Sûreté versus sécurité
La sûreté, qui consiste à lutter contre les défaillances et les erreurs, et la sécurité, qui vise les attaques délibérées, sont aujourd’hui traitées comme des activités distinctes. Or, dans le domaine de la santé où les données sont bien souvent confidentielles, il s’agit de concepts étroitement liés, en particulier depuis la mise en œuvre du RGPD. Faute de solutions idéales, il faut alors se contenter de compromis imparfaits.
Les accès aux bases de données ont ainsi été strictement limités aux seules personnes authentifiées via une procédure sécurisée. Mais l’urgence médicale s’accommode mal des verrouillages d’écran et autres mots de passe oubliés. D’où la mise en place de dispositifs de type « bris de glace » permettant de contourner le contrôle d’accès normal en cas d’urgence, voire de solutions plus pragmatiques consistant à placer la souris d'ordinateur à l'intérieur d'un agitateur pour empêcher l'activation du verrouillage d'écran.
Les accès aux bases de données ont ainsi été strictement limités aux seules personnes authentifiées via une procédure sécurisée. Mais l’urgence médicale s’accommode mal des verrouillages d’écran et autres mots de passe oubliés. D’où la mise en place de dispositifs de type « bris de glace » permettant de contourner le contrôle d’accès normal en cas d’urgence, voire de solutions plus pragmatiques consistant à placer la souris d'ordinateur à l'intérieur d'un agitateur pour empêcher l'activation du verrouillage d'écran.
Des systèmes informatiques à trois niveaux
La structure tripartite qui caractérise les systèmes informatiques de santé vient complexifier un peu plus la donne. Le premier niveau, les systèmes permettant d’assurer la gestion des tâches bureautiques quotidiennes, n’est pas spécifique à la santé et peut donc s’appuyer sur un socle commun de connaissances et de bonnes pratiques.
Le second niveau a, lui, trait aux nombreux dispositifs médicaux raccordés au réseau informatique. Beaucoup contiennent des ordinateurs intégrés dont les mises à jour ne sont plus supportées par le fabricant. Les placer dans des réseaux entièrement isolés peut alors empêcher les personnels d’accéder à leurs données médicales depuis un poste distant, ce qui peut être problématique pour assurer la continuité des soins ou échanger avec des opérateurs tiers.
Vient enfin le troisième niveau, souvent méconnu : le système de contrôle et d’acquisition de données (SCADA), qui gère l’infrastructure d’un bâtiment moderne – chauffage, ventilation, électricité, etc. Bien que vital, son rôle est rarement pris en compte dans les questions de sécurité informatique. Il n’est pourtant pas à l’abri d’une attaque. Un rançongiciel pourrait arrêter la ventilation des blocs opératoires et suspendre les interventions en cours, ou couper l’alimentation électrique et mettre en danger la vie des patients.
Le second niveau a, lui, trait aux nombreux dispositifs médicaux raccordés au réseau informatique. Beaucoup contiennent des ordinateurs intégrés dont les mises à jour ne sont plus supportées par le fabricant. Les placer dans des réseaux entièrement isolés peut alors empêcher les personnels d’accéder à leurs données médicales depuis un poste distant, ce qui peut être problématique pour assurer la continuité des soins ou échanger avec des opérateurs tiers.
Vient enfin le troisième niveau, souvent méconnu : le système de contrôle et d’acquisition de données (SCADA), qui gère l’infrastructure d’un bâtiment moderne – chauffage, ventilation, électricité, etc. Bien que vital, son rôle est rarement pris en compte dans les questions de sécurité informatique. Il n’est pourtant pas à l’abri d’une attaque. Un rançongiciel pourrait arrêter la ventilation des blocs opératoires et suspendre les interventions en cours, ou couper l’alimentation électrique et mettre en danger la vie des patients.
Un paysage règlementaire complexe
À cette complexité technique s’ajoute un véritable dédale règlementaire. Par exemple, en ce qui concerne le système de distribution d’oxygène médical, la responsabilité des canalisations physiques revient à l’installateur, tandis que celle du produit médical est du ressort d’un professionnel de santé. L’industriel n’est pas en reste, la règlementation imposant la mise en place d’un service interne de sécurité pour les gaz sous pression. À qui incomberait alors, en dernier ressort, la sécurité informatique ? Ce manque de clarté dans les chaînes de responsabilité augmente les risques et complexifie la mise en œuvre d’une politique de sécurité informatique cohérente.
Comment échapper aux rançongiciels ?
