Épidémie de cyber incidents : comment booster l’immunité du secteur de la santé ?

Au cours de l’année 2023, les incidents de cybersécurité ont doublé dans le secteur de la santé en Europe. Préoccupante, cette hausse de la cybercriminalité expose organisations de santé et patients à de nombreux risques dont les conséquences humaines et financières amènent à penser que, en médecine comme en cybersécurité, mieux vaut prévenir que guérir ! Pierre-Jean Forrer, Partner, Public Sector Leader, et Floriane de Lapparent, Cyber Security Senior Manager chez EY Luxembourg, prennent le pouls du secteur au Grand-Duché et délivrent leur prescription : une forte dose de cyber-résilience couplée à une bonne hygiène informatique générale.

Causes et facteurs de risques

Les services de santé souffrent-ils d’une recrudescence d’actions malveillantes ? Depuis 2020 et la pandémie de Covid-19, attaques et incidents s’y multiplient à l’échelle européenne. La quantité de données critiques que génèrent les entités de santé et la vitesse à laquelle elles se digitalisent en font des cibles privilégiées pour les cybercriminels.

« Le secteur de la santé a devant lui un agenda assez chargé en matière de digitalisation. Citons notamment des initiatives nationales comme l’introduction du nouveau dossier de soins partagé, doté de davantage de fonctionnalités, l’ouverture récente du paiement immédiat direct à toutes les spécialités médicales ou encore le déploiement du carnet de vaccination électronique. Quant aux principaux acteurs du terrain, comme la CNS, ils réalisent des investissements continus qui permettent de poursuivre les efforts de modernisation et d’agrandissement des chaînes de soins ou de gérer les relations transfrontalières. Les hôpitaux, eux, investissent pour améliorer le parcours patient, particulièrement en amont et en aval du séjour à l’hôpital, ou encore leurs pratiques en matière d’imagerie médicale. L’intelligence artificielle, désormais incontournable, fait évidemment l’objet de réflexions quant à certains cas d’usage. Le ministère de la Santé envisage par exemple d’y recourir pour enrichir les campagnes de détection du cancer du sein. Enfin, pour se moderniser, le secteur pourra également compter sur le cloud souverain luxembourgeois qui sera lancé en novembre. Les évolutions numériques qui intéressent directement le monde de la santé sont donc nombreuses et pourraient, à défaut de prévoyance, constituer de nouvelles portes d’entrée pour les cybercriminels. À noter que ces développements interviennent dans un contexte géopolitique – et donc sécuritaire – particulier. Le Luxembourg a clairement affirmé sa position par rapport à certains conflits internationaux et a été la cible de cyberattaques pour cette raison. Nous sommes en droit de nous demander quelle sera la prochaine étape… », avertit Pierre-Jean Forrer.

Symptômes

Les entités de santé, par la nature même de leur mission, évoluent dans un paysage de menaces qui leur est propre. Demande de rançon, fuite ou vol de données, déni de service distribué (DDoS)… les risques sont multiples. « Rien que l’année dernière, en France, pas moins de neuf hôpitaux ont été victimes d’une attaque, par rançongiciels pour la plupart. Les criminels sont parvenus à accéder à leurs serveurs, à encrypter leurs données et à réclamer de l’argent en échange de la clé de chiffrement qui leur rendrait l’accès à ces informations. Ces actions malveillantes perturbent la capacité des établissements à fournir des soins aux patients et ont malheureusement déjà eu des conséquences dramatiques », déplore Floriane de Lapparent.

Traitement et prévention

Renforcer le niveau de sécurité pour donner lieu à une réelle réponse immunitaire est donc indispensable. « Plus l’environnement numérique est complexe, plus les mesures de sécurité doivent être robustes pour protéger le périmètre. Adopter une approche préventive permet de défendre l’infrastructure informatique contre les attaques, mais aussi de mieux anticiper les défaillances pouvant impacter la continuité de l’activité. Concrètement, il s’agit de surveiller les vulnérabilités des systèmes d’information, d’effectuer une vieille, d’évaluer l’intelligence des menaces, de sécuriser les accès aux données sensibles, de garantir la gestion et la résolution des incidents et de mettre en place des plans de continuité de l’activité », explique la Cyber Security Senior Manager.

