La crise de la covid-19 a obligé des pans entiers des services publics et de l’industrie à transformer leur fonctionnement. L’adoption massive des gestes barrières et du télétravail ont été saisissants. Cependant, si les hôpitaux sont des modèles en matière de protection contre le coronavirus, ils restent à la merci des virus informatiques. Le Zero Trust permet de se protéger de ces menaces.
Le secteur des soins de santé continue sa mue. L’hôpital devient intelligent, les objets connectés se multiplient, les examens s’effectuent à distance… en conséquence, les données se multiplient, les points d’accès au système informatique des infrastructures de santé aussi. Tout cela dans un contexte où le personnel médical et administratif est souvent peu conscient des dangers de cybersécurité, et que les budgets dédiés sont insuffisants.
C'est d’autant plus grave que le RGPD et un certain nombre de réglementations spécifiques au secteur de la santé – mentionnons notamment le LHPST de 2009, le décret de confidentialité de 2007 ou la loi Kouchner de 2002 – créent une obligation légale d’avoir un degré élevé de protection des données de santé et une bonne gouvernance de ces données.
Cette exigence légale est mise à rude épreuve : le rapport de menaces et incidents du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) soulignait déjà avant la crise de la COVID-19 que le secteur de la santé est le secteur le plus touché par les rançongiciels. Les attaques réussies – mentionnons celle sur l’AP-HP le 22 mars et le CHU de Rouen le 16 novembre dernier – sont autant de rappels à l’ordre pour les responsables d’hôpitaux à combler les brèches dans leur sécurité.
Le secteur des soins de santé continue sa mue. L’hôpital devient intelligent, les objets connectés se multiplient, les examens s’effectuent à distance… en conséquence, les données se multiplient, les points d’accès au système informatique des infrastructures de santé aussi. Tout cela dans un contexte où le personnel médical et administratif est souvent peu conscient des dangers de cybersécurité, et que les budgets dédiés sont insuffisants.
C'est d’autant plus grave que le RGPD et un certain nombre de réglementations spécifiques au secteur de la santé – mentionnons notamment le LHPST de 2009, le décret de confidentialité de 2007 ou la loi Kouchner de 2002 – créent une obligation légale d’avoir un degré élevé de protection des données de santé et une bonne gouvernance de ces données.
Cette exigence légale est mise à rude épreuve : le rapport de menaces et incidents du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) soulignait déjà avant la crise de la COVID-19 que le secteur de la santé est le secteur le plus touché par les rançongiciels. Les attaques réussies – mentionnons celle sur l’AP-HP le 22 mars et le CHU de Rouen le 16 novembre dernier – sont autant de rappels à l’ordre pour les responsables d’hôpitaux à combler les brèches dans leur sécurité.
Une étiologie plurielle
En médecine, la cause ou l’origine d’une maladie est appelée étiologie. Celle-ci est souvent multiple, comme dans le cas du diabète. Il en va de même pour les hôpitaux : les causes des fragilités informatiques de leurs infrastructures informatiques sont nombreuses. Le premier aspect est bien sûr le degré de digitalisation des services de santé, dont on n’imagine plus qu’ils puissent fonctionner sans les nouvelles technologies. Cela augmente les points d’entrée possible pour les pirates tout en générant un grand nombre de données. Or les données de santé ont un caractère spécifique : elles n’ont pas de date limite. Par exemple, le numéro de sécurité sociale ou l’historique de santé sont valides à vie alors qu’une carte bancaire n’est valable que quelques années.
De plus, lorsque des criminels réussissent à installer un rançongiciel dans le système informatique, les hôpitaux ont tendance à payer les criminels. Cela se comprend vu les enjeux vitaux pour les patients (mais aussi en termes d’image et de finances), cependant cela a aussi pour effet d’inciter les criminels à recommencer. C’est en réponse à ce type de phénomènes qu’a été élaboré le plan Hôpital 2012, mais le personnel informatique a souvent été trop surchargé pour pouvoir le mettre en œuvre. Enfin, alors que l’ANSSI estime que les établissements de santé devraient investir 10 % de leur budget dans la cybersécurité, les investissements réels sont souvent en deçà.
Combinés, ces facteurs ouvrent la voie à plusieurs types d’attaques. Dans son rapport Smart Hospitals Security and Resilience for Smart Health Service and Infrastructures, l’ENISA décrit les cinq scenarios les plus pertinents : les rançongiciels, la paralysie des serveurs, le social engineering, la manipulation d’appareils connectés et le vol de terminaux. L’architecture des systèmes d’informations doit être pensée pour faire face à ces menaces.
De plus, lorsque des criminels réussissent à installer un rançongiciel dans le système informatique, les hôpitaux ont tendance à payer les criminels. Cela se comprend vu les enjeux vitaux pour les patients (mais aussi en termes d’image et de finances), cependant cela a aussi pour effet d’inciter les criminels à recommencer. C’est en réponse à ce type de phénomènes qu’a été élaboré le plan Hôpital 2012, mais le personnel informatique a souvent été trop surchargé pour pouvoir le mettre en œuvre. Enfin, alors que l’ANSSI estime que les établissements de santé devraient investir 10 % de leur budget dans la cybersécurité, les investissements réels sont souvent en deçà.
