Santé et Cybersécurité
protéger les hôpitaux grâce aux technologies réseaux (NDR)
L’état en plein rattrapage
Ces deux dernières années, l’Etat a fait preuve d’un volontarisme marqué avec la mise en place de différents programmes. En faveur d’un renforcement du niveau de cybersécurité des hôpitaux, ces programmes ont permis de consolider la politique publique engagée autour de la santé et du numérique. L’ambitieux plan d’investissement « France 2030 » en est un des meilleurs exemples allouant plus de 600 millions d’euros à cet effet.
En décembre dernier, le gouvernement accéléra son engagement au vu des nombreuses cyberattaques perpétrées. Il annonçait notamment le lancement d’un programme de préparation aux incidents cyber, ainsi que la mise en place d’une task force ministérielle. Cette dernière était chargée de définir le plan cyber pluriannuel, comprenant notamment un plan blanc numérique, publié en juin 2023.
Puis, François Braun (ancien ministre de la Santé) annonçait dernièrement le lancement d’une feuille de route du Numérique en Santé pour 2023-2027, avec trois points phares :
- l’établissement d’une feuille de route spécifique sur l’usage des données de santé
- le souhait que d’ici 2027, les hôpitaux confèrent au moins 2% de leur budget au numérique, dont 10% pour la cybersécurité.
- la réalisation d’exercices de crise cyber
Les actions de l’Etat en la matière soulignent donc bien que « le cyber n’est plus une variable d’ajustement ». Toutefois, ces actions sont avant tout le fait d’une stratégie de rattrapage, et non d’anticipation, face à un retard accumulé dans la protection du système hospitalier face aux cyberattaques. Une impulsion de toute la chaîne politique était en effet nécessaire, et attendue, pour assurer la cyber résilience de ces établissements.
Des contraintes propres au milieu hospitalier
« Les préoccupations face à la menace cyber entre les hôpitaux, administrations et entreprises se rejoignent en ce sens que la menace est la même (…) mais la santé a la particularité que nous jouons sur la vie des gens », souligne Vincent Trély, président de l’APSSIS, dans l’Oeil de la Cyber.
Certaines entreprises ont pris le pas d’une protection cyber depuis de nombreuses années. Ce qui n’est pas le cas pour les hôpitaux. En effet, le secteur hospitalier doit renforcer rapidement ses efforts afin de prévenir ces incidents et répondre efficacement aux cyberattaques. Toutefois, il doit également prendre en compte ses limites structurelles. Les hôpitaux rencontrent majoritairement trois grandes contraintes :
- la culture du risque cyber chez le personnel soignant
- un budget souvent restreint
- un spectre technologique particulier.
Malgré une prise en compte croissante des enjeux de la cybersécurité, une certaine réticence face à ces outils et protocoles est bien présente. En effet, les effectifs redoutent une trop forte complexification de leur tâche par rapport à la protection quotidienne apportée par ces outils. Le RSSI d’un établissement de santé est donc en perpétuelle négociation avec les acteurs afin de les sensibiliser mais également pour détenir un budget suffisant. En effet, un hôpital dédie 1 à 2% de son budget à des prérogatives de cybersécurité, quand les entreprises en confèrent en moyenne 4 à 5% de leur budget total. Avoir différentes technologies de protection cyber dédiées à la particularité de chaque service est de l’ordre de l’utopie. Aujourd’hui, le budget doit être conséquent afin de prévoir, en complément des apports matériels (scanner, IRM etc.), des investissements spécifiques dans des technologies sécurisant le SI dans son ensemble.
De l’importance des technologies réseaux
Les hôpitaux disposent tout de même déjà d’une certaine maturité. Ils ont notamment recours à des plateformes de protection des points de terminaison (EPPs), permettant de contrôler les menaces et virus connus. Toutefois, au vu du développement considérable des techniques de cybercriminalité, les établissements de santé doivent se prémunir face aux menaces avancées (APT).
