Cybersécurité en santé 1/2

Réduction des inégalités dans l’accès au soin, fonctionnement plus fluide des services de santé et de remboursement, maîtrise des coûts, nouveaux leviers économiques : les bénéfices de la dématérialisation en santé sont nombreux. Il n’en demeure pas moins, que, dans le même temps, le développement de la santé numérique a considérablement élargi les possibilités de cyberattaques.

La e-santé ne se conçoit plus sans cybersécurité

Cette vulnérabilité est exploitée par les cybercriminels pour dérober des informations personnelles, des données médicales protégées, et pour perturber le fonctionnement de services médicaux. Si la peur n’évite pas le danger, la prévention l’atténue ! Elle permet aussi de limiter les risques de vivre des événements compliqués, comme celui expérimenté par l’équipe du professeur Jean-Yves Gauvrit, neuroradiologue au CHU de Rennes. Le chef du service d’imagerie de l’hôpital breton n’est pas prêt d’oublier la date du 6 novembre 2017, « un véritable lundi noir » !

Ce jour-là, leur service d’imagerie, dont le quotidien est basé sur la transmission numérique, s’est littéralement retrouvé isolé. Impossible de transmettre radios ou scanners aux professionnels de santé extérieurs mais aussi aux blocs opératoires à l’intérieur même de l’établissement. De quoi perturber le fonctionnement de toute la chaîne de soins de l’hôpital. En cause ? Une cyberattaque comme celles qui paralysent de plus en plus des dispositifs de télémédecine, bloquent des hôpitaux, dérèglent des pacemakers… Quand ce ne sont pas des données médicales qui sont vendues au marché noir.

A chaque fois, la principale victime reste, au final, le patient. Il faut dire que si le numérique en santé favorise la fluidité des échanges, le décloisonnement entre les différents acteurs, la prise en charge ambulatoire ou la télémédecine, ce potentiel d’informations et cette masse de données stockées suscitent les convoitises et exposent l’écosystème médical aux cyberattaques.

Des attaques ciblant désormais les prestataires

1869 : c’est le nombre de signalements de cyberattaques recensés dans le rapport 2018 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 30% de moins que l’année précédente. Interviewé par la Tribune, Guillaume Poupard, directeur général de l’ANSSI, expliquait que cette non augmentation est liée au fait que le système français est optimisé pour répondre aux attaques les plus graves. Mais baisse du nombre de signalements ne veut pas pour autant dire baisse des attaques.

Il ajoutait d’ailleurs qu’en parallèle des cibles potentielles (qui se protègent de mieux en mieux), il existe des acteurs plus fragiles (PME, collectivités territoriales, établissements hospitaliers) qui subissent de plein fouet la transformation numérique et ses contraintes. Tout en précisant que les attaquants s’adaptent très vite, s’engouffrant dans la moindre faille. Preuve en est avec l’attaque mémorable baptisée Ransomware Wannacry de mai 2017 qui a purement et simplement paralysé une quarantaine d’hôpitaux à travers l’Angleterre et l’Écosse.

D’autres techniques malveillantes sont régulièrement utilisées. Dans le cadre d’attaques ciblant les organismes médicaux, les criminels recourent souvent aux tunnels HTTPS pour cacher leurs communications. La méthode repose sur une communication externe impliquant de multiples sessions sur de longues périodes de temps donnant ainsi l’impression de n’être qu’un trafic web chiffré tout à fait normal. On citera également l’utilisation des tunnels DNS cachés pour dissimuler l’exfiltration de données des réseaux des structures de santé attaquées.

Difficile, au regard de ce constat, d’ignorer le phénomène et de ne pas prendre le risque à sa juste mesure. Surtout pour des établissements hospitaliers où les points d’attaques potentiels sont multiples puisque tout y est connecté (matériel biomédical, ascenseurs, système de climatisation, armoires à pharmacie, couveuses pour bébés prématurés etc.). Jusqu’à maintenant, les attaquants s’en prenaient à leur cible de façon directe. Ils choisissent maintenant de s’introduire via les prestataires de ces cibles qui ont des droits d’accès très importants sur les réseaux.

L’anonymisation des informations a ses limites

L’une des solutions se trouve du côté de la gouvernance. En d’autres termes, il importe que les décideurs des structures de soins se préparent à l’attaque informatique, en organisant des « plans blancs cybersécurité ». Du côté des dispositifs médicaux, la donne se complique quand il s’agit de composer avec des réglementations variables d’un pays à l’autre. L’enjeu est pourtant essentiel puisqu’il en va de la prise en soins optimisée du patient et du développement de la e-santé. Car pas de e-santé sans consentement du patient, sans gouvernance forte mais aussi et surtout sans confiance dans le système. La cryptographiedispositifs permet de restaurer ou d’instaurer la confiance, à condition que le protocole soit suffisamment robuste pour résister aux attaques sur le long terme. Quant à la technique de la pseudonymisation, elle permet de séparer les données sensibles (liées à la santé) des données d’identification. Sur le plan de l’imagerie médicale, c’est, par exemple, la technique de crypto-watermarking, permettant d’embarquer dans les pixels une série d’informations d’identification, de traçabilité et de contrôle d’intégrité, qui est plébiscitée. Avec un double objectif : protéger l’image tout en permettant qu’elle puisse être partagée et traitée normalement.
Quant à l’anonymisation des informations, force est de constater qu’elle a ses limites car il existe bien d’autres moyens que le nom pour identifier une personne. Ainsi, en croisant des données dites anonymes avec des informations issues entre autres des réseaux sociaux ou encore par des attaques combinées sur une base de données, il serait possible de lever le secret !

