluriannuel, comprenant notamment un plan blanc numérique, d’ici le 31 mars prochain.
Les actions de l’Etat en la matière soulignent donc que « le cyber n’est plus une variable d’ajustement »[1]. Toutefois, ces actions sont avant tout le fait d’une stratégie de rattrapage, et non d’anticipation, face à un retard accumulé dans la protection du système hospitalier face aux cyberattaques. Une impulsion de toute la chaîne politique était en effet nécessaire, et attendue, pour assurer la cyber résilience de ces établissements.
Des contraintes propres au secteur hospitalier
« Les préoccupations face à la menace cyber entre les hôpitaux, administrations et entreprises se rejoignent en ce sens que la menace est la même (…) mais la santé a la particularité que nous jouons sur la vie des gens »[2], souligne Vincent Trély, président de l’APSSIS.
Contrairement aux entreprises ayant pris le pas d’une protection cyber depuis de nombreuses années, le secteur hospitalier doit renforcer rapidement ses efforts afin de prévenir ces incidents et répondre efficacement aux cyberattaques, tout en prenant en compte ses limites structurelles. Les hôpitaux rencontrent majoritairement trois grandes contraintes liées à la culture du risque cyber chez le personnel soignant, à un budget souvent restreint et à une typologie technologique particulière.
Malgré une prise en compte croissante des enjeux de la cybersécurité, une certaine réticence face à ces outils et protocoles est bien présente au sein des effectifs se méfiant d’une trop forte complexification de leur tâche par rapport à leur protection quotidienne. Le RSSI d’un établissement de santé est donc en perpétuelle négociation avec les acteurs afin de les sensibiliser mais également pour détenir un budget suffisant. En effet, un hôpital dédie 1 à 2% de son budget à des prérogatives de cybersécurité, quand les entreprises en confèrent en moyenne 4 à 5% de leur budget total. Avoir différentes technologies de protection cyber dédiées à la particularité de chaque service est de l’ordre de l’utopie. Aujourd’hui, le budget doit être conséquent afin de prévoir en complément des apports matériels (scanner, IRM etc.), des investissements spécifiques dans des technologies sécurisant le SI dans son ensemble.
De l’importance des technologies réseaux
Les hôpitaux disposent tout de même déjà d’une certaine maturité ayant notamment recours à des plateformes de protection des points de terminaison (EPPs), permettant de contrôler les menaces et virus connus. Toutefois, au vu du développement considérable des techniques de cybercriminalité, les établissements de santé doivent se prémunir face aux menaces avancées (APT).
Des investissements ont notamment été réalisés dans ce sens en faveur des SIEM – systèmes de gestion des événements et des informations de sécurité – , ou encore de l’EDR – systèmes de détection et réponses sur les endpoints -, sécurisant les différents terminaux de l’établissement en question. De plus, de nombreuses protections périmétriques, s’attachant à la protection directe à l’entrée d’internet, sont également déjà bien en place et disposent déjà des technologies avancées comme l’IA.
Mais aujourd’hui, les hôpitaux cherchent à aller encore plus loin. Tout comme les entreprises, les hôpitaux s’efforcent d’investir dans de nouvelles technologies s’attachant à la protection cette fois-ci du réseau, grâce à l’utilisation de technologies NDR. Selon Vincent Trély, « toutes ces technologies se déploient mais il y a une nette accélération sur l’usage de sonde, NDR, XDR, monitoring réseau, SOC etc. Et cela va être extrêmement dynamique sur les années qui viennent » [3]. Seulement déployé à hauteur de 22% dans les entreprises, l’usage du NDR a augmenté de 7 à 8 points de pourcentage par rapport à l’année dernière, une évolution des plus significatives parmi l’ensemble des technologies mises à disposition des entreprises, preuve de son fort intérêt[4]. 80%[5] des attaques passant par le réseau, sa protection est effectivement devenue essentielle.
