Connectez-vous S'inscrire

Le magazine de l'innovation hospitalière
SIS

Crise sanitaire, crise cyber-sécuritaire


Rédigé par Rédaction le Lundi 23 Novembre 2020 à 09:35 | Lu 1999 fois


Profitant de la confusion liée à la pandémie, les pirates informatiques ont multiplié leurs attaques sur les établissements de santé dès le mois de mars. Partout dans le monde, cette situation a mis en lumière la nécessité de développer d’avantage les outils liés à la cyber-sécurité des systèmes d’information hospitaliers.



« Plusieurs gangs de Ransomwares [logiciels de rançon ou logiciels d’extorsion – NDLR]vont arrêter leurs attaques sur les organisations de santé pendant la pandémie » (1). Tel était le titre d’un article paru sur le site Bleepingcomputer le 18 mars dernier, alors que l’épidémie due au nouveau coronavirus progressait partout dans le monde, et plus particulièrement en Europe. Si plusieurs groupes de pirates informatiques s’engageaient alors à ne pas attaquer les établissements sanitaires pendant la crise, force est de constater que cela n’a pas été respecté de tous. Dès le mois de mars, Bitdefender, une entreprise spécialisée en cyber-sécurité, constatait ainsi « une augmentation de plus de 475 % [des actes malveillants, NDLR] en mars par rapport au mois de février ». Début avril, l’organisation internationale de police criminelle Interpol s’est publiquement inquiétée de cette situation pour le moins fâcheuse en temps de crise. Quelques semaines plus tard, c’était au tour de plusieurs personnalités – dont Mikhaïl Gorbatchev et Desmond Tutu, tous deux lauréats du prix Nobel de la paix – de dénoncer « les cyberopérations visant des structures de soins de santé », les qualifiant « d’inacceptables », dans une tribune publiée par le journal Le Monde. (2) Profitant de la pandémie et de l’angoisse ambiante, les pirates ont en effet multiplié les attaques tout autour du globe. 

L’AP-HP, cible d’une attaque de grande ampleur

Si quelques-unes de ces tentatives ont pu être déjouées, comme en Roumanie où les membres du groupe de hackers « PentaGuard » ont été arrêtés quelques jours avant de lancer une attaque majeure sur des établissements de santé, d’autres ont abouti. En France, l’un des plus gros assauts de cette période s’est déroulé le 22 mars dernier et visait l’Assistance Publique - Hôpitaux de Paris (AP-HP). « L’attaque qui a duré une heure a été gérée par le prestataire de l’AP-HP et n’a jamais atteint ses infrastructures », indiquait quelques heures plus tard le service de presse de l’institution, ajoutant que le prestataire « a diminué les accès internet, ce qui a eu pour conséquence de bloquer l’accès externe à la messagerie, à Skype ainsi que l’accès externe aux applications de l’AP-HP ». Cette action, suivie d’un blocage des accès à partir des zones extérieures à l’Europe, a permis de limiter l’impact de l’attaque. Ce n’était d’ailleurs pas la première fois que l’AP-HP faisait face à des cyber-frappes. À l’instar de plusieurs autres établissements de santé, ses systèmes d’information subissent régulièrement des tentatives d’intrusion, que ce soit pour en extraire des données de santé ou y implanter des ransomwares, ces logiciels qui prennent en otage des données personnelles. Utilisés par exemple lors d’une attaque sur le CHU de Rouen à l’automne dernier, les rançongiciels jouent sur l’obligation de continuité des soins, en bloquant le fonctionnement d’un établissement afin de le forcer à verser une somme importante, souvent en crypto-monnaies. 

Des vulnérabilités anciennes …

Depuis longtemps, des personnalités spécialisées en cyber-sécurité alertent sur les risques spécifiques en établissement de santé et surtout sur la vulnérabilité de ces structures face aux cyber-pirates. « Certains établissements sont des passoires avec des SI directement connectés à Internet, sans protection », déclarait ainsi Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d'Information (FSSI) du ministère des Solidarités et de la Santé lors d’un Cybercampusorganisé en février dernier à Paris, soulignant d’ailleurs que la cyber-sécurité n’était pas « une affaire de DSI[Direction des Systèmes d'Information – NDLR], c'est une affaire de gouvernance ». Souvent pointé du doigt par les équipes hospitalières elles-mêmes, le manque de moyens au sein des services dédiés à l’informatique et à la cyber-sécurité des hôpitaux est l’un des nombreux facteurs de vulnérabilités au sein des établissements de santé. S’y ajoutent d’autres paramètres comme la multiplication de réseaux internes où coexistent des niveaux différents de confidentialité (hotspot Wi-Fi pour les patients, réseau SI, réseau opérationnel…), ainsi que le facteur humain, véritable maillon faible avec des personnels souvent trop peu formés aux bonnes pratiques de cyber-sécurité et dont les équipements personnels (Smartphones, tablettes) utilisés à des fins professionnelles sont eux-mêmes insuffisamment sécurisés. 

