Bien plus précises que de simples données anonymisées, les données de santé sont particulièrement convoitées par les cybercriminels. Les hôpitaux et autres organismes de santé, pour qui ces informations sont cruciales, deviennent des cibles de premier choix pour les attaques de rançongiciel. Pour mieux prévenir ces attaques et protéger les données de santé, le COFRAC a accrédité la certification HDS qui reconnaît les hébergeurs de santé conformes aux exigences de cybersécurité les plus strictes. Éclairage.
« Imaginez si cette attaque n’avait pas été stoppée et s’était propagée sur l’ensemble des réseaux : impossible alors d’accéder aux données personnelles des patients, impossible d’accéder à leur historique de soins, impossible de réaliser des scanners ou d’utiliser les équipements du bloc opératoire. » Avec cette déclaration faite le 7 septembre 2020, Florence Parly, Ministre des Armées, est revenue sur une attaque majeure perpétrée par un rançongiciel sur l’hôpital militaire Sainte-Anne de Toulon. Une attaque qui aurait pu avoir des conséquences désastreuses pour la santé des patients sans l’intervention du CALID (Centre d’analyse de lutte informatique défensive).
Si les hôpitaux disposent de budgets informatiques très faibles, la valeur marchande des données médicales, bien plus précises que les données anonymisées, explose. En effet, depuis le début de la crise sanitaire, alors que les hôpitaux sont déjà fortement fragilisés, les cyberattaques auraient bondi de 475% à leur encontre. La cybersécurité des hôpitaux devient un enjeu vital pour les patients, c’est maintenant un fait.
Des dispositifs médicaux de plus en plus connectés
Les hôpitaux font ainsi face à deux importantes menaces : l’extraction brute des données de santé d’un côté, et la propagation de rançongiciels dans les systèmes d’information de l’autre. Le défaut de fragmentation du réseau hospitalier, souvent vulnérable car trop centralisé, est de plus mis en péril par les objets connectés (IoT). Que ce soit les tensiomètres, pompe à insuline ou encore les défibrillateurs, la connexion des outils médicaux est une avancée majeure pour le monde de la santé. Mais ces mêmes outils deviennent des portes d’entrées pour tous les hackers désireux de s’introduire dans le système d’information. Dorénavant, le périmètre de sécurité à défendre s’étend également aux applications connexes comme les chatbots à disposition des patients, les plateformes de prise de rendez-vous ou encore les outils de télémédecine.
Pour se protéger contre les tentatives d’intrusion par les objets connectés, le secteur de la santé doit se tourner vers un Cloud certifié et parfaitement sécurisé. Il est également important de revaloriser la souveraineté de ces données en transit, de maîtriser leurs parcours pour s’assurer qu’elles ne tombent pas sous une autre législation que celle garantie par le RGPD européen. Pour protéger son infrastructure, le RSSI (responsable de la sécurité des systèmes d’information) doit intégrer les problématiques de sécurité liées à l’utilisation de l’IoT dans sa feuille de route. Ainsi, pour protéger les données et limiter les intrusions malveillantes par l’IoT, les experts recommandent de confiner les objets connectés en établissant des conteneurs et en fragmentant le réseau, une initiative encore trop rare dans les hôpitaux publics en manque de moyens. De plus, une fois la fragmentation opérée, le RSSI doit rester vigilant en simplifiant la gouvernance cybersécurité, grâce à la mise en place d’outils de supervision pour analyser tous les segments du réseau sans s’éparpiller inutilement.
La certification HDS comme garantie pour la protection des données
La certification des hébergeurs de données de santé (HDS) a été accréditée par le COFRAC (Comité Français d’Accréditation) pour répondre aux exigences spécifiques du milieu médical et pour assister les RSSI dans leurs tâches. La certification HDS garantit donc le chiffrement des données personnelles transmises ainsi que leur traçabilité et réversibilité. Le client peut savoir où sont stockées ses données, comment elles sont utilisées et peut les récupérer à la fin du contrat ou en cas de perte. Cette certification spécifique au milieu médical prouve aux organismes de santé que leurs données sont parfaitement protégées et sécurisées. Les hôpitaux peuvent ainsi tirer pleinement parti de la puissance d’un Cloud de confiance pour faciliter la gestion des dossiers médicaux numériques et pour protéger les données en transit entre les différents objets connectés.
Mais la certification HDS vient aussi avec des prérequis en matière de cybersécurité, notamment sur la mise en place, le maintien et l’amélioration permanente d’un SMSI (Système de Management de la Sécurité de l’Information) conforme à la norme ISO 27001. Le SMSI garantit qu’une organisation est en place afin d’assurer la continuité et la reprise d’activité en cas d’apparition de vulnérabilité ou d’incident de sécurité. Une autre manière par ailleurs d’assurer sa bonne conformité avec le RGPD en ce qui concerne le traitement des données personnelles. La protection du réseau hospitalier est primordiale, en particulier dans le contexte sanitaire actuel puisqu’une cyberattaque visant les services de réanimation aurait des répercussions désastreuses. Plus que jamais, la protection des organismes de santé apparaît comme un enjeu national.