De plus en plus ciblés par des cyberattaques, les établissements de soins peinent encore à se protéger. Patrick Coomans, expert cybersécurité chez Agoria, aligne sans complaisance les points faibles du secteur et donne quelques conseils pour s'en sortir.

Le diagnostic posé par Patrick Coomans, expert en cybersécurité chez Agoria, lors du récent Agoria Health Tech Summit, était à la fois largement connu et… sans appel: en matière de cybersécurité, le secteur de la santé est “below par”.
En plus de travers souvent rencontrés dans d’autres secteurs (fausse perception d’avoir pris des mesures suffisantes, tels que des tests de pénétration, impression qu’il suffit de faire confiance aux fournisseurs, conviction que c’est trop onéreux…), le secteur de la santé est confronté à un manque critique de formation et de conscientisation. “Peut-être deux heures pendant les nombreuses années de formation des médecins. Et encore sont-elles consacrées à la législation en la matière!”, déclarait Patrick Coomans, citant un témoignage recueilli par lui…

Or, la cybersécurité, rappelait-il, est une équation complexe où interviennent trois éléments: individus, processus et technologie. 

Impitoyablement, Patrick Coomans alignait les points faibles du secteur: manque de formation, lenteur à résoudre des vulnérabilités au niveau des équipements et infrastructures (informatiques, médicales, techniques), systèmes et logiciels vieillis, dont les licences ont expiré et qui ne sont plus supportés, secteur qui n’impose pas la même rigueur de certification que le fait par exemple l’aviation…

Et, comme si cela ne suffisait pas, il enchaîne en déclarant: “de mauvaise, la situation devient extrêmement mauvaise”. En cause? Les cybercriminels se spécialisent, s’organisent, collaborent. Sans risquer grand-chose tant les poursuites sont compliquées. “Le recours aux cryptomonnaies complique encore la chose. Du “follow the money” ne marche plus…”

Et les cybercriminels ne cessent de multiplier les types d’attaques pour faire monter la pression. Cela peut commencer par une attaque par ransomware qui ne se dévoile que plusieurs mois après la première infiltration. Si l’hôpital n’obtempère pas, on monte en puissance pour le pousser à payer: effacement des sauvegardes, exfiltration et menace de publication ou de vente des données patient, attaques de type déni de service (DDoS). “La tendance est aux attaques multi-niveaux…”

“Vous n’avez pas le choix”

Le réveil du secteur de la santé a sonné. Sous l’effet d’attaques toujours plus nombreuses, une prise de conscience s’est fait jour. Mais, à court terme, les acteurs du secteur - professionnels, établissements mais aussi fournisseurs - n’auront plus le choix. La cybersécurité deviendra un point d’attention obligé en raison des règles imposées par les autorités.

“La législation NIS 2 [Network and Information Systems] va changer la donne”. Rappel sommaire: la directive, transposée en législation belge, impose notamment de disposer de plans de gestion des incidents, de plans de continuité des activités et de gestion des crises, de politiques et procédures visant à évaluer l'efficacité de ces mesures, de politiques en matière d’utilisation de la cryptographie, de sécurité des ressources humaines, d’authentification, de gestion de la chaîne d’approvisionnement… Ce dernier point n’est pas sans implications puisqu’il concerne les fournisseurs des solutions ICT et numériques utilisées par les établissements de soins.        

Quelques conseils pour s’en sortir

Que faire? “Les directions doivent instiller une culture de la cybersécurité, comme dans le secteur aérien. Il faut comprendre les risques, via des exercices de simulation incluant les scénarios extrêmes, et, sur base de ces risques, élaborer un plan de cyber-sécurité. Toujours raisonner en termes de défense en profondeur, faite de plusieurs couches: politiques de sécurité, certification, solutions technologiques. Elaborer des plans de réponse après incidents et prévoir des plans alternatifs au cas où. Repérer et éliminer les équipements obsolètes. Recourir au guide OWASP Secure Medical Device Deployment Standard et s’abonner au Cyber Threat Report trimestriel le Centre belge de la Cybersécurité.”

Quant aux fournisseurs d’équipements et de devices, Patrick Coomans leur conseille de suivre un minimum de règles: sécuriser le code dès la conception, modéliser les menaces, recourir aux normes de vérification OWASP, s’aligner sur les normes de certification (ISO27001, IEC62443, ETSI EN 303645). “Faites de la cybersécurité un argument de confiance et de loyauté pour vos clients”.