… qui se sont accrues pendant la crise sanitaire

Ce rôle prépondérant joué par les utilisateurs lors des cyber-attaques s’est accentué au plus fort de la crise sanitaire, avec des équipes stressées qui faisaient face à un nouvel agent pathogène et des pirates qui tentaient d’en tirer profit. Phishing, ou hameçonnages, faux courriels de l’Organisation Mondiale de la Santé, vente factice de gel hydro-alcoolique ou de masques, arnaque aux Faux Ordres de Virement Bancaires (FOVI) pour réclamer un paiement avant l’envoi de matériel médical… de nombreux pirates ont adapté leurs discours aux spécificités de cette situation exceptionnelle (3). À cela s’est ajoutée la nécessité, pour les établissements, de mettre en place le télétravail en un temps record, avec parfois plusieurs centaines de postes concernés. « Dans le secteur de la santé, nous n’étions, évidemment, pour la plupart, pas préparés à mettre en place une telle organisation de travail à distance pour un aussi grand nombre »de personnes, constate Charles Blanc-Rolin, Responsable de la Sécurité des Systèmes d'Information (RSSI) du Groupement Hospitalier de Territoire du Cantal, dans une tribune publiée par le Think Tank « CyberCercle ». (4) Conscient de la difficulté d’assurer la sécurité totale des données dans ces conditions difficiles, l’expert conseille de se tourner en premier lieu vers des produits français « reconnus par notre Agence Nationale de la Sécurité des Systèmes d’Information »(ANSSI), limitant ainsi les risques d’intrusion ou d’exportation involontaire de données. 

Quels outils pour accompagner les établissements de santé ?

Afin de limiter les risques de cyber-attaques et mieux accompagner les établissements de santé dans le développement des bonnes pratiques de sécurité informatique, de nombreux acteurs publics et privés proposent depuis plusieurs années des outils et des systèmes dédiés. Ainsi, depuis 2017, l’État oblige les établissements de santé à déclarer les cyber-incidents, qu’ils soient accidentels ou malveillants. « Les remontées d'information rendent service à la communauté », a d’ailleurs rappelé Philippe Loudenot en février dernier. « Il ne faut pas avoir honte, il n'y a pas de jugement de valeur ou de stigmatisation », a ajouté le FSSI qui considère que « tout le monde se fait pirater, même l'Élysée, Matignon et les grandes entreprises ». Dans l’édition 2019 de son « Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé », l’Agence du Numérique en Santé (ANS) enregistrait ainsi, en une année seulement, « près de 400 incidents »et « soixante-dix demandes d’accompagnement » formulées auprès de la cellule cyber-sécurité en santé. Ces chiffres sont d’ailleurs en constante augmentation, parallèlement à la multiplication des actes malveillants. « Dans un contexte où la menace continue à se développer et à s’adapter, la cyber-sécurité à l’échelle de chaque structure de santé est devenue une priorité nationale » ,indiquent ainsi Dominique Pon, responsable ministériel du numérique en santé et Laura Létourneau, déléguée ministérielle du numérique en santé, dans le dernier Observatoire de l’ANS. La crise sanitaire a donc fait office de révélateur, se positionnant comme une véritable boîte de résonnance pour des risques somme toute universels. Gageons que la multiplication des alertes, en France comme dans le reste du monde, poussera désormais les établissements de santé à considérer la cyber-sécurité pour ce qu’elle est réellement : un enjeu stratégique et structurant pour la continuité des organisations.


(1) « Ransomware Gangs to Stop Attacking Health Orgs During Pandemic », à lire sur www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/
(2) Tribune à lire sur www.lemonde.fr/idees/article/2020/05/26/les-cyberoperations-visant-des-structures-de-soins-de-sante-sont-illegales-et-inacceptables_6040741_3232.htm
(3) L’Association Pour la Sécurité des Systèmes d'Information de Santé (APSSIS) a publié en juin dernier une liste de plusieurs exemples d’arnaques et de phishing recensés au plus fort de la crise sanitaire. Intitulé « Covid-19 et les quarante voleurs », l’article est consultable sur  www.apssis.com/actualite-ssi/429/covid-19-et-les-quarante-voleurs.htm
(4) À lire sur https://cybercercle.com/teletravail-echanger-tout-en-gardant-le-controle-de-ses-donnees/


 
Article publié sur le numéro de septembre d'Hospitalia à consulter ici   
 
 

Des spécialistes viennent en aide aux établissements de santé

Devant l’importance de la sécurité informatique en établissement de santé, plusieurs professionnels du secteur ont annoncé des mesures de soutien, et ce dès le début de la crise. Cet appui, bien souvent né d’initiatives personnelles, s’est matérialisé par exemple avec la création du groupe « CyberVolunteers 19 », qui a regroupé plusieurs centaines de volontaires souhaitant aider les acteurs de la santé à se protéger contre les cyber-attaques ; ils ont notamment apporté des conseils experts, en fonction de l’évolution de la situation et des problématiques rencontrées sur le terrain. Sur le site « Covid-19 Cyber Threat Coalition », Joshua Saxe, chercheur pour l'entreprise Sophos, et d’autres volontaires proposaient quant à eux un webinar hebdomadaire qui, tout au long des mois d’avril et de mai, a recensé les menaces et les sujets prépondérants de la semaine. Et ce sont loin d’être les seuls exemples, preuve, s’il en est, que le cyber-monde sait aussi être solidaire. 






Nouveau commentaire :
Facebook Twitter