Imaginons un peu. Vous êtes un administrateur chargé d’assurer les commodités de base et les besoins quotidiens de 1 000 lits dans un hôpital urbain multi-spécialités. Un beau matin, vous remarquez que tous les systèmes de surveillance au chevet des patients (les dispositifs informatiques qui affichent les signes vitaux des patients, comme le rythme cardiaque et la pression artérielle) ont cessé de fonctionner, laissant les médecins et les infirmières dans l’ignorance.
Après une inspection plus poussée, vous constatez que des fonctions essentielles de l’unité de soins intensifs, comme l’alimentation en oxygène, et des infrastructures clés pour les opérations chirurgicales, comme les appareils d’anesthésie, deviennent inopérantes une à une, mettant en danger la vie de plusieurs patients et paralysant les procédures médicales. Alors que vous essayez encore de minimiser le danger et de comprendre pourquoi cela se produit, on vous informe que le système de chauffage, ventilation et climatisation de l’hôpital est tombé en panne.
Au milieu du chaos, vous êtes contacté par une personne anonyme qui revendique la responsabilité de cette cyberattaque sur la technologie opérationnelle (OT) de l’hôpital et commence à exiger une somme d’argent importante pour reprendre les services normaux de l’hôpital.
L’exemple ci-dessus est un schéma typique de cyberattaques contre les systèmes OT d’un hôpital. Le scénario ci-dessus peut aller plus loin et affecter les systèmes informatiques de l’hôpital, mettant en danger les dossiers de l’hôpital et pouvant conduire à une violation des données de santé sensibles.
Bien que les cyberattaques touchent les systèmes OT de plusieurs domaines, de l’industrie automobile à l’aviation, ce sont les systèmes de santé qui sont le plus exploités ces derniers temps.
Les cyberattaques visant le secteur de la santé sont en augmentation
Les cyberattaques dans le secteur de la santé ne se limitent plus à l’informatique. À mesure que les dispositifs et infrastructures médicaux deviennent plus “intelligents”, la surface d’attaque pour les incidents de sécurité augmente également. Selon un rapport, les organismes de santé ont connu le coût moyen le plus élevé d’une violation de données pour la 11e année consécutive. Le coût moyen d’une violation de données dans le secteur de la santé s’élève à 9,23 millions de dollars, soit près du double de celui du secteur de la finance (qui s’est classé deuxième en termes de coût de violation de données).
En moyenne, en 2021, environ deux cyberattaques visant le secteur de santé ont eu lieu chaque jour. Les causes les plus fréquentes de ces violations sont les suivantes :
- Courrier électronique professionnel compromis.
- Un serveur de réseau piraté.
- Phishing.
- Ransomware.
- Un incident informatique.
En gardant à l’esprit ce qui précède, voyons comment vous pouvez minimiser les cyberattaques affectant les systèmes informatiques et télématiques de votre organisme de santé.
Moyens de protéger les systèmes informatiques et OT des établissements de santé
Limiter l’accès aux appareils
Les attaquants peuvent prendre le contrôle des équipements hospitaliers en branchant simplement un dispositif de mémoire ou un ordinateur portable, puis en exécutant un script qui pourrait rendre les installations de santé inutilisables. Une façon d’atténuer ce problème est de bloquer l’utilisation de périphériques de stockage externes. Pour ce faire, vous pouvez utiliser une solution de contrôle des dispositifs qui vous permet de garder un œil sur les dispositifs et les ports périphériques. Vous pouvez également contrôler les appareils branchés et analyser le comportement des utilisateurs.
Configurer le contrôle d’accès
Du chirurgien en chef à l’infirmière la moins expérimentée, tout le personnel hospitalier a besoin d’un accès rapide et facile aux données pour favoriser une expérience positive pour le patient. Un contrôle d’accès adéquat garantit que chaque utilisateur dispose d’un accès approprié, ce qui réduit la nécessité de fournir un accès administratif. Si le personnel soignant a besoin d’accéder à des ressources qui requièrent un privilège d’administrateur, vous pouvez élever temporairement ses privilèges afin qu’il puisse effectuer son travail en douceur. Le contrôle d’accès sécurise vos données, assure la responsabilité en suivant l’accès des utilisateurs et garantit la conformité aux réglementations informatiques.
