Cybersécurité et santé : les enjeux pour la protection des données sensibles

Le secteur de la santé gère une quantité massive d’informations sensibles, notamment des données médicales, des dossiers de patients, des informations personnelles et des données de recherche.

Ces données sont de plus en plus numérisées afin d’améliorer et d’accélérer la communication entre les professionnels de la santé, les organismes administratifs et les patients.

Les enjeux en cybersécurité et santé autour de ces données sont multiples. Make It Safe vous en présente les principaux :

  • Respect de la confidentialité des données médicales
  • Contrôle de l’intégrité des données des patients
  • Disponibilité des services de santé
  • Protection contre les attaques visant ces données médicales
  • Respect de la réglementation en matière de protection des données

Les menaces qui pèsent sur ces données et les conséquences d’un manque de cybersécurité sur leur protection peuvent s’avérer cruciales et nécessitent la mise en place d’une politique de sécurisation bien spécifique. En effet, sans accès à ces données numérisées, un établissement de santé peut se retrouver littéralement tétanisé dans l’accès au dossier de ses patients et donc à leur traitement.

1- Les principales menaces pour la cybersécurité en santé

A. Les attaques par ransomware :

Toujours à la recherche de valeurs à dérober à distance, les pirates informatiques n’ont aucun état d’âme à s’en prendre à des établissements de santé. Ils savent pertinemment qu’un hôpital ne peut fonctionner correctement s’il n’a pas la possibilité d’accéder aux données de ses patients. La donnée médicale devient donc un produit monnayable contre une demande de rançon.

C’est le principe d’un ransomware : le pirate accède à distance au réseau informatique de l’établissement et en bloque le fonctionnement selon différentes techniques. Il propose alors un moyen pour le rendre de nouveau opérationnel, en échange du versement d’une importante somme d’argent.

Parfois, l’organisme de santé n’a d’autre solution que de céder pour éviter d’avoir à supporter les conséquences potentiellement dramatiques de cette perte d’accès aux informations médicales de ses patients. En 2022, la liste des hôpitaux français et autres établissements de santé victimes de ransomwares n’a cessé de s’allonger (plusieurs dizaines pour cette seule année).

L’exemple sans doute le plus frappant est celui du CHSF (Centre Hospitalier Sud Francilien) de Corbeil-Essonnes en région parisienne dont les données ont été bloquées à partir du 21 aout 2022, en échange d’une demande de rançon d’un montant de 10 millions de dollars (source Numerama).

Il aura probablement suffi d’un simple email comportant un lien d’hameçonnage pour déclencher l’intrusion d’un programme malveillant dans le réseau informatique du CHSF. Une fois à l’intérieur du système informatique, le ransomware se met à chiffrer toutes les données qui passent à sa portée, les rendant totalement illisibles sans une clé de déchiffrement.

Vous l’aurez compris : cette clé ne pourra être obtenue qu’en échange du versement de la rançon exigée. Si l’établissement refuse de payer, il devra mettre en place de très onéreuses ressources pour tenter de récupérer ses données, parfois sans y parvenir. Pendant ce temps, les pirates auront déjà monnayé la revente des fichiers piratés sur le Dark web : le marché parallèle du réseau Internet.

B. Les attaques ciblant les dispositifs médicaux connectés :

Les pirates informatiques cherchent maintenant à s’attaquer aux appareils médicaux équipés de dispositifs de communication avec Internet (IoT). Cela peut concerner par exemple :

  • L’IRM (imagerie par résonance magnétique) d’un hôpital
  • Les caméras de surveillance d’un centre hospitalier
  • Des pompes à perfusion placées au chevet des malades
  • Des stimulateurs cardiaques portées par les patients

Ces appareils se multiplient dans le secteur de la santé afin d’apporter un service toujours plus automatisé. Malgré les précautions prises par les fabricants de ces dispositifs dans le protocole de connexion de l’appareil au réseau du système informatique médical, une faille de sécurité reste toujours possible.

Un des cas les plus cités d’attaque sur un système IoT concerne la pompe à insuline MiniMed de l’entreprise Medtronic. En 2018, cette société avait confirmé qu’un dispositif de leur pompe, commercialisée auprès des hôpitaux américains, avait été affecté par une vulnérabilité de cybersécurité.

L’attaque potentielle aurait pu permettre à un pirate d’accéder à distance à l’une de ces pompes afin de modifier la quantité d’insuline injectée à un patient. Heureusement, ce scénario de cauchemar ne s’est jamais produit ! Les fabricants de ces dispositifs font de multiples tests de cybersécurité pour que cela n’arrive jamais.

C. L’ingénierie sociale et le phishing

Les pirates informatiques n’ont d’ailleurs pas besoin de recourir à des techniques aussi sophistiquées pour attaquer leurs cibles, car il leur suffit parfois d’avoir simplement recours à la ruse pour berner la confiance du personnel de santé. C’est ce que l’on appelle “l’ingénierie sociale“.

L’une des techniques les plus répandues est celle du “phishing“. Par exemple, un médecin d’un hôpital consulte un email qui ressemble à s’y méprendre à un message d’un organisme ou d’une personne qu’il connait : nom de domaine semblant identique, même charte graphique, même style dans le choix des mots…

L’ingénierie sociale fait appel aux réactions émotionnelles de ceux qui lisent les messages piégés. Dans le milieu médical, le personnel est souvent soumis au stress. Il faut agir vite, obéir sans discuter aux injonctions de la hiérarchie… Les pirates profitent de cette situation pour envoyer des emails imitant à la perfection des messages au ton menaçant. Le but est d’inciter le destinataire à cliquer sur le lien par peur de désobéir à une instruction.

Dans ce milieu professionnel, la notion d’entraide est également très présente. Le pirate peut inciter le personnel médical à venir en aide à un collègue en difficulté en faisant circuler une cagnotte. Un petit clic sur le bouton bien visible permettra de lui envoyer un don…

On le voit : l’imagination des pirates est sans limites et le sens moral ne les étouffe pas. Comment se défendre de toutes ces possibilités de fraude sans sombrer dans une inutile paranoïa ?

Make It Safe vous propose de suivre quelques règles de bon sens :

Règles de sécurité en ingénierie sociale

1. Toujours vérifier le nom de domaine

Un lien ou un email est toujours associé à l’URL d’un site web. Par exemple, le site des impôts en France a comme nom de domaine “impots.gouv.fr“. Si vous avez reçu un message email du type “albert.dupond@impots.gouv.fr“, l’adresse email est bien construite à partir du domaine des impôts.

Par contre, si l’email est construit ainsi : “albert.dupond@impots.gouv.fr.net“, il s’agit d’un nom de domaine contrefait. Cette adresse email n’appartient pas au site des impôts et constitue certainement l’amorce d’un piège.

La vérification est la même pour un lien : vous pouvez lire l’URL qui lui correspond (par exemple en laissant le pointeur de la souris sur ce lien au lieu de cliquer dessus) et vérifier que le nom de domaine est bien celui espéré. N’acceptez jamais de valider un formulaire sans avoir vérifié auparavant l’URL de la page qui l’affiche.

2. Ne jamais télécharger un programme sans validation de votre SI

Lorsqu’on est pressé et qu’on a besoin d’un logiciel spécifique sur son ordinateur, il est tentant de ne pas attendre l’accord de son service informatique pour l’installer soi-même. C’est malheureusement souvent ainsi qu’un programme malveillant parvient à s’immiscer dans le réseau d’un organisme de santé.

Il suffit d’une clé USB prêtée par un collègue pour transporter ce malware qui n’aura pas été détecté par son logiciel antivirus. Vous connectez la clé sur un des ports USB de votre ordinateur professionnel en pensant que vous ne risquez rien et vous installez le programme qui vous manquait. Le malware en profite pour s’installer également dans votre machine…

Les antivirus ne peuvent vous protéger que contre les programmes malveillants qui ont déjà été répertoriés et laissent parfois passer des malwares récents. Lorsque le malware est détecté, il est trop tard : il a eu le temps de se propager dans tout le réseau informatique de votre organisme.

3. Toujours vérifier la source d’une injonction

Si vous recevez un message en provenance de votre hiérarchie, avec de plus une injonction vous demandant d’agir à la place de votre responsable (par exemple pour communiquer un mot de passe ou transmettre un ordre de virement SEPA), il faut prendre le temps de réfléchir.

Est-ce vraiment votre responsable qui vous contacte ? Pourquoi cette situation inhabituelle ? Dans ce cas de figure, essayez de téléphoner à cette personne ou à défaut, alertez d’autres responsables pour savoir quelle décision prendre.

Make It Safe vous propose un logiciel complet vous permettant de définir toute votre stratégie de défense en matière de sécurité. Nous sommes aussi à votre disposition si vous souhaitez mettre en place des formations spécifiques à la cybersécurité pour familiariser vos collaborateurs aux règles de l’ingénierie sociale.

Découvrez les fonctionnalités du logiciel Make It Safe.

2- Les conséquences possibles des attaques sur la cybersécurité en santé

A. La compromission des données médicales

Plus encore que les simples données personnelles d’un individu, les données médicales doivent être protégées contre tout risque de compromission. La règlementation générale de protection des données (RGPD) insiste sur la responsabilisation du personnel médical à ce sujet.

En effet, une information de santé sur un patient peut être utilisée contre ses intérêts personnels si elle vient à être révélée en dehors du cadre médical. Pour le patient, les conséquences peuvent être des traumatismes psychologiques ou une discrimination à l’embauche par exemple.

Côté professionnel de santé, la fuite de données médicales peut correspondre à une violation du secret médical avec des conséquences juridiques et professionnelles importantes, comme on le voit parfois dans la presse.

Conséquence encore plus grave d’une donnée médicale altérée : le traitement d’un patient peut s’avérer inefficace ou incompatible avec son état de santé réel. Un accident médical risque alors de se déclencher, par exemple suite à un mauvais dosage lors d’une prescription.

