Cybersécurité : des hôpitaux à la santé fragile

 |  | 990 mots
Lecture 5 min.
Sécuriser les réseaux est autrement plus complexe que sécuriser des postes de travail et des fichiers, d'autant que les équipements médicaux utilisent des protocoles de communication divers et parfois rares. (Emmanuel Le Bohec)
"Sécuriser les réseaux est autrement plus complexe que sécuriser des postes de travail et des fichiers, d'autant que les équipements médicaux utilisent des protocoles de communication divers et parfois rares". (Emmanuel Le Bohec) (Crédits : DR)
Après des vagues de cyberattaques sans précédents subies par nos centres hospitaliers, "la réaction étatique sur le plan cyber sécuritaire se devait d'être à la hauteur, et elle semble l'être... du moins financièrement car les contours du plan restent à définir". Par Emmanuel Le Bohec, directeur Claroty (pays francophones), spécialiste de la sécurité des systèmes industriels

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a révélé qu'au total 27 centres hospitaliers avaient été ciblés en 2020. L'activité des pirates s'étant largement accélérée au cours des dernières semaines puisqu'en 2021, l'ANSSI dénombre d'ores et déjà une attaque par semaine. Les centres hospitaliers de Dax ou encore de Villefranche-sur-Saône en ont fait les frais.

L'État français vient donc d'annoncer un important plan d'investissement pour renforcer la cybersécurité des hôpitaux et centres hospitaliers français. Le 19 février, le président Emmanuel Macron a lui-même déclaré que 350 millions d'euros seraient investis au travers du Ségur de la santé. Après des vagues de cyberattaques sans précédents subies par nos centres hospitaliers, déjà largement sous tension du fait de la pandémie, la réaction étatique sur le plan cyber sécuritaire se devait d'être à la hauteur, et elle semble l'être... du moins financièrement car les contours du plan restent à définir.

A ce jour, quelques éléments concrets de ce plan d'investissement ont été révélés : l'État a nommé trois prestataires spécialisés en services de cybersécurité pour réaliser des audits et accompagner les hôpitaux dans leur démarche, et exprimé plusieurs conditions à son investissement renforcé, notamment la nécessité pour les hôpitaux d'attribuer 5% à 10 % de leurs budgets IT au volet cybersécurité.

A l'instar de l'usine 4.0, l'hôpital s'est modernisé...

Le parallèle entre l'hôpital et l'usine n'est pas anodin. L'usine a engagé il y a quelques années une nouvelle révolution - appelée l'usine/industrie 4.0 et présentée comme la 4ème grande révolution industrielle - qui s'est traduite par l'intégration d'un grand nombre de technologies numériques dans les processus de fabrication. Dans les faits, ce sont des technologies de big data, d'objets connectés, de Cloud, de capteurs et automates intelligents, etc. qui ont pris place un peu partout dans l'usine, pour permettre à l'usine de produire plus, plus efficacement, d'être plus « verte », de rationaliser ses coûts, etc. Plus communément, on parle de transformation numérique ou de digitalisation.

Cette transition a aussi été vécue au sein des hôpitaux, car l'hôpital n'est pas simplement un centre de soins, il est aussi aujourd'hui géré comme une entreprise. Et avec la tendance au rapprochement des hôpitaux dans des centres hospitaliers de plus en plus grands et centralisés, l'hôpital d'aujourd'hui ressemble plus à une usine 4.0, avec plusieurs sites qu'à un hôpital local d'antan.

Cette modernisation se traduit concrètement par l'intégration massive du numérique et du tout connecté : le dossier patient totalement informatisé (DPI) et stocké dans le Cloud, le matériel d'imagerie médicale, la robotique médicale ou même la gestion des bâtiments sont connectés. C'est bien moins connu, mais un docteur du centre hospitalier de Dax, nous a appris dans un témoignage que l'un des impacts de la cyberattaque subie récemment avait rendu impossible la stérilisation du matériel médical « car tous les automates sont commandés par ordinateurs avec traçabilité pour pouvoir sortir les boîtes ». En d'autres termes, même la gestion des boîtes stérilisées repose sur l'informatique. Et en l'occurrence, dans ce cas il était donc possible d'opérer mais sans boîtes stérilisées.

... et il est devenu vulnérable

Le problème, encore plus vrai dans le secteur hospitalier, que dans le secteur industriel, c'est que cette modernisation - cette transformation numérique à marche forcée - s'est faite sans que l'on se préoccupe suffisamment de la cybersécurité. Et le résultat est une très grande vulnérabilité aux cyberattaques, que des pirates sans aucun sens moral s'empressent de lancer au moment où l'hôpital est rendu encore plus vulnérable par la gestion de la pandémie.