Vu tout ce que nous venons de décrire, il n’est guère étonnant que les établissements de santé soient des cibles faciles pour des cybercriminels cherchant à en retirer un avantage financier. Les données médicales ont toujours eu de la valeur sur le marché noir, mais les menaces ont aujourd’hui été démultipliées par la généralisation des rançongiciels.
En refusant de payer la rançon exigée, une entreprise classique peut occasionner une perte financière pour le cyberpirate. Un établissement de santé, lui, sera plus susceptible de céder au chantage, eu égard à l’enjeu capital que représente la sécurité des patients. C’est donc une cible particulièrement rentable.
Bien que de nombreux cybercriminels se soient engagés publiquement à ne pas rançonner les établissements de santé pendant la pandémie de Covid-19, d'autres, à l’instar du groupe Ryuk basé en Russie, ont, au contraire, renforcé leurs attaques, pariant sur le fait qu'une victime déjà fragilisée par la crise sanitaire sera plus encline à payer une rançon.
En refusant de payer la rançon exigée, une entreprise classique peut occasionner une perte financière pour le cyberpirate. Un établissement de santé, lui, sera plus susceptible de céder au chantage, eu égard à l’enjeu capital que représente la sécurité des patients. C’est donc une cible particulièrement rentable.
Bien que de nombreux cybercriminels se soient engagés publiquement à ne pas rançonner les établissements de santé pendant la pandémie de Covid-19, d'autres, à l’instar du groupe Ryuk basé en Russie, ont, au contraire, renforcé leurs attaques, pariant sur le fait qu'une victime déjà fragilisée par la crise sanitaire sera plus encline à payer une rançon.
Quelle solution trouver ?
Il n'existe malheureusement pas de solution universelle pour répondre à la crise de la sécurité dans les établissements de santé, pas de boîtier magique qu'il suffirait d'installer sur le réseau, pas de procédure en 5 étapes qui résoudrait tous les problèmes. Mettre tous les pirates en prison est tout aussi irréaliste : ils agissent depuis des États voyous où ils sont hors d'atteinte de la justice.
Trouver des solutions efficaces sera long et nécessitera une étroite collaboration entre toutes les parties prenantes. Les fabricants d'équipements médicaux doivent s’efforcer d’améliorer la sécurité de leurs produits, les tutelles doivent tenter d’établir une coopération internationale efficace, et les établissements de santé doivent s'attacher à renforcer leur sécurité de manière continue et progressive.
Par ailleurs, s’il n'existe pas de solutions toutes faites, des axes d'amélioration ont été identifiés. Il faut d’abord prendre conscience que le combat contre la cybercriminalité est sans fin. L'expression « la sécurité est un processus, pas un produit » n'a jamais été aussi vraie. Il ne faut, ensuite, pas oublier que l’accroissement de la sécurité doit s’effectuer de manière équilibrée. Si la totalité de votre budget est consacrée à l’amélioration de la sécurité des dispositifs médicaux, les pirates, toujours prompts à identifier vos points faibles, se rabattront sur votre réseau local… ou votre système SCADA.
Sectra AB • communications@sectra.com • communications.sectra.com
Ce document, dont le contenu est de nature marketing, peut être modifié à tout moment sans préavis. Sectra ne saurait être tenu responsable des erreurs ou malentendus contenus dans le présent document. © 2021 Sectra Communications
Trouver des solutions efficaces sera long et nécessitera une étroite collaboration entre toutes les parties prenantes. Les fabricants d'équipements médicaux doivent s’efforcer d’améliorer la sécurité de leurs produits, les tutelles doivent tenter d’établir une coopération internationale efficace, et les établissements de santé doivent s'attacher à renforcer leur sécurité de manière continue et progressive.
Par ailleurs, s’il n'existe pas de solutions toutes faites, des axes d'amélioration ont été identifiés. Il faut d’abord prendre conscience que le combat contre la cybercriminalité est sans fin. L'expression « la sécurité est un processus, pas un produit » n'a jamais été aussi vraie. Il ne faut, ensuite, pas oublier que l’accroissement de la sécurité doit s’effectuer de manière équilibrée. Si la totalité de votre budget est consacrée à l’amélioration de la sécurité des dispositifs médicaux, les pirates, toujours prompts à identifier vos points faibles, se rabattront sur votre réseau local… ou votre système SCADA.
Sectra AB • communications@sectra.com • communications.sectra.com
Ce document, dont le contenu est de nature marketing, peut être modifié à tout moment sans préavis. Sectra ne saurait être tenu responsable des erreurs ou malentendus contenus dans le présent document. © 2021 Sectra Communications
Article publié dans le numéro de mai d'Hospitalia à consulter ici