Renforcer la cybersécurité : une urgence pour le secteur de la santé
Publié le 24/2/2022
Auteur : Laure Muller, Field Marketing Manager
Les menaces cyber contre le secteur de la santé se sont considérablement renforcées ces derniers mois. Ce secteur est devenu une cible privilégiée pour les hackers. Le personnel médical, les patients et les partenaires commerciaux sont tous de plus en plus ciblés par les attaques qui ciblent en particulier les dossiers de santé et d’autres données personnelles.
La vulnérabilité de ce secteur face aux attaques malveillantes inquiète. La complexité de la chaîne logistique ouvre d’immenses failles dont profitent les criminels pour envoyer des emails de phishing et ainsi fragiliser le fonctionnement des établissements.
Le niveau de menace n’a jamais été aussi élevé
En juin 2019 a été lancé le plan de renforcement de la cybersécurité des hôpitaux qui a permis d’accompagner les établissements et les ARS dans la conduite du changement. Malgré cela, les attaques se sont encore intensifiées.
En 2020, les hôpitaux représentent 11% des attaques. En 2021, on note une hausse considérable des rançongiciels avec notamment les attaques des hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône.
Le CERT Santé qui regroupe les experts en sécurité informatique de l’Agence du Numérique en Santé (ANS), a recensé 730 incidents soit deux fois plus qu’en 2020.
Les risques d’attaques concernent toute la chaine de valeur du secteur : les fabricants de produits pharmaceutiques, les laboratoires, les fabricants d’appareillage électro médical, l’assurance maladie, les fabricants de produits de soin de santé, les logiciels de gestion des soins, les CHU & hôpitaux, les fabricants de fournitures & équipements médicaux …
Les données personnelles valent de l’or
Pourquoi tant d’acharnement de la part des hackers ? Comme le secteur bancaire, ce secteur est une mine d’or en termes de données. Avec les nouvelles technologies, les objets et les matériels médicaux connectés ont proliféré, ce qui a pour conséquence d’augmenter la surface d’attaque.
Ce sont avant tout les informations sur les patients (numéro de sécurité sociale, téléphone, prescriptions médicales, résultats d’analyse …) que les pirates cherchent à dérober. Les données volées sont généralement revendues sur Dark Web. Les pirates peuvent aussi faire du chantage aux institutions via des rançongiciels. Enfin, ils peuvent utiliser les données dérobées pour fabriquer de fausses identités, de faux documents, voire pour s’en prendre directement aux personnes physiques. Ainsi, le vol de plus de 25 000 dossiers de psychiatrie en Finlande en 2020 a donné lieu à des prises de contact et à des chantages directs auprès des patients.
Si la motivation financière reste première, dans certains cas se sont d’autres motivations qui poussent les piratages à s’en prendre aux établissements de santé. Le dernier exemple le plus frappant est celui de cet étudiant anti-passe sanitaire qui a, l’été dernier, frauduleusement extrait les données personnelles d’1,4 million de personnes des serveurs informatiques de l’assistance publique des hôpitaux de Paris. Mis en examen en octobre, il a expliqué son action comme étant une « démarche militante » visant à « démontrer la faiblesse de l’AP-HP ».
Avec les conséquences désastreuses que peuvent engendrer ces attaques, les organisations doivent impérativement renforcer leur cybersécurité et se tourner vers des solutions plus performantes, capables de protéger leurs données et les systèmes informatiques.
Comment développer la cyber-résilience ?
Cette attaque de l’AP-HP démontre, s’il en était encore besoin dans ce secteur, à quel point les systèmes d’information y sont souvent obsolètes, plus faciles à atteindre et donc plus vulnérables.
Autre faiblesse du secteur : le manque de culture numérique. Il fait le bonheur des hackers. Les risques et les bonnes pratiques en matière de cybersécurité sont encore trop méconnus.
Et pourtant les nouvelles technologies bousculent le secteur et le numérique est au cœur de son développement. De plus en plus d’outils informatiques sont nécessaires au fonctionnement des hôpitaux. Les téléconsultations ont explosé durant la crise sanitaire.
Depuis septembre 2020, les 3000 établissements de santé français et en particulier les Groupements Hospitaliers de Territoire, sont une priorité du volet cybersécurité de France Relance. Rappelons ici que les 135 GHT qui ont été désignés OSE (opérateurs de services essentiels), ont un enjeu de conformité avec la directive NIS.
Les rançongiciels demeurent la principale menace. Et les premiers vecteurs de propagation sont les failles sur les systèmes de messagerie, les VPN non mis à jour, le phishing et les vulnérabilités dans les systèmes bureautiques. Ce sont les constats partagés lors du 6ème colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux qui s’est déroulé le 18 novembre 2021 au Ministère des Solidarités et de la Santé.
Renforcer et améliorer la cybersécurité signifie investir dans des solutions permettant la gestion de l’identité et de l’accès, le chiffrement, l’analyse proactive de la sécurité des réseaux. La sécurisation des accès distants reste un enjeu majeur. Nombre de prestataires en charge de la télémaintenance ont besoin d’accéder au réseau en toute sécurité.
Le choix d’un VPN robuste s’avère primordial. Or, tous les VPN n’offrent pas le même niveau de sécurité. Les accès VPN utilisant le protocole SSL ont montré leurs limites.
Les vulnérabilités connues ont été très souvent exploitées pour compromettre les systèmes comme ce fut le cas pour l’attaque par rançongiciel au Centre Hospitalier d’Arles en août 2021. C’est la raison pour laquelle l’ANSSI recommande depuis plusieurs années l’utilisation du protocole IPsec pour les accès VPN.
Quand le VPN assure la confidentialité des données et accélère la prise en charge des patients
En France, les données des patients font l’objet de mesures de protection spécifiques. Les hébergeurs de données doivent disposer de l’agrément HDS (Hébergeur de Données de Santé) pour les stocker, mais cette protection doit aussi être assurée lors de leur transport. Si les conditions d’échange de données sont draconiennes et si les moyens de protection efficaces favorisent une circulation rapide des données médicales entre praticiens, alors il est possible de développer de nouveaux cas d’usage au bénéfice des patients.
Ainsi, en Australie, les ambulanciers utilisent des clients VPN TheGreenBow pour communiquer des données sur l’état de santé du patient dès sa prise en charge, au moyen d’une tablette numérique.
Le service des urgences de l’hôpital qui va accueillir le patient dispose déjà d’informations vitales sur son état avant même que celui-ci n’arrive dans le service. Dans ce cas extrême, le client VPN peut véritablement sauver des vies !
Pour le secteur de la Santé, TheGreenBow propose une gamme complète de clients VPN IPsec pour Windows, Android, Linux, macOS et iOS. Pour les établissements publics, TheGreenBow a conçu une offre commerciale dédiée : le VPN Français.
Cette offre qui comprend l’ensemble des clients VPN TheGreenBow, permet des protéger les connexions distantes pour moins d’1€ par mois. Le VPN Français est référencée à l’UGAP via le marché multi-éditeurs et figure également au catalogue de groupements d’achat public comme le RESAH (Réseau des Acheteurs Hospitaliers et le HELPEVIA (Groupement d’achats pour les établissements de santé). Pour en savoir plus, visitez le site levpnfrançais.fr.