Une cellule dédiée à la cybersécurité des structures de santé

Du côté des décideurs publics, l’affaire est prise très au sérieux. Résultat : depuis le 1er octobre 2017 et la mise en place de la cellule d’accompagnement cybersécurité des structures de santé (ACSS), les établissements concernés sont tenus de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés « graves » et « significatifs ». 478 incidents ont été déclarés entre octobre 2017 et février 2019, soit une moyenne de 27 signalements par mois. 88% d’entre eux provenaient des établissements de santé, 6% de structures de type Ehpad, 4% des laboratoires de biologie médicale et 2% des centres de radiothérapie. « Les incidents de sécurité numérique sont encore trop peu déclarés par les structures concernées. Or cette déclaration est vertueuse car elle devient une expérience partagée qui va aider les autres structures à se protéger », indique Emmanuel Sohier, responsable de la cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) à l’ASIP Santé. La cellule ACSS entend appuyer les établissements concernés dans le traitement de ces incidents. Dans la majorité des actes de cybermalveillance, leurs auteurs passent par un message électronique pour déployer un rançongiciel sur le système d’information de la structure de santé. En clair : la plupart des failles de sécurité s’explique par un manque de vigilance et une méconnaissance des règles de cybersécurité des systèmes d’information. C’est pourquoi, l’ACSS a souhaité leur apporter, via le site cyberveille-sante.gouv.fr, une information régulière sur l’actualité des systèmes d’information et sur les menaces présentes dans le secteur de la santé. « Nous n’avons pas uniquement un rôle passif de suivi des incidents des établissements de santé, des laboratoires de biologie et des centres de radiothérapie. Nous publions aussi des alertes concernant des menaces conjoncturelles et mettons à disposition de l’ensemble des acteurs des fiches et guides de bonnes pratiques en matière de cybersécurité », rappelle Emmanuel Sohier.

En bref, que faut il retenir ?

Le développement de la santé numérique a élargi les possibilités de cyberattaques. La masse de données stockées suscite les convoitises. Outre le préjudice lié au vol d’informations personnelles, cela risque de perturber le fonctionnement de services médicaux. D’où l’intérêt de mettre en place une prévention, d’autant que le patient est au final la principale victime. Près de 1870 signalements de cyberattaques ont été recensés dans le rapport 2018 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Un chiffre en baisse par rapport à l’année précédente, car le système français a été optimisé pour faire face. Il faut toutefois prendre le risque à sa juste mesure, surtout pour des établissements hospitaliers où tout est connecté. D’autant que les attaquants, qui s’en prenaient à leur cible de façon directe, s’introduisent maintenant via les prestataires de ces cibles qui ont des droits d’accès sur les réseaux. Pour faire face, les dispositifs sont nombreux : cryptographie, crypto-watermarking, pseudonymisation…

L’une des solutions se trouve aussi du côté de la gouvernance. Les décideurs des structures de soins doivent se préparer à l’attaque informatique, en organisant des « plans blanc cybersécurité ». Du côté des décideurs publics, l’affaire est prise très au sérieux, avec la mise en place d’une cellule d’accompagnement cybersécurité des structures de santé (ACSS). Désormais, les établissements sont tenus de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés « graves » et « significatifs ». Sachant que les failles de sécurité s’expliquent souvent par un manque de vigilance et une méconnaissance des règles de cybersécurité des systèmes d’information, l’ACSS met à disposition une information régulière sur l’actualité des systèmes d’information et sur les menaces présentes dans le secteur de la santé.

Retrouvez très prochainement, le second volet de notre dossier dédié à la cybersécurité en santé. Dans cette partie nous aborderons la question de l’hébergement des données de santé. Et s’il était pertinent de les externaliser ? Et comment faire rimer protection avec certification ?

Avez-vous trouvé ce dossier utile ?

Oui

Non


Pour favoriser le partage de savoir et d'expérience
Pour favoriser le partage de savoir et d'expérience
Innov'Asso est un dispositif d'accompagnement des associations de patients créé par Roche en 2012. Il vous permet le partage d'expériences entre pairs via un site internet et une rencontre annuelle sous le signe de l'innovation.

Créez votre boite à outils Innov'Asso

Vous êtes un représentant d'association de patients ? Cet espace vous est réservé.

Il donne accès à une boite à outils personnalisée pour vous accompagner dans vos missions et vos projets associatifs. Il vous permet également de suivre les actualités et les événements Innov'Asso. Rejoignez les 150 acteurs associatifs déjà inscrits !

Accédez à votre espace

Mot de passe oublié

5e Journée Innov’Asso

Quand ? Mardi 29 novembre 2016

Où ? À la Maison de la Mutualité à Paris

Quoi ? Une journée de réflexion et d’échange autour de solutions innovantes au service du parcours de santé

Je m'inscris !

*Champs obligatoires

Choisissez l'atelier auquel vous souhaitez participer :

Développer des solutions innovantes pour identifier et/ou répondre aux points de ruptures du parcours de santé des patients ?

Découvrir et apprendre les bonnes pratiques de conception pour des applications santé qui fonctionnent vraiment !

Comprendre les risques et les opportunités du big data pour une association de patients.

X