Le numérique est devenu central pour le secteur de la santé. Cela concerne toutes les activités, des admissions de patients à la gestion des prescriptions jusqu’au contrôle de l’environnement matériel. Dans ce contexte, les risques de cybersécurité se sont également répandus. Effectuer un audit de sécurité permet d’évaluer concrètement les risques pour chaque établissement ou entreprise dans le domaine de la santé.
Voici un panorama des enjeux de cybersécurité que nous rencontrons fréquemment et qui peuvent être des points d’attention lors d’un pentest. Si la protection des données est un enjeu majeur, d’autres risques liés au matériel et à l’infrastructure informatique sont aussi des points de préoccupation récurrents.
Protection des données
Aspects juridiques
Les données de santé sont des données personnelles particulièrement sensibles. Elles font l’objet d’une protection renforcée, notamment sur le plan juridique.
La législation varie selon les pays :
- en France, il y a par exemple l’obligation de stocker les données par des hébergeurs certifiés HDS (Hébergeur De Santé), afin que l’hébergement soit adapté au niveau de criticité des données.
- dans l’Union européenne, il existe notamment le RGPD, qui porte sur toutes les données personnelles, dont les données de santé. Il renforce les droits des personnes concernées par un traitement de leurs données (pertinence et proportionnalité, conservation limitée…), et confirme un principe d’interdiction de traitement des données de santé en raison de leur sensibilité (article 9). Il fixe aussi l’obligation de signaler les incidents de sécurité, ce qui implique de protéger et surveiller attentivement ce qui se passe sur le système d’information.
- aux USA, on peut citer le HIPAA (Health Insurance Portability and Accountability Act). Il encadre la protection des données personnelles identifiables de santé. Il s’agit d’assurer entre autres la confidentialité, l’intégrité et la disponibilité des données, et d’identifier et de prendre les mesures raisonnables de protection contre les menaces, les utilisations abusives et les fuites de données (source en anglais).
Aspects techniques
La protection des données implique de protéger à la fois la confidentialité et l’intégrité des données sensibles.
La confidentialité des données est un aspect à prendre en compte tout au long du « parcours » de production et de collecte des données de santé. Cela implique de nombreux contextes, par exemple :
- Services en ligne : portails de résultats d’analyse, dossier médical partagé, logiciels médicaux en ligne, etc.
- Objets connectés : systèmes de télésurveillance, bracelets connectés, piluliers connectés, etc.
- Systèmes d’information des hôpitaux : logiciels et serveurs utilisés en interne pour la gestion des patients, l’organisation interne et le stockage des informations.
L’intégrité des données concerne également de nombreux contextes, en fonction de l’impact en cas de données détruites ou corrompues.
De nombreux types de failles permettent d’accéder aux données traitées par des applications web (services en ligne), des objets connectés, ou des infrastructures internes d’entreprises ou d’établissements de santé. D’un point de vue technique, il existe une très grande variété de failles, qui peuvent s’appliquer à différents contextes métiers.
Lors d’un audit de sécurité, les choix techniques et les mesures de sécurité mises en place seront mis à « l’épreuve du feu » afin de vérifier s’il est possible en cas de cyberattaque d’accéder à des données, de les modifier ou de les détruire.
Matériel connecté
IoT
Les objets connectés représentent un vrai challenge de cybersécurité. La prise de contrôle d’objets par des tiers non autorisés et les fuites de données constituent les menaces les plus inquiétantes.
La variété des technologies utilisées, et par conséquent le nombre de points d’attaques possibles, constituent un point de faiblesse : les cyberattaques peuvent exploiter des vulnérabilités liées aux composants électroniques, au firmware, à des problèmes de configuration, à des failles présentes sur des interfaces web ou des applications mobiles…
Les interfaces web et les applications mobiles constituent souvent les points d’entrée les plus vulnérables, cependant dans certains cas il est possible d’extraire des données directement via les composants électroniques de l’objet.
Pour un fabricant d’objets connectés, l’approche Security by design est essentielle. Un audit de sécurité (pentest IoT) permettra ensuite de mettre à l’épreuve la sécurité du produit.
Pour une entreprise ou un établissement de santé utilisant des objets connectés conçus par des tiers, la configuration des objets et la sécurité des réseaux auxquels les objets seront connectés sont essentiels. Un certain nombre de piratages sont en fait liés à la possibilité d’exploiter des failles du réseau local.
Matériel classique connecté au réseau
Le matériel « classique » connecté à un réseau local peut aussi entraîner des risques de prise de contrôle externe ou de fuites de données. Cela concerne des imprimantes/scanners, mais aussi du matériel médical tel que des appareils de radiologie, des appareils utilisés pour des soins…
Pour l’entreprise ou l’établissement de santé utilisant ce type de matériel, les enjeux de sécurité sont également liés à la sécurité du réseau local. Des problèmes liés au cloisonnement des accès représentent une menace potentiellement critique.