Les annonces faites par le Emmanuel Macron sur l'amélioration du niveau de cybersécurité des hôpitaux, en mettant l'accent sur la sensibilisation et l'hygiène de base est un bon point de départ, qui doit s'inscrire dans une démarche globale. La sécurité du réseau doit intégrer la bureautique traditionnelle (IT) et le réseau plus industriel (OT) qui inclut les objets connectés (IoT) et les objets connectés industriels (IIoT). Car seuls l'investissement dans des solutions tels des antivirus, et les efforts en matière de sensibilisation (à l'échelle d'un hôpital avec un personnel aussi hétéroclite, la tâche reste ardue) ne permettront pas de protéger l'ensemble du périmètre.

Des équipements médicaux sous tension

Les cyberattaquants sont des criminels comme les autres. Ils ne s'arrêtent pas à une porte fermée. Ils essaient de rentrer par les fenêtres, et ainsi de suite. S'ils viennent à cibler les gros équipements médicaux, les scanners IRM, les pompes à insuline, les automates de toutes sortes (de gestion de la stérilisation, etc.) cela mettrait directement des vies en danger. Nous avons déjà vu des démonstrations et des alertes sur ces équipements dans le passé. Cela peut donc devenir réalité. Et avec l'augmentation des dispositifs IoT, de la robotique, et très prochainement de la connectivité 5G, les vulnérabilités seront encore plus nombreuses.

Sécuriser les réseaux est autrement plus complexe que sécuriser des postes de travail et des fichiers, d'autant que les équipements médicaux utilisent des protocoles de communication divers et parfois rares. Cela signifie que les systèmes industriels ont besoin de solutions de cybersécurité spécifiques et bien entendu d'experts spécialisés. Il est crucial que ces éléments soient pris en compte dans la réflexion actuelle autour de la cybersécurité des hôpitaux.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 14/04/2021 à 16:56 :
Les hôpitaux publics étant gérés comme des administrations du XIXe siècle, avec une bureaucratie à nourrir en priorité, on constate que ce manque de vision du monde réel aboutit à des impasses technologiques. Autant le matériel médical est moderne, autant le mode de pensée de ses gestionnaires est archaïque. On peut se poser la question de la gestion des deniers publics. On peut se demander pourquoi un tel écart entre les effectifs administratifs des hôpitaux publics allemands et les nôtres. Mais le français est geignard et vit des impôts, alors il est facile de les augmenter pour financer la gabegie institutionnelle.... Pourvu que ça dure !
a écrit le 03/04/2021 à 18:45 :
Dans les hôpitaux, on préfère une responsabilité humaine plutôt qu'une irresponsabilité générale par voie numérique!
a écrit le 03/04/2021 à 18:42 :
On préfère une responsabilité humaine dans les hôpitaux plutôt qu'une déresponsabilisé générale par voie numérique!
a écrit le 03/04/2021 à 11:10 :
Dans les faits, ce sont des technologies de traitement de MÉGADONNÉES, d'objets connectés, d'INFONUAGIQUE, de capteurs (...).
a écrit le 02/04/2021 à 14:46 :
Bon après d'avoir laissé les hopitaux sous windows 98 est d'abord et avant tout la preuve que nos dirigeants sont totalement incompétents car toujours campés au 19ème siècle.
Réponse de le 02/04/2021 à 18:53 :
Que nos dirigeants soient incompétents, c'est une possibilité, mais que les dirigeant des hôpitaux soient des ânes, c'est une certitude.

Il y a eu Rouen, qui aurait du sonner comme un (gros) avertissement et manifestement, personne n'a écouté ni retenu la leçon.

On lit ici et là "bravo aux équipes IT qui se sont mobilisées". Non, pas bravo du tout aux équipes IT qui se sont faites défoncer les unes après les autres. Quand on y regarde de près, il y a certes des problèmes de budget, mais comme pour la santé, il y a aussi des règles d'hygiène à respecter. Et elles ne l'ont pas été.
Réponse de le 06/04/2021 à 8:25 :
Malheureusement ce n'est pas si simple : quand un gros équipement est acheté, il l'est pour un fonctionnement pendant 5, 10 ou 20 ans, voire plus. Certes, il y a des mises à jour disponibles, mais seules certaines sont appliquées car d'autres peuvent perturber ou perturbent le bon fonctionnement de l'équipement. L'hôpital et nos dirigeants n'y peuvent rien : c'est le fabriquant de l'équipement, souvent celui qui en assure la "maintenance en condition opérationnelle" ou "tierce maintenance applicative", qui décide seul, notamment de laisser l'ordinateur de contrôle tourner sous Windows 98....
Réponse de le 06/04/2021 à 9:46 :
@ L'hôpital et nos dirigeants n'y peuvent rien

Ah oui parce que tu veux dire que ce ne sont pas eux qui ont acheté du windows donc ? Ou bien qu'ils ne savaient pas que ça évolueraient peut-être ? J'ai lu ton "argumentaire" et j'ai bien failli avoir les yeux crevés, fais un minimum d'efforts stp, merci.

Signalé.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :