Cœur et réseau

La cyberattaque menée contre Change Healthcare traduit le risque d’effet « boule de neige » auquel peut conduire la présence de vulnérabilités au sein des systèmes de santé. Cette violation confirme aussi que les hackers portent un véritable intérêt pour les infrastructures critiques et aux dommages financiers colossaux inhérents à une attaque réussie ; qu’il s’agisse d’obtenir le paiement d’une rançon ou de paralyser l’intégralité d’un système d’information. A y bien regarder, l’interconnexion des différentes composantes du parcours de soin ressemble beaucoup à une infrastructure informatique de type « cœur et réseau ». Au lieu de cibler chacun des éléments ou prestataires, les hackers s’attaquent à ces hubs (cœur) qui se déploient dans des centaines d’organisations et causent plus de ravages et avec une plus grande efficacité.

Depuis les grands assureurs jusqu’aux patients, tout le monde est touché. Dans certains cas, l’impact pourrait être mortel pour les patients qui ne peuvent pas obtenir les médicaments nécessaires ; et dans d’autres, financièrement dévastateur pour les prestataires de soins de santé qui se retrouvent privés de toutes sources de revenus.

Cette cyberattaque est un exemple criant de la nature critique des services supports dans le parcours de soin. Elle traduit aussi que le risque n’est pas circonscrit aux seuls dispositifs médicaux, mais va bien au-delà.

Des brèches non colmatées

Un récent rapport d’Armis, « Anatomie de la cybersécurité : une dissection du paysage des attaques de 2023 », alertait déjà en ce sens : les tentatives mondiales de cyberattaque ont plus que doublé l’année dernière, augmentant de +104 %. Autre enseignement, plus de 55 000 appareils physiques et virtuels sont connectés aux systèmes d’information en moyenne chaque jour. Pourtant, étonnamment, 40 % de ces actifs ne sont pas surveillés ! Ce risque de cyberattaque est aggravé quand nous savons aussi que 12 % de l’industrie de la santé utilise encore des systèmes d’exploitation en fin de vie (EoL) ou en fin de support (EoS). Ce qu’il faut comprendre ? Les hackers n’ont pas nécessairement besoin d’un plan sophistiqué pour s’introduire dans les réseaux et causer d’importantes perturbations. Ils ont juste besoin de trouver l’une des nombreuses portes non gardées.

Le cœur de cette attaque se résume au principe fondamental de la cybersécurité en matière de visibilité et de gestion des vulnérabilités : une gestion robuste de l’exposition cyber est non négociable. Les organisations de santé doivent élargir leur champ de visibilité à l’ensemble de leur écosystème de dispositifs et de services supports, pour mener des évaluations holistiques des risques - en particulier des systèmes qui permettent directement le fonctionnement des services de soins, qu’il s’agisse d’un hôpital, d’une clinique ou d’un service ambulatoire.

Une stratégie globale permettra de réduire de manière proactive tous les risques, de remédier aux vulnérabilités, de bloquer les menaces et de protéger toute la surface d’attaque. Chaque actif, des systèmes de gestion des bâtiments aux dispositifs médicaux connectés, doit être vu, protégé et géré.

Quelles réponses des autorités ?

En France, nous savons que des progrès sont possibles, quand nous savons le nombre d’hôpitaux victimes de cyberattaques en 2023. Les organisations peuvent cependant trouver un soutien dans le plan stratégique de lutte contre les cyberattaques, annoncé en décembre 2023 par l’État. Une première tranche de financement de plus de 230 M€ est allouée jusqu’en 2024, pour un montant qui pourrait atteindre jusqu’à 750 M€ en 2027, indique plusieurs sources. Aux Etats-Unis, les établissements peuvent compter sur le plan stratégique du Conseil de coordination du secteur de la santé, le HIC-SP. Il juge d’ailleurs préoccupant l’état de la cybersécurité dans le secteur de la santé. Et son objectif est de le ramener à une condition stable d’ici 2029.

Les organisations, quel que soit le pays, devraient tenir compte de ces plans stratégiques et des objectifs de performance en cybersécurité définis. Ils mettent non seulement en lumière l’impératif de gestion des vulnérabilités, mais aussi l’étendue du maillage du parcours de soin (produits pharmaceutiques, fabricants de dispositifs médicaux, les investisseurs, les prestataires de soins de santé et les décideurs politiques). Les fournisseurs et les prestataires de services doivent, compte tenu du risque élevé qu’ils font peser les établissements de santé, considérer la cybersécurité comme un enjeu pour leur propre survie.