Activer l’authentification multifactorielle
Si l’authentification multifactorielle est appliquée, les utilisateurs devront fournir au moins deux niveaux d’authentification pour accéder aux informations de votre organisation. Ainsi, même si le mot de passe d’un employé est compromis, ses autres facteurs d’authentification empêcheront les acteurs de la menace de se connecter. Ces facteurs d’authentification supplémentaires sont généralement un mot de passe unique basé sur le temps, un scan biométrique ou un code provenant d’une application d’authentification. L’authentification multifactorielle présente de nombreux avantages et constitue peut-être le mécanisme de cyberdéfense le plus simple que les organisations puissent mettre en place.
Utiliser le cryptage
Le cryptage des données consiste simplement à rendre les informations sensibles de votre organisation, comme les dossiers hospitaliers et les données des patients, illisibles pour toute personne qui ne devrait pas y avoir accès, comme les utilisateurs non autorisés ou les pirates. Cela est particulièrement utile en cas d’attaque par ransomware. Même si vos données sont compromises, les acteurs de la menace ne seront pas en mesure d’en divulguer le contenu, ce qui mettra votre organisation hors de danger.
Automatiser les correctifs et les mises à jour des logiciels critiques
Les technologies de la santé ont connu des avancées rapides, mais les organismes de santé ne peuvent se permettre de minimiser le rôle des correctifs et de la mise à jour de leurs logiciels. Plus que d’appliquer manuellement les correctifs et les mises à jour, il est important d‘automatiser ces processus pour limiter l’exposition de l’informatique de santé aux vulnérabilités. Les systèmes non corrigés restent une cible majeure des cyberattaques. L’installation des correctifs et des mises à jour logicielles dès qu’ils sont publiés est donc la meilleure chose à faire.
Ne travailler qu’avec des fournisseurs certifiés
Qu’il s’agisse de communication, de stockage en cloud, de facturation ou de logiciels informatiques, votre organisme de santé fera appel à divers fournisseurs tiers pour enregistrer, traiter et stocker des informations essentielles. À l’autre bout, ces outils devront également traiter des informations critiques sur les patients provenant d’autres parties prenantes, comme l’équipe d’assurance ou les institutions financières. Tout point faible dans toutes ces interactions avec des fournisseurs tiers peut être exploité par des pirates informatiques, et les informations peuvent être utilisées à mauvais escient. Pire encore, si l’un des fournisseurs avec lesquels vous travaillez est victime d’une cyberattaque, il est possible que votre organisation soit également touchée.
Une façon d’éliminer ces obstacles est de vérifier si le fournisseur est conforme à la loi HIPAA. Si un fournisseur est conforme à l’HIPAA, il suit un ensemble normalisé de mesures de sécurité pour préserver la confidentialité et la sécurité des informations de santé protégées lorsqu’elles sont transférées, reçues, manipulées ou partagées. Il existe d’autres règlements de conformité, tels que PCI DSS et NIST 800-171, qui prévoient un ensemble supplémentaire de pratiques pour protéger les informations privées.
Conclusion
Le secteur de la santé n’a jamais été aussi orienté vers la technologie. De la télémédecine aux masques capables de détecter près de 800 maladies, il sera de plus en plus difficile de gérer et de sécuriser ces dispositifs complexes. À l’époque où la télématique médicale en était à ses débuts, une façon de protéger ces systèmes consistait à les isoler du réseau. Mais ce n’est plus le cas aujourd’hui. À mesure que les systèmes informatiques et OT deviennent plus avancés et jouent un rôle plus important dans l’amélioration de nos vies, il sera intéressant de voir comment nos solutions actuelles de gestion et de sécurité des terminaux évolueront pour protéger la prochaine génération d’infrastructures de santé.
Source : 5 ways to protect critical healthcare infrastructure from cyberattacks
