FIC 2023 : comment protéger les hôpitaux des cyberattaques ?

Appâtés par des rançons à plusieurs millions de dollars sous-tirées à des cliniques américaines, les hackers s'attaquent de plus en plus aux hôpitaux. En 2021, les établissements de santé ont déclaré 750 incidents de cybersécurité. Le FIC 2023, le Forum international de la Cybersécurité organisé cette semaine à Lille, a mis en valeur quelques solutions de cyberdéfense en milieu hospitalier.
350 millions d'euros ont été débloqués en France pour le numérique et la cybersécurité au sein du monde hospitalier dans le cadre du Ségur de la santé. (Un hôpital en Ile-de-France)
350 millions d'euros ont été débloqués en France pour le numérique et la cybersécurité au sein du monde hospitalier dans le cadre du Ségur de la santé. (Un hôpital en Ile-de-France) (Crédits : Reuters)

Scénario catastrophe. Le 9 mars dernier, le centre hospitalier universitaire de Brest a été victime « d'une intrusion dans son système d'information ». Résultat, toutes les connexions internet ont été coupées, aucune réception d'emails possible, plus de paiement par carte bancaire et aucune prise de rendez-vous en ligne... Et surtout, un retour à la normale qui a pris plusieurs semaines. Brest n'est pas un cas isolé : plusieurs hôpitaux français ont été la cible de cyberattaques au cours des derniers mois, comme l'hôpital de Versailles en décembre 2022 ou le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes à la fin de l'été.

Face à l'urgence, 350 millions d'euros ont été débloqués en France pour le numérique et la cybersécurité au sein du monde hospitalier dans le cadre du Ségur de la santé. Problème, les équipements médicaux sont souvent dépassés au plan informatique, ce qui contraint les équipes IT à cloisonner au maximum les réseaux et à privilégier les outils de détection. L'idée étant qu'à travers les 150 groupements hospitaliers de territoire (GHT) créés, il puisse être question de mutualiser les ressources, dans le cadre de la directive NIS 2 (Network and Information Security), qui a pour objectif d'augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d'activité, dont le secteur de la santé.

« Les hôpitaux, qui n'ont pas encore été touchés, ont de toute façon massivement pris conscience des risques d'attaques cyber et souhaitent désormais anticiper », constate Marc Delecour, manager CERT InfraAD / Azure AD chez Orange CyberDefense. Car non seulement, les établissements publics ne peuvent payer de rançons mais aussi et surtout, les fichiers de santé extrêmement sensibles se revendent à prix d'or. Par exemple, le coût d'un dossier médical peut atteindre 350 dollars sur le darkweb, soit 50 fois plus qu'un dossier bancaire, selon IBM !

Enormément de services

 « Nous travaillons en amont des attaques avec des audits, du renforcement sécurité, du monitoring mais aussi avec des outils pour construire une réponse au maintien de l'activité qui soit la plus efficace possible », poursuit le manager Orange CyberDefense. Pour les hôpitaux qui ont déjà subi une attaque, il faut aussi reconstruire peu à peu les services. « Notre priorité d'action met d'abord l'humain au centre : un hôpital, ce sont avant tout des patients. Contrairement à une entreprise classique, les établissements hospitaliers comptent énormément de services différents : après une attaque, l'idée est non seulement de les rouvrir au fur et à mesure mais aussi de savoir prioriser efficacement ».

« La spécificité du médical, c'est que la médecine est de plus en plus connectée, qu'il s'agisse de stockage et d'échanges d'informations mais aussi d'équipements comme les pompes à insuline ou les pacemakers : en cas de piratage informatique, il faut avoir déjà trouvé un mode opératoire hors ligne pour poursuivre l'activité de soins », commente Jean-Marc Sepio, co-fondateur d'AUCAE en 2019 avec Pascale Perez. « AUCAE propose justement de mettre en place une cellule de crise virtuelle, qui permet de s'entraîner. Sachant que de toute façon, les hôpitaux ont désormais l'obligation de mettre en place ce genre d'exercice, dans la même logique que les évacuations incendie ».

Répétition et réaction

Sa solution, baptisée Digital Crisis Response, propose donc à la fois une répétition mais aussi une réponse à une attaque réelle, le cas échéant, en connectant tous les acteurs susceptibles de participer à la résolution du problème, à partir de tablettes, ordinateurs avec une clef 4G ou encore smartphones, permettant de voir toutes les actions entreprises ou à mettre en place.

Siégeant à Toulouse (avec un bureau à Brest), AUCAE permet notamment de prévoir tous les scénariis et de déterminer la liste de toutes les actions techniques ou médicales à mener, en accord avec le référentiel édité par l'Agence Nationale de Santé. « C'est par exemple déterminer comment récupérer les résultats des analyses quand on n'a plus de connexion internet », prend pour exemple Jean-Marc Sepio.

Grâce cet outil, tous les acteurs peuvent accéder à distance, à l'évolution de la situation en temps réel, en fonction de leurs niveaux de responsabilité. Plus l'hôpital est bien organisé pour contrer la moindre intrusion, moins les chances sont nombreuses que la cyberattaque qui paralyse l'ensemble aboutisse... AUCAE travaille d'ailleurs actuellement sur un tout nouveau simulateur d'exercice de crise automatique, avec analyse des actions mises en place grâce à l'analyse artificielle mais également une aide à la prédiction des actions à mettre en place. Ce projet a fait l'objet d'une subvention de près de 200.000 euros de France 2030 et de l'Union européenne.

Double vérification

B COM, institut de recherche technologique privé créé en 2012 et basé à Rennes, Paris, Lannion et Brest, s'est aussi penché sur la question de la sécurisation des données médicales au sein des hôpitaux. « Suite aux nombreuses attaques, nous mettons actuellement au point un système permettant de créer une sorte d'empreinte permettant de reconnaître par exemple l'ordinateur ou la tablette d'un patient ou d'un chirurgien », détaille Gaëtan Le Guelvouit, responsable du laboratoire Confiance et Sécurité.

« L'objectif est que si un hacker réussit à craquer un login et un mot de passe, il se fasse quand même bloquer depuis qu'il n'interviendra pas depuis un device reconnu ». Le projet est en cours de fiabilisation technique. Mais nul doute qu'il sera rejoint par d'autres innovations. Selon les chiffres de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, en France, c'est désormais un établissement de santé qui est attaqué chaque semaine.

Lire aussiCyberattaques : « La menace est très forte en Centre-Val de Loire » (Baptiste Chapuis, mission numérique)

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 07/04/2023 à 19:02
Signaler
Il faut arrêter Windows.

à écrit le 07/04/2023 à 15:44
Signaler
Comment on faisait avant qu'il n'y ait des "cyberattaques" ? On n'utilisait pas l'informatique et encore moins le réseau ! ;-) Et.. particularité, on était soigné !

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.