Cyberattaques : quelle stratégie ?
Nous continuons notre tour d’horizon des réactions suite aux attaques de structures hospitalières. Retour sur l’importance de la sauvegarde et de la concertation…
Une riposte graduée et un système de sauvegarde fiable
En février dernier, Emmanuel Macron a annoncé le déblocage de 350 millions d’euros pour la sécurité des systèmes d’information en santé. Suite aux lourdes attaques subies par les structures hospitalières de Dax et Villefranche-sur-Saône, l’Etat prend en main cette problématique. Tour d’horizon des solutions mises en place par différentes entités.
Au CHU de Montpellier, la vigilance est permanente. Les données de santé sont extrêmement sensibles et monétisables par les cybercriminels. Virus, rançongiciels, phishing… Face aux menaces, la défense est organisée en strates. « Il y a plusieurs phases à respecter, note Vincent Templier, RSSI du CHU de Montpellier. La première est la défense périmétrique, c’est-à-dire éviter tout simplement que l’attaquant ne s’introduise chez nous. Cette solution est purement matérielle avec le système des pare-feux par exemple. Ensuite, il y aura des outils de supervision, des interventions qui seront effectuées avec des systèmes d’information. Il y a également une gestion des niveaux d’habilitation très surveillée par la suite sur l’accès à nos données et certains dossiers patients. Un médecin n’obtiendra pas les mêmes données qu’une infirmière par exemple. Les sauvegardes quant à elles sont vérifiées, testées et sécurisées dans un système offline, inaccessibles à tous les attaquants extérieurs afin de s’assurer qu’en cas d’échec des logiciels de défense, l’accès aux données soit tout de même garanti et assurer une perte la plus minime possible ».
La sauvegarde, maillon primordial de lutte contre les attaques. En cas d’intrusion, la restauration des données doit être rapide et complète. Un créneau sur lequel est positionné DELL Technologies. « On est historiquement sur le back up, affirme Emmanuel Canes, Directeur développement en santé (Europe du Sud), donc nous travaillons sur des systèmes plus rapides qui intègrent l’Intelligence Artificielle. Pour autant, dans la pratique, il y a encore des règles qui ne sont pas appliquées ou en tout cas, on a besoin de désynchroniser le système d’information et le datacenter avec cette sauvegarde pour s’assurer que ce qui est enregistré soit sain. Ce qui est important évidemment est de ne pas perdre de données pendant l’attaque, mais ce qui est encore plus important est de pouvoir restaurer une situation saine pour que l’hôpital puisse redémarrer. La priorité des priorités est de pouvoir restaurer le système d’urgence, le PACS, le DPI, la liaison avec les laboratoires. En tout cas, faire en sorte que l’hôpital puisse fonctionner et, ensuite s’assurer qu’il n’y ait pas de perte au niveau des données ».
De l'importance de la mutualisation et de l'homologation
La sécurité numérique passe également par une sécurisation physique.
Exemple au mipih, structure publique de coopération hospitalière, 1er hébergeur public français HDS et éditeur de solutions numériques en santé. Le Mipih assure notamment un accompagnement sur la gestion des données de santé de ses membres. La structure est dotée de deux datas centers avec un niveau de sécurité à l’état de l’art, souverain et éthique. Pierre Barel, directeur de l’offre Hébergement des Données de Santé estime qu’« au travers de ce genre de mutualisation, on arrive à proposer un très haut niveau de sécurité qui serait inaccessible pour la plupart des hôpitaux s’ils devaient l’assurer eux-mêmes. C’est grâce à la mutualisation et à la coopération qu’en tant que GIP nous pouvons proposer à nos adhérents ce niveau de sécurité. Les solutions à apporter sont à renouveler sans cesse. C’est une course permanente et nous devons constamment adapter nos parades et nos protections face à des menaces protéiformes qui touchent tout type de technologie et qui utilisent tous les vecteurs possibles et imaginables. C’est un chantier permanent ».
Dans la veille comme dans la riposte, l’action se doit d’être collective. L’augmentation du volume de données de santé élargit la surface d’attaque. Les agences comme l’ANSSI (Agence Nationale de sécurité des Systèmes d’Information), créée en 2009, sont un relais de taille pour les structures de santé. « Dans notre système de surveillance des données, indique Jalal Soujad, DSI du GHT de l’Artois, on a bien compris depuis des années que l’on ne peut plus travailler seul. On est obligé de développer un écosystème et d’aller s’appuyer sur des institutions qui ont beaucoup plus d’expérience que nous, notamment l’ANSSI. On essaie de s’appuyer sur ces institutions qui ont les moyens technologiques poussés. On est adhérent à nombre de listes chez eux qui nous préviennent quotidiennement avec des systèmes d’alerte quand il y a des attaques dans les centres hospitaliers. On a aussi les livres blancs avec le choix des fournisseurs et aussi des technologies qu’il nous propose. Par exemple pour choisir une technologie comme un pare-feu, est-ce qu’il est certifié ou non ? Comment l’ANSSI évalue-t-elle cette certification ? Ce sont des critères que l’on respecte de plus en plus pour pouvoir choisir les bonnes solutions et avoir les bonnes pratiques ».
L’Etat fixe donc les normes des référentiels socles, de l’interopérabilité, de l’identification des professionnels de santé… Conjointement avec Laura Létourneau, Dominique Pon, est le copilote de la feuille de route du numérique en santé. Selon lui, l’action de l’Etat est déterminante. « Depuis le début du numérique en santé, je pense qu’il était indispensable que l’Etat porte une politique volontariste. Il doit mettre les mains dans le cambouis du référentiel du service socle, c’est-à-dire de toutes les fondations du Numérique en Santé et laisser l’écosystème entreprendre des innovations. Je crois à ce modèle que l’on appelle l’Etat-Plateforme. L’Etat est la plateforme et le reste de l’écosystème développe des innovations, proposent des services, mais s’appuient sur le référentiel émis par l’Etat. L’image que je donne toujours est celle d’une ville dans la ville. L’Etat délivre des permis de construire, des nouveaux codes d’urbanismes etc. C’est l’écosystème qui construit, mais il doit respecter les structures publiques communes ».
La lutte contre les cyberattaques devra donc s’appuyer sur des outils techniques. Mais elle passera aussi par une réflexion nouvelle autour de ces problématiques. Plus de gouvernance, d’actions conjointes et de référentiels communs pour une protection globale des données de santé.
Article écrit par Marion BOIS