Ces technologies NDR disposent de nombreux avantages comparatifs pour les hôpitaux. Les machines médicales représentent une grande partie du parc informatique d’un hôpital et sont connectées au réseau. Cependant, ces machines souvent introduites dans le parc informatique n’ont pas été explicitement approuvées par la DSI de l’hôpital (Shadow IT). Certes, elles représentent une forte capacité d’innovation et d’amélioration de la productivité, mais peuvent induire des risques supplémentaires notamment en termes de cybersécurité. En effet, ces machines ne respectent pas les normes de cybersécurité qui auraient pu être imposées par la DSI.. Les technologies NDR se positionnant sur le réseau sont ainsi capables d’identifier l’ensemble des appareils et assets externes connectés sur le réseau. Les menaces potentielles sont facilement détectables et de manière automatisée lorsque ces technologies ont recours à l’IA et au Machine Learning. Ainsi, les technologies NDR soutiennent les hôpitaux ne disposant pas des ressources humaines suffisantes pour traiter des remontées d’informations.
Par ailleurs, le NDR permet de maintenir le flux réseau et de facto les activités de l’hôpital si toutefois une menace était détectée. En effet, comment garantir la prise en compte des patients et un bon fonctionnement de l’hôpital si une solution de cybersécurité bloque l’ensemble des flux de ce dernier ? Jean-Christophe Combe – Ministres des Solidarités, de l’Autonomie et des Personnes handicapées, accompagné de François Braun – Ministre de la Santé et de la Prévention, stipulaient [6] : « les outils ne manquent pas mais ils perdent toute efficacité s’ils ne sont pas parfaitement intégrés (…) ». De part une technologie intégrée dans l’écosystème, une solution NDR peut s’interconnecter avec le système de cybersécurité déjà en place afin de ne pas perturber l’architecture existante. Elle vient ainsi en renfort des outils existants afin de détecter les menaces venant de l’intérieur du réseau et les signaux faibles précurseurs de cyberattaques.
Les technologies, en particulier de NDR, représentent donc une réponse précise aux besoins accrus de cybersécurité des établissements de santé français tout en s’adaptant à la particularité de leur SI. De par leur efficacité, ces technologies pourront à terme faciliter la compréhension des enjeux de cybersécurité par le personnel soignant. Ce travail ne peut se faire, néanmoins, sans une action complémentaire de l’Etat en la matière qui semble avoir pris la mesure de son engagement. Les conclusions de la task force du 31 mars ne pourra que nous éclairer d’avantage sur le sujet.
[1] Rapport ANS - La cybersécurité pour tous les établissements et services sociaux et médico-sociaux en 13 questions
[2] Vincent Trély, Podcast « Dans l’œil de la cyber », Gatewatcher - S2 #3 - VINCENT TRELY, APSSIS, QUELLE CYBERSECURITE POUR LA SANTE ? - Gatewatcher
[3] Saison 2, Episode 3 - Vincent Trély invité du Podcast « Dans l’œil de la cyber », Gatewatcher - S2 #3 - VINCENT TRELY, APSSIS, QUELLE CYBERSECURITE POUR LA SANTE ? - Gatewatcher
[4] Baromètre CESIN 8e vague
[5] Baromètre CESIN 8e vague
[6] Rapport - La cybersécurité pour tous les établissements et services sociaux et médico-sociaux en 13 questions
L'auteur
Jacques de La Rivière est Président, Co-fondateur de Gatewatcher. Après des études d’ingénieur à l’ESIEA, il débute sa carrière chez Mahindra Satyam en Inde en tant que chef de projet offshore. Il poursuit ensuite en tant qu’Ingénieur Commercial chez ADNEOM et BK Consulting sur des plateformes de trading haute fréquence. Jacques est Vice-Président d’Hexatrust. Sa vision transverse des métiers de la cybersécurité ainsi que sa passion pour la technologie contribuent au rayonnement de la filière cyber.