[Tribune] Attaque d’un hôpital des Hauts-de-France : comment se relever après une cyberattaque ?

ChannelBiz donne la parole cette semaine à Jean-Michel Tavernier, country manager France et Iberia Armis.

Nous apprenions dans la nuit de samedi à dimanche qu’un hôpital des Hauts-de-France avait été la cible d’une cyberattaque de grande ampleur ; obligeant la direction à fermer temporairement son « service des urgences ». D’après les informations de plusieurs médias, la décision a été prise de déconnecter l’ensemble du réseau Internet, immédiatement après l’attaque. Le directeur de l’établissement a demandé que les patients devant rejoindre l’établissement soient détournés vers d’autres structures…

Les hôpitaux français face à l’escalade des Cyberattaques

Cet hôpital des Hauts-de-France, victime d’une cyberattaque, aurait-il pu éviter le pire ? La France n’est, hélas, pas à son premier cas de cyberattaque, avec demande de rançon. Sans vouloir tomber dans le cynisme, il semble bien que l’histoire se répète fatalement. Et pourtant, nous savions. Les établissements de santé, compte tenu de leur rôle essentiel dans nos économies, ont toujours été des cibles privilégiées des cybercriminels. Ajoutons à cela, la forte augmentation des dispositifs médicaux connectés (IoMT), sans que les services IT soient toujours en mesure de les identifier et encore moins de les sécuriser. Pis, d’ici 2026, les hôpitaux intelligents devraient déployer plus de 7 millions d’appareils IoMT soit le double de 2021 ! Autre constat, les hôpitaux, comme d’autres organisations d’ailleurs, n’ont pas toujours une idée du degré de sécurité des appareils fournis par les différents partenaires branchés au système d’information de l’hôpital. Or, il est d’une importance cruciale d’avoir une connaissance de bout en bout de tous les appareils connectés, de l’imprimante au scanner, en passant par la pompe à infusion. Nous ne pouvons sécuriser que ce que nous connaissons.

Dans une récente étude menée en avril dernier, à partir des données de notre moteur d’intelligence Armis Asset Intelligence Engine, nous avions déjà identifié les appareils médicaux les plus vulnérables. La menace est partout présente :

• Les systèmes d’appel infirmier sont les dispositifs médicaux connectés comportant le plus de risques. 39% d’entre eux présentent des CVE (vulnérabilités et expositions communes) non corrigées de gravité critique, et près de la moitié (48 %) présentent des CVE non corrigées.
• Les pompes à perfusion arrivent en deuxième position, 27 % présentant des CVE non corrigées de gravité critique et 30 % des CVE non corrigées.
• Les systèmes de distribution de médicaments figurent en troisième position. 4 % d’entre eux présentent des CVE non corrigées de gravité critique, et 86 % des CVE non corrigées. En outre, 32 % d’entre eux utilisent des versions non prises en charge de Windows.
• Près d’un appareil médical connecté sur cinq (19%) utilise des versions de système d’exploitation non prises en charge.
• Plus de la moitié des caméras IP contrôlées dans des environnements cliniques présentent des CVE non corrigées de gravité critique (56 %) et des CVE non corrigées (59 %), ce qui en fait les appareils IoT les plus risqués.
• Les imprimantes arrivent en deuxième position pour les appareils IoT les plus risqués dans les environnements cliniques, 37% ayant des CVE non corrigées, et 30% des CVE non corrigées de gravité critique. 
• Les dispositifs VoIP figurent en troisième position. 53% d’entre eux ont des CVE non corrigées. Toutefois, seuls 2% présentent des CVE non corrigées de gravité critique.

Une stratégie de cybersécurité renforcée, comprenant la segmentation réseau et une collaboration avec les fournisseurs, est essentielle pour protéger les infrastructures et anticiper les futures menaces.

Des mesures doivent être prises, non seulement par les établissements de santé, mais aussi par leurs différents fournisseurs informatiques. Parmi ces remédiations : la segmentation reste l’une des principales méthodes pour renforcer la cybersécurité dans le domaine de la santé. Il s’agit d’une étape importante et difficile, pouvant s’étendre sur plusieurs années. Cette segmentation comprend plusieurs phases : découverte / inventaire, cartographie des comportements et des communications, création de protocoles, priorisation, test / pilote, mise en œuvre et automatisation. 

Les dispositifs médicaux doivent se réformer en prenant le tournant de la cybersécurité de plusieurs façons : protocoles de sécurité plus clairement définis, capacités de sécurité intégrées, support pour les logiciels et solutions de sécurité, mise au rebut des systèmes dépassés au profit de dispositifs plus récents, mise à jour des correctifs…

Quand nous avons dit cela, se pose la question des moyens dont dispose l’Hôpital pour se relever et se moderniser. Si les fonds ou les effectifs manquent, l’Hôpital doit capitaliser sur l’existant et surtout intégrer les fournisseurs à sa stratégie de protection, pour atteindre ensemble le même niveau de maturité cyber.

Pour commenter cet article et retrouver toutes les actualités de la Distribution IT : RDV sur la page Linkedin de ChannelBiz.