Le secteur de la santé est aujourd'hui confronté à une crise sans précédent en matière de cybersécurité et l'ignorer pourrait définitivement nuire à la confiance des patients et des professionnels dans ces institutions. D'après les spécialistes du secteur, la pandémie ainsi que l'hypothèse selon laquelle les institutions de santé n'auraient pas besoin de faire de la cybersécurité, auraient largement participé à la création de nouvelles opportunités pour les hackers.
Il est tout à fait possible de déjouer les cybermenaces, mais pour ce faire, les professionnels de la santé doivent reconnaître que leur secteur est confronté à un réel défi.
L'année 2020 a été marquée par le déploiement accéléré de dispositifs technologiques visant à assurer la sécurité et la santé des patients - qu'il s'agisse d'applications de localisation traçage pour les contacts, de services de téléconsultations ou de solutions permettant au personnel, ne travaillant pas au contact des patients, de travailler à distance. Mais, malheureusement, la protection des vulnérabilités du secteur face aux cyberattaques n'a pas figuré au rang de priorité : le Threat Report réalisé par BlackBerry en 2020 a d'ailleurs révélé que les établissements de santé étaient plus susceptibles de payer des rançons que tout autre secteur en raison de la nature critique des données ciblées. Alors que la France déploie un programme de vaccination de masse et que le système de santé est plus que jamais sous pression, la dernière chose dont les entreprises, les citoyens et le gouvernement auraient besoin serait une faille de cybersécurité.
Un apprentissage particulièrement douloureux
Fin septembre 2020, la Universal Health Services (UHS), qui compte plus de 400 établissements hospitaliers notamment aux États-Unis, a été victime d'une cyberattaque décrite comme l'une des plus importantes menées jusque-là aux USA contre un organisme de santé. Devant l'inaccessibilité des systèmes informatiques, le corps médical d'UHS a dû enregistrer les patients manuellement à l'aide de papiers et stylos. Les rapports sur l'incident déclarent que l'attaque « ressemblerait à un ransomware ».
Les cyberattaques dirigées contre des hôpitaux peuvent être meurtrières. En effet, un peu plus tôt en 2020, une cyberattaque menée contre un hôpital allemand a directement entraîné la mort d'un patient. La Clinique Universitaire de Düsseldorf a été victime d'une grave attaque pendant laquelle le hacker a provoqué une cessation d'activités progressive des systèmes informatiques de l'hôpital. Celui-ci ne pouvait alors plus accéder à ses données et un patient, dont le pronostic vital était engagé, a dû être transféré vers un autre hôpital situé à plus de 30 km. Malheureusement, le patient est décédé à cause du délai de prise en charge. Les procureurs locaux ont ouvert une enquête contre les auteurs inconnus de cette cyberattaque, alors accusés d'homicide involontaire par négligence.
En octobre dernier cette fois, les patients d'une grande clinique de psychothérapie finlandaise ont été contactés individuellement par des maitre-chanteurs, après que leurs données aient été dérobées. Ces dernières comprenaient des données d'identification personnelle, mais également des notes sur les sujets abordés lors des consultations. Le National Bureau of Investigation américain a indiqué par la suite que les données personnelles de « dizaines de milliers » de patients, qui avaient fait confiance à la clinique de psychothérapie de Vastaamo, pourraient avoir été compromises.
Un remède pour prévenir les failles de cybersécurité dans le secteur de la santé
Il est clair que tout cela doit changer. Mais comment les professionnels de la santé peuvent-ils apporter de meilleures réponses aux cybermenaces et éviter de reproduire les mêmes erreurs ?
La première étape pour sécuriser les services de santé consiste à investir dans des solutions à la hauteur de la tâche à accomplir. Les solutions de sécurité modernes sont généralement basées sur de l'intelligence artificielle (IA), du machine learning (ML) ou encore des systèmes d'automatisation afin d'être en mesure de prévenir et de corriger les failles de cybersécurité. En clair, il s'agit de stopper les menaces - mêmes inconnues, avant qu'elles n'aient eu l'occasion de pénétrer les systèmes et de protéger l'ensemble des dispositifs mobiles (tablettes, smartphones, etc.) utilisés par le personnel de santé.
Avec l'augmentation du volume et de la variété des terminaux IoT d'entreprises et alors que l'ampleur des cybermenaces ne cesse de croître, les solutions de sécurité pilotées par l'IA proposent une offre renforcée et simplifiée de sécurité et de gestion des terminaux afin de réduire les coûts et la complexité dans un environnement chaotique.
La deuxième mesure à adopter pour s'assurer que les environnements informatiques des établissements de santé soient efficacement sécurisés nécessite l'évaluation complète des systèmes. Ceci, non seulement pour comprendre ce qui a été compromis, mais aussi estimer la probabilité d'un préjudice physique, psychologique, émotionnel, financier ou encore de réputation et mettre en place toutes les mesures correctives nécessaires.
Suite à la détection de la menace, l'étape de notification/communication impose aux victimes de contacter rapidement toutes les personnes concernées et de prévenir les organismes gouvernementaux compétents. Ensuite, la phase d'analyse a quant à elle pour objectif de déterminer la source de la violation et de modifier les processus en conséquence afin de se prémunir contre de futures attaques. Il est recommandé aux établissements de faire appel à une aide professionnelle extérieure si nécessaire pour l'élaboration et la mise en place de stratégies de réponse aux cyberattaques - en demandant par exemple conseil à l'ANSSI.
2020 aura été une année charnière pour les organisations de santé qui tentent tant bien que mal de maintenir la continuité de leurs activités malgré leur transformation numérique et un bouleversement de leur environnement de travail - tout en se mobilisant pour maintenir la qualité des soins administrés aux patients, face à la crise sanitaire majeure que nous traversons actuellement.
Le secteur de la santé ne peut plus se permettre de placer la cybersécurité au second plan. Si les soins aux patients doivent rester - et resteront - la priorité numéro un, il est impératif de veiller à ce que les cybermenaces et les failles des systèmes de protection des données ne nuisent pas au personnel de première ligne qui doit pouvoir fournir, en continu, les soins aux patients.