Combinés, ces facteurs ouvrent la voie à plusieurs types d’attaques. Dans son rapport Smart Hospitals Security and Resilience for Smart Health Service and Infrastructures, l’ENISA décrit les cinq scenarios les plus pertinents : les rançongiciels, la paralysie des serveurs, le social engineering, la manipulation d’appareils connectés et le vol de terminaux. L’architecture des systèmes d’informations doit être pensée pour faire face à ces menaces.
« Never trust, always verify »
Jusqu’à encore assez récemment, le parc informatique était conçu comme une forteresse : les murs étaient supposés impénétrables, et la confiance régnait au sein des murailles. Cependant, la frontière entre l’intérieur et l’extérieur était plus poreuse que prévu. Face à ce constat, un nouveau paradigme s’est imposé en cybersécurité : le Zero Trust.
Le Zero Trust repose sur l’adage « never trust, always verify » : il n’y a plus une forteresse et une opposition dedans / dehors mais des éléments en interaction constante qui doivent, pour chaque connexion et chaque transfert de données, prouver qui ils sont. Chaque personne, chaque terminal, chaque application doit s’authentifier avant d’accéder à des données ou d’exécuter des programmes. Ce paradigme est la nouvelle norme de référence en cybersécurité, et elle est particulièrement adaptée aux hôpitaux où il y a à la fois un grand nombre de personnes connectées et des informations sensibles.
Cela se traduit de façon très concrète. Ainsi, l’ENISA recommande de mettre en œuvre le whitelisting, à savoir une liste blanche d’applications qui peuvent être exécutées. Si l’application n’est pas sur la liste, elle sera bloquée. De cette façon, les programmes malveillants sont rendus inoffensifs. Un autre aspect est l’authentification, qui doit être multifactorielle. On peut par exemple utiliser une smartcard couplée à un code à taper ou une mesure biométrique : l’utilisation de deux facteurs d’authentification réduit drastiquement les risques de piratage. Enfin, et il s’agit là d’une exigence légale, les données doivent être chiffrées. Sans cela, la confidentialité des données stockées ne peut pas être garantie.
Ce ne sont là que trois aspects du Zero Trust, pour exemplifier son fonctionnement plus global : un système basé sur la vérification permanente et un degré de sécurité élevé pour réduire, à chaque action, les risques de piratage et les dommages potentiels. Ces équivalents digitaux aux gestes barrières permettent de réduire considérablement l’empreinte des virus informatiques.
Par sa nature même l’hôpital est particulièrement attractif pour les hackers. Il s’agit d’établissements gérant des données sensibles, beaucoup de personnel souvent peu au fait des bonnes pratiques en matière de cybersécurité, et en contact direct avec le public. En même temps, leurs budgets alloués à l’informatique et la sécurité sont sous-dimensionnés. Cependant, une architecture Zero Trust peut les aider à relever les défis qui ont été si crument exposés lors de la crise de la covid-19 pour un coût raisonnable.
Le Zero Trust repose sur l’adage « never trust, always verify » : il n’y a plus une forteresse et une opposition dedans / dehors mais des éléments en interaction constante qui doivent, pour chaque connexion et chaque transfert de données, prouver qui ils sont. Chaque personne, chaque terminal, chaque application doit s’authentifier avant d’accéder à des données ou d’exécuter des programmes. Ce paradigme est la nouvelle norme de référence en cybersécurité, et elle est particulièrement adaptée aux hôpitaux où il y a à la fois un grand nombre de personnes connectées et des informations sensibles.
Cela se traduit de façon très concrète. Ainsi, l’ENISA recommande de mettre en œuvre le whitelisting, à savoir une liste blanche d’applications qui peuvent être exécutées. Si l’application n’est pas sur la liste, elle sera bloquée. De cette façon, les programmes malveillants sont rendus inoffensifs. Un autre aspect est l’authentification, qui doit être multifactorielle. On peut par exemple utiliser une smartcard couplée à un code à taper ou une mesure biométrique : l’utilisation de deux facteurs d’authentification réduit drastiquement les risques de piratage. Enfin, et il s’agit là d’une exigence légale, les données doivent être chiffrées. Sans cela, la confidentialité des données stockées ne peut pas être garantie.
Ce ne sont là que trois aspects du Zero Trust, pour exemplifier son fonctionnement plus global : un système basé sur la vérification permanente et un degré de sécurité élevé pour réduire, à chaque action, les risques de piratage et les dommages potentiels. Ces équivalents digitaux aux gestes barrières permettent de réduire considérablement l’empreinte des virus informatiques.
Par sa nature même l’hôpital est particulièrement attractif pour les hackers. Il s’agit d’établissements gérant des données sensibles, beaucoup de personnel souvent peu au fait des bonnes pratiques en matière de cybersécurité, et en contact direct avec le public. En même temps, leurs budgets alloués à l’informatique et la sécurité sont sous-dimensionnés. Cependant, une architecture Zero Trust peut les aider à relever les défis qui ont été si crument exposés lors de la crise de la covid-19 pour un coût raisonnable.