Sans aller jusqu’à ces extrêmes, la protection des données médicales est également importante pour maintenir la confiance entre les patients et leur système de santé. Faute de quoi, les patients risquent de ne plus vouloir communiquer toutes leurs informations médicales, avec le risque de ne pas disposer d’un traitement correspondant à leur état de santé réel.

Il est donc particulièrement important de pouvoir disposer d’outils spécifiques permettant de veiller à la qualité et à la protection de ces données médicales.

Make It Safe vous propose son logiciel de cybersécurité et de conformité au RGPD pour vous permettre de gérer l’ensemble des règles de protection des données médicales sous votre responsabilité.

B. Les interruptions des services de santé

Pour prendre l’exemple de la cyberattaque commise contre le centre hospitalier de Versailles en décembre 2022, ce sont plusieurs bâtiments qui ont été impactés : l’hôpital André-Mignot (700 lits et 3000 personnels) au Chesnay-Rocquencourt, la maison de retraite Despagne et l’hôpital Richaud de Versailles.

Les écrans des ordinateurs du centre hospitalier sont devenus noirs, puis une demande de rançon s’est affichée. Il a fallu transférer en urgence vers d’autres centres hospitaliers plusieurs patients à risque dont les soins ne pouvaient plus être assurés. Le Plan Blanc a été déclenché et plusieurs opérations ont dû être déprogrammées.

L’ensemble du système informatique du centre hospitalier a été coupé par mesure de précaution. Une cellule de crise a aussitôt été mise en place avec l’ARS (Agence régionale de santé) d’Ile-de-France.

Les machines de soins continuaient à fonctionner, mais pas leur mise en réseau. Il a donc fallu embaucher en urgence du personnel spécialisé pour gérer manuellement ces outils indispensables à la survie des patients.

L’accès aux urgences a été limité et les services de maternité ont été réduits. Toutes les formalités administratives ont dû être effectuées manuellement, faute de pouvoir se fier à l’informatique.

Au final, cette cyberattaque a perturbé le fonctionnement du centre hospitalier pendant plusieurs semaines et fait perdre beaucoup d’argent au centre hospitalier.

C. Les conséquences financières :

On le comprend facilement, les conséquences financières d’une telle attaque ont été extrêmement importantes et ont touché de nombreux domaines :

  • Mise en contrainte horaire du personnel en service
  • Rémunération des personnels supplémentaires suppléant aux machines
  • Frais d’intervention sur les patients à risque
  • Activation du Plan Blanc
  • Expertise de l’attaque et diagnostics
  • Frais de remise en route de toute l’informatique
  • Audits et mise à niveau de la cybersécurité du centre hospitalier
  • Perte de chiffre d’affaires sur les services impactés
  • Perte de réputation pour le centre hospitalier attaqué

3- Les mesures de sécurité à mettre en place

A. Sensibilisation et formation

Afin de préparer la mise en place de mesures de sécurité efficaces face à ce type de risque, il convient de commencer par évaluer le niveau de connaissances de vos collaborateurs. Vous pourrez ainsi détecter les lacunes existantes et mettre en place des formations spécifiques pouvant les corriger.

B. Mise en place de politiques de sécurité robustes

Pour qu’une politique de sécurité soit efficace et robuste, il faut qu’elle soit clairement définie et appuyée par des dispositions pratiques déjà éprouvées. Cela passe par la définition des grandes orientations et des principes génériques à appliquer dans l’organisme de santé.

Cette politique de sécurité doit se définir selon trois grands axes :

  1. Déterminer tous les appareils, logiciels et réseaux à protéger via des audits
  2. Évaluer les menaces et les risques (via des simulations et des Pentests)
  3. Appliquer des mesures de protection (mise en place de logiciels)

Notre logiciel de cybersécurité Make It Safe s’appuie sur ces trois axes pour vous proposer une gamme de fonctionnalités vous permettant d’appliquer sereinement votre politique de sécurité.

C. Collaboration et partage d’informations

Les pirates informatiques ne cessent d’innover pour trouver de nouvelles failles ou de nouvelles techniques d’attaque. Ils ont compris que les établissements de santé représentaient des cibles n’ayant pas encore tous acquis une maturité suffisante en matière de cybersécurité.

Face à cette menace, la collaboration entre les établissements de santé, les autorités réglementaires et les experts en cybersécurité est une solution efficace et indispensable pour aider les personnels de santé à monter en compétences.

Cette veille en cybersécurité doit d’ailleurs être internationale, car la menace peut provenir de n’importe quel pays, Internet n’ayant pas de frontières. La coopération internationale permet de combler les lacunes dans la protection des frontières numériques et d’échanger des informations sur les menaces à l’échelle mondiale.

Elle favorise également l’adoption de normes communes en matière de cybersécurité, ce qui facilite la communication et l’interopérabilité entre les systèmes de sécurité nationaux et internationaux.

Make It Safe participe bien entendu activement à cette veille internationale et se tient à votre disposition si vous avez des questions concernant votre cybersécurité. N’hésitez pas à nous contacter à ce sujet.

Make IT Safe, le logiciel métier pour réussir votre cybersécurité et simplifier vos enjeux de conformité.

Découvrir le logiciel