Un audit de sécurité du réseau local permet de vérifier concrètement les possibilités existantes pour un attaquant.
Continuité du système d’information
Risques liés aux ransomwares
Les attaques par ransomware consistent à paralyser un système afin de demander une rançon à ceux qui en sont victimes. Des cas d’attaques par ransomware visant des établissements de santé ont été médiatisés en raison de l’impact direct sur des vies humaines.
Les risques liés à ce type d’attaques reposent en bonne partie sur les utilisateurs d’un système d’information : le comportement humain est la porte d’entrée utilisée par les attaquants pour compromettre l’ensemble du système informatique.
Pour se protéger contre ce type d’attaque, il existe cependant un certain nombre de leviers à actionner : protections anti-malwares, restrictions des droits des utilisateurs aux outils les plus indispensables, cloisonnements entre les différentes portions des réseaux et entre les différents réseaux (par exemple dans les hôpitaux : cloisonnement entre le WiFi utilisé par les patients et le WiFi utilisé par le personnel médical), sauvegardes, plan de continuité et plan de rétablissement, et bien sûr sensibilisation des effectifs aux risques de phishing et de clés USB malveillantes.
Dans le contexte d’un audit de sécurité, il est possible de tester à la fois les protections mises en place, l’efficacité de la gestion des incidents, ainsi que le comportement des utilisateurs, en simulant une cyberattaque réaliste. Pour évaluer le niveau de vulnérabilité face à des risques d’attaques par ransomware (ou par d’autres malwares), l’audit de sécurité inclura des tests d’intrusion par ingénierie sociale.
Déni de services
D’autres types d’attaques peuvent entraîner l’indisponibilité d’un système d’information. Il existe différents types d’attaques DoS (déni de service) ou DDoS (déni de service distribué), qui peuvent cibler tous types de structures.
D’un point de vue technique, se protéger contre ce type d’attaque implique de sécuriser la configuration des réseaux et des services exposés sur les réseaux. La sécurité des datacenters (internes ou externes) est également un facteur clé, de même que l’efficacité du plan de reprise d’activité. Dans le cadre d’un audit de sécurité de système d’information, il est possible de tester les attaques par déni de service spécifiquement.
Les attaques par déni de services peuvent aussi cibler des logiciels spécifiques ou des services en ligne pour les rendre indisponibles. Dans ce cas, prévenir ces risques passe par la sécurisation de la couche logicielle, en plus de la sécurité de l’infrastructure. En effet, certains types de failles spécifiques au développement d’application entraînent une vulnérabilité face aux attaques DoS.
Confiance des utilisateurs et des tiers
Prévenir tous les types de cyberattaques
La confiance est une notion centrale pour les nouvelles technologies dans le domaine de la santé. La santé étant un sujet à la fois intime et avec des répercussions vitales, les risques concernant la cybersécurité peuvent déclencher des réactions de méfiance, de rejet, voire de paranoïa.
Dans ce contexte, il est donc indispensable de prévenir tout type de failles de cybersécurité, afin d’obtenir la confiance des patients, des médecins et de la société dans son ensemble.
La confiance du corps médical et des financeurs publics est en effet essentielle au développement d’outils numériques pour le secteur de la santé.
Par exemple, l’État français a mis en place le programme HOP’EN, qui vise à financer l’évolution des systèmes d’information hospitaliers. Ce programme demande que les établissements respectent des prérequis pour obtenir des subventions. L’un de ces prérequis est justement la sécurité du système d’information et exige la réalisation d’un audit de sécurité (source).
Dans le contexte d’un audit de sécurité, cela revient à adopter d’abord une approche globale de détection des risques, plutôt que de se focaliser sur un type de menace en particulier. Se concentrer sur certaines menaces peut intervenir dans une seconde phase, en fonction des risques prioritaires identifiés.
Ouverture des systèmes vers l’extérieur
Enfin, l’ouverture des systèmes d’information vers l’extérieur est source de nouvelles menaces. Il s’agit d’un enjeu particulièrement sensible pour les établissements et les professionnels de santé, à cause de la nature des risques.
Le travail à distance s’est massivement généralisé en 2020 avec la crise sanitaire du Covid-19. Cela crée des risques pour toutes les organisations qui ouvrent des accès à distance à leur SI. Sécuriser les portes d’entrées vers le SI et les différents types d’accès prend une importance toute particulière, de même que les cyberattaques ont fortement augmenté. En parallèle, l’utilisation de services en ligne, tels que les plateformes de téléconsultation et de télésuivi, a explosé, ce qui implique pour les professionnels de santé de choisir des solutions fiables et pour les éditeurs de solutions de fournir de nouveaux efforts de sécurité.
Les récentes cyberattaques réussies — par exemple l’attaque via ransomware contre le groupe de santé allemand Fresenius en mai 2020 ou le vol de données de Doctolib en juillet 2020 — montrent que les risques sont bien présents.