Les évolutions numériques sont nombreuses et pourraient, à défaut de prévoyance, constituer de nouvelles portes d’entrée pour les cybercriminels

Une approche qu’encourage, sinon impose, le régulateur depuis l’entrée en vigueur de la nouvelle mouture de la « Network and Information Security Directive » (NIS2) qui vise notamment à s’assurer de la résilience des entités définies comme essentielles et importantes en Europe, et ce à tous les niveaux : organisationnel, processuel et technologique. « Pour accroître cette cyber-résilience, il est d’abord nécessaire d’établir une gouvernance nationale de la cybersécurité. Au Luxembourg, elle se met en place conformément à la NIS2 au travers de l’Institut Luxembourgeois de Régulation (ILR). Au niveau technologique, il convient d’opter pour les outils de protection des infrastructures adéquats. Et, entre les deux, il y a lieu d’adopter des processus à même de supporter cette gouvernance et d’assurer le bon fonctionnement de la technologie et des opérations. C’est finalement le principe de la cybernétique », développe Floriane de Lapparent.

En s’efforçant de garantir la sécurité des réseaux et des infrastructures des opérateurs essentiels, la directive NIS2 complète le RGPD et renforce par conséquent la protection des données des patients. « Sur le marché noir, les données de santé ont davantage de valeur que toute autre. Selon le World Economic Forum, en 2023, le secteur de la santé a signalé des violations de données coûtant près du double de celles qui touchent le secteur financier (en moyenne 10,93 millions de dollars par violation, contre 5,9 millions). Preuve s’il en faut que la gestion de l’accès aux données demeure problématique et nécessite de sensibiliser aussi bien les professionnels de santé que les patients qui en sont collectivement garants », souligne Pierre-Jean Forrer.

EY au chevet du secteur de la santé

Et si le sujet inquiète, EY a dans sa trousse de secours de quoi aider les services de santé à contrer bon nombre de menaces. Le cabinet de conseil peut les accompagner tant dans la gouvernance de la sécurité et dans la mise en place des processus que dans la protection des infrastructures. « Commençant par l’équipement de solutions de sécurité telles que les EDR, XDR, SIEM, etc., mais également l’implémentation d’une plateforme SOC permettant à la fois la détection, la surveillance et l’intervention, nous nous assurons que notre client dispose d’un cadre de gouvernance qui permette d’appréhender tous les risques, y compris collatéraux, et que les processus de base soient mis en place afin d’anticiper et de détecter les menaces et d’y réagir », détaille Pierre-Jean Forrer.

Plus l’environnement numérique est complexe, plus les mesures de sécurité doivent être renforcées

« Cela passe par différents types d’évaluations tels que les revues des risques ou des tests d’intrusion lors desquels nous jouons les hackeurs pour jauger la protection de l’infrastructure et des applications critiques et qui nous permettent d’émettre des recommandations ciblées. Les deux exercices sont nécessaires pour obtenir une visibilité à 360°. Nous proposons donc un accompagnement de bout en bout, que ce soit dans l’évaluation de la réglementation et des risques ou dans la mise en place de solutions techniques qui permettent de prévenir les attaques ou, le cas échéant, de protéger les infrastructures et les données », poursuit Floriane de Lapparent.

Un dernier conseil ? Agir vite et ne pas lésiner sur les moyens : « Le Luxembourg et ses services de santé font preuve d’une volonté très claire de poursuivre sur la voie de la digitalisation, et le contexte international en fait des cibles de choix. Même si les arbitrages budgétaires sont difficiles, il faut mettre les moyens sur la table pour assurer la sécurité du système de santé avant de pouvoir investir dans d’autres priorités. La cybersécurité ne doit pas être perçue comme un frein à l’innovation, mais plutôt comme un facilitateur ! », conclut Pierre-Jean Forrer.