Cybersécurité du secteur santé : mieux vaut prévenir que guérir !

Vols d'informations personnelles, paralysie du système d'information, ransomware, attaques des systèmes opérationnels OT, les cyberattaques contre le secteur de la santé font régulièrement la une des médias. Chaque année, l'Agence du Numérique en Santé (ANS), en collaboration avec le Ministère de la Santé et de la Prévention ainsi que le CERT Santé, publie un rapport sur les incidents de sécurité des systèmes d'information pour les secteurs santé et médico-social. 581 incidents ont été déclarés en 2023.

Selon l'ANSSI (Agence nationale de la sécurité des systèmes d'information), la proportion d'incidents et de signalements liés au secteur de la santé est passée de 2,87 % en 2020 à 11,4 % en 2023. A l'échelle européenne, en 2023, 309 incidents de cybersécurité ont été signalés par les États membres. La sécurité du secteur de la santé est désormais au coeur des préoccupations de nos dirigeants. Pour preuve, l'Union Européenne a lancé début 2025 un plan d'action axé sur la prévention, la détection, l'atténuation de l'impact et la dissuasion des menaces.

Les hackers s'attaquent aux applications et aux données critiques que les établissements de santé détiennent au sein de leurs réseaux, applications et environnements cloud :

> Les informations de santé protégées (dossiers médicaux, résultats d'analyses) dont la valeur marchande est importante sur le dark web,

> Les informations personnelles identifiables,

> Les données de carte de paiement pour des transactions frauduleuses.

> La propriété intellectuelle, telle que les résultats de recherche, les technologies médicales innovantes et les méthodologies.

Le secteur de la santé est en pleine transformation numérique. Les dispositifs médicaux sont désormais largement connectés. Les dossiers médicaux électroniques fournissent aux prestataires de santé les informations sur la santé des patients partout et où qu'ils soient pris en charge. La communication numérique entre les patients, les prestataires de soins, les hôpitaux, les pharmacies réduit le risque d'erreurs et favorise une meilleure qualité des soins. Cependant, chaque initiative numérique qui rend les services médicaux plus efficaces comporte également son propre lot de cyber-risques.

Ce n'est qu'en comprenant les principaux facteurs de transformation du secteur que nous parviendrons à sécuriser la transformation numérique des acteurs de la santé, à garantir leur (cyber) résilience pour qu'ils puissent fournir sans discontinuité des soins qualitatifs aux patients.

Secteur de la santé : quels défis et quels risques ?

Les risques cyber qui pèsent sur le secteur de la santé se multiplient à mesure que la surface d'attaque augmente. En voici les principales raisons :

> L'obsolescence des systèmes : De nombreux établissements de santé gèrent encore leurs opérations critiques à l'aide de systèmes obsolètes. En effet, 83 % d'entre eux utilisent des logiciels dépassés, plus vulnérables aux attaques.

> La multiplication des terminaux : Les dispositifs médicaux et non médicaux connectés représentent désormais une part importante du réseau d'un hôpital. Les machines à IRM, les pompes à perfusion, les moniteurs de pression sanguine, les ordinateurs portables, les caméras de sécurité, les balances et stéthoscopes connectés, pour n'en citer que quelques-uns sont connectés au réseau. La prévention des compromissions de données et des risques pour la sécurité des patients nécessite de sécuriser ces dispositifs connectés de bout en bout. La prolifération de ces terminaux, fait de chaque appareil une cible potentielle pour les cybercriminels.

> Contraintes budgétaires et pénurie de talents : Avec des budgets de plus en plus serrés et des talents en cybersécurité difficiles à recruter et à fidéliser, il devient de plus en plus difficile de protéger chaque établissement de santé. Cela peut entraîner un temps de réponse aux menaces plus important ou une découverte tardive d'une menace déjà nichée dans le réseau.

> L'essor des soins à distance : La télésanté, la surveillance et les soins à distance des patients révolutionnent l'expérience et l'accès aux soins pour tous. Cependant ces innovations introduisent de nouveaux défis en matière de cybersécurité. Les soins à distance nécessitent un accès aux DME (dossier médical électronique), aux PHI (informations de santé protégées), aux visites virtuelles et aux appareils de télésurveillance livrés par plusieurs canaux : centres de données, fournisseurs de cloud et fournisseurs SaaS. Les équipes de sécurité doivent également gérer l'infrastructure informatique et la connectivité entre les hôpitaux et les patients. En fin de compte, ce passage à des modèles de prestation de soins décentralisés élargit la surface d'attaque et rend la sécurisation de l'ensemble du réseau beaucoup plus fastidieuse.

> La complexité croissante des environnements informatiques médicaux : Les équipes de sécurité sont chargées de gérer ces environnements informatiques de plus en plus complexes, hétérogènes. Les organismes de santé tentent souvent de sécuriser ce paysage numérique en ajoutant des solutions ponctuelles qui n'offrent qu'une seule fonction de sécurité chacune. Ces produits manquent généralement d'intégration et d'intéropérabilité, ce qui ne fait qu'ajouter à la complexité du défi.

Quelle approche de la sécurité pour protéger le secteur de la santé ?

La nécessité de garantir la sécurité, la disponibilité permanente des données, des applications et des services au sein de l'organisation, y compris dans les réseaux de soins décentralisés et pour les utilisateurs distants, complexifie de manière inédite les environnements informatiques médicaux. La gestion de ce paysage en expansion requiert des ressources que de nombreuses organisations n'ont tout simplement pas. Les solutions ponctuelles qui traitent chaque défi de sécurité individuellement ne sont plus une approche viable. Sans solutions de sécurité parfaitement intégrées, il est plus difficile d'appliquer le principe du moindre privilège ou de garantir des résultats et des contrôles uniformes.

Jusqu'à présent, la plupart des établissements de santé ont adopté une approche par solutions en silos, best-of-breed, empilant des solutions de sécurité qui ne sont pas entièrement intégrées et qui nécessitent des investissements financiers et humains importants. À mesure que l'infrastructure informatique se développe et devient plus dynamique, cela crée des silos, accroît la surface d'attaque et fragilise la posture de sécurité des établissements de santé. Ceci fait également grimper les coûts (maintenance) tout en compromettant la capacité à maintenir la sécurité, la disponibilité des données et la conformité.

Une approche de sécurité consolidée simplifie la gestion, réduit le stress de l'équipe de sécurité et permet une meilleure application des politiques Zero Trust. Une approche de plateforme unifiée pour la sécurité des appareils connectés et des terminaux réduit les frais de déploiement et de gestion. Le recours à l'Intelligence Artificielle et à l'automatisation simplifie les opérations permet de gagner en visibilité, renforce la posture de sécurité, proactive et temps réel.

Pour prévenir les cyberattaques, plutôt que guérir, et renforcer la sécurité des acteurs de la santé, il faut rationaliser, consolider et simplifier l'approche de la sécurité.

* Eric Antibi est Directeur technique de Palo Alto Networks France