Des investissements ont notamment été réalisés dans ce sens en faveur des SIEM – systèmes de gestion des événements et des informations de sécurité – , ou encore des EDR – systèmes de détection et réponses sur les endpoints -, sécurisant les différents terminaux de l’établissement en question. De plus, de nombreuses protections périmétriques, s’attachant à la protection directe à l’entrée d’internet, sont également déjà bien en place et disposent déjà des technologies avancées comme l’IA.
Mais aujourd’hui, les hôpitaux cherchent à aller encore plus loin. Tout comme les entreprises, les hôpitaux s’efforcent d’investir dans de nouvelles technologies s’attachant à la protection cette fois-ci du réseau, grâce à l’utilisation de technologies NDR. Selon Vincent Trély, « toutes ces technologies se déploient mais il y a une nette accélération sur l’usage de sonde, NDR, XDR, monitoring réseau, SOC etc. Et cela va être extrêmement dynamique sur les années qui viennent ». Seulement déployé à hauteur de 22% dans les entreprises, l’usage du NDR a augmenté de 7 à 8 points de pourcentage par rapport à l’année dernière, une évolution des plus significatives parmi l’ensemble des technologies mises à disposition des entreprises, preuve de son fort intérêt. 80% des attaques passant par le réseau, sa protection est effectivement devenue essentielle.
Etablissements de santé et NDR, quels avantages ?
Ces technologies NDR disposent de nombreux avantages comparatifs pour les hôpitaux. Les machines médicales représentent une grande partie du parc informatique d’un hôpital et sont connectées au réseau. Cependant, ces machines souvent introduites dans le parc informatique n’ont pas été explicitement approuvées par la DSI de l’hôpital (Shadow IT). Certes, elles représentent une forte capacité d’innovation et d’amélioration de la productivité, mais peuvent induire des risques supplémentaires notamment en termes de cybersécurité. En effet, ces machines ne respectent pas les normes de cybersécurité qui auraient pu être imposées par la DSI.
Les technologies NDR se positionnant sur le réseau sont ainsi capables d’identifier l’ensemble des appareils et assets externes connectés sur le réseau. Les menaces potentielles sont facilement détectables et de manière automatisée lorsque ces technologies ont recours à l’IA et au Machine Learning. Ainsi, les technologies NDR soutiennent les hôpitaux ne disposant pas des ressources humaines suffisantes pour traiter des remontées d’informations.
Par ailleurs, le NDR permet de maintenir le flux réseau et de facto les activités de l’hôpital si toutefois une menace était détectée. En effet, comment garantir la prise en compte des patients et un bon fonctionnement de l’hôpital si une solution de cybersécurité bloque l’ensemble des flux de ce dernier ? Jean-Christophe Combe – ancien ministre des Solidarités, de l’Autonomie et des Personnes handicapées, accompagné de François Braun – ancien ministre de la Santé et de la Prévention, stipulaient : « les outils ne manquent pas mais ils perdent toute efficacité s’ils ne sont pas parfaitement intégrés (…) ». Du fait de l’intégration au sein de l’écosystème, une solution NDR peut s’interconnecter avec le système de cybersécurité déjà en place afin de ne pas perturber l’architecture existante. Elle vient ainsi en renfort des outils existants afin de détecter les menaces venant de l’intérieur du réseau et les signaux faibles précurseurs de cyberattaques.
Et la suite ?
Les technologies, en particulier de NDR, représentent donc une réponse précise aux besoins accrus de cybersécurité des établissements de santé français tout en s’adaptant à la particularité de leur SI. De par leur efficacité, ces technologies pourront à terme faciliter la compréhension des enjeux de cybersécurité par le personnel soignant. Ce travail ne peut se faire, néanmoins, sans une action complémentaire de l’Etat en la matière. Le gouvernement semble donc avoir pris la mesure de son engagement, avec notamment la publication de son dernier plan blanc numérique. Ce guide d’aide à la préparation face aux cyberattaques dresse, de manière complète, les différentes marches à suivre pour maîtriser son SI, mettre en place un plan de conformité, et les étapes à suivre en cas d’incident afin de maintenir (même de manière dégradée) l’organisation des soins.
La théorie est donc exposée. La place est donc maintenant à la pratique.