Les plans de cybersécurité des soins de santé doivent s’atteler aux faiblesses des hôpitaux en matière de technologie opérationnelle

• ^{Le personnel informatique des hôpitaux et les responsables de la sécurité des systèmes d’information (CISO) du secteur de la santé se sont penchés sur la protection des données et de l’informatique dans leurs plans de cybersécurité, mais des risques potentiels subsistent au niveau de la technologie opérationnelle (OT) des systèmes de gestion des bâtiments.}
• ^{Les systèmes de ventilation, les systèmes d’approvisionnement en eau et en oxygène, les ascenseurs, les portes électriques, l’éclairage et d’autres systèmes OT sont souvent négligés quand il s’agit d’identifier les points d’accès potentiels pour les hackers et les cybercriminels.}
• ^{Les hôpitaux devraient instaurer une culture de la « cyberhygiène » en ligne avec les efforts d’hygiène physique tellement répandus dans le secteur des soins de santé.}
• ^{Il n’y a pas de réglementation pertinente quant aux normes de cybersécurité pour les systèmes OT dans le secteur des soins de santé.}

Mardi 11 mai 2021 – Le rapport de PwC intitulé « The Unseen Danger : Cyber Security Threat to Hospitals' Operational Systems » dévoile les dangers potentiels d’une cyberattaque sur les systèmes de technologie opérationnelle (OT). Si les attaques contre des systèmes OT sont encore relativement rares, diverses vulnérabilités pourraient bien faire de ce point faible une cible plus courante dans les années à venir. D’autant que les cybercriminels éprouvent de plus en plus de difficultés à accéder aux systèmes et aux infrastructures informatiques.

Les systèmes de ventilation, les systèmes d’approvisionnement en eau et en oxygène, les ascenseurs, les portes électriques, l’éclairage et les autres systèmes OT sont essentiels au fonctionnement d’un hôpital, a fortiori pendant une pandémie mondiale. Or les équipes informatiques et de cybersécurité les négligent souvent quand il s’agit d’identifier les points d’accès potentiels pour les intrus.

Vito Rallo, Director, Threat & Response Management chez PwC Belgique, évoque plusieurs raisons : « Les systèmes OT sont souvent mis à niveau de manière fragmentée et non intégrée. Néanmoins, et comme c’est le cas pour les systèmes récents de gestion des bâtiments, ils sont entrés dans l’ère numérique et offrent une connectivité Internet ainsi que des capacités de contrôle et de surveillance à distance. Bien souvent, la mise à niveau de la technologie ne s’est pas accompagnée d’une prise de conscience des faiblesses accrues en matière de cybersécurité que font naître ces fonctionnalités. »

Ce problème apparaît quand on examine la manière dont cette technologie est gérée dans le secteur des soins de santé ; dans la majorité des cas, les CISO (Chief Information Security Officers, ou responsables de la sécurité des systèmes d’information) n’en sont pas réellement responsables. La plupart des CISO et leurs équipes sont responsables des éléments informatiques qui couvrent les données et les systèmes informatiques, mais pas des technologies opérationnelles telles que la mise en place de systèmes de gestion des bâtiments et/ou les dispositifs médicaux connectés. Autre problème potentiel et encore plus préoccupant : de nombreuses organisations de plus petite envergure ne comptent pas de CISO dans leur personnel.

« Les défenses informatiques modernes donnent de plus en plus de fil à retordre à ceux qui tentent de les percer, si bien que les hackers cherchent d’autres points d’accès. Les systèmes OT constituent donc de plus en plus un risque potentiel », explique Vito Rallo, Director, Threat & Response Management chez PwC Belgique. « Même si ce risque ne paraît pas élevé, les cybercriminels cherchent toujours le point d’entrée le plus facile. D’où la nécessité absolue d’inclure les systèmes OT dans l’inventaire des risques. La violation d’un système OT peut d’ailleurs faciliter l’accès aux systèmes informatiques et aux données. Voici un exemple : lors d’une récente attaque, les hackers ont activement ciblé la technologie qui transfère les données entre l’infrastructure IT et l’infrastructure OT, en l’occurrence, les données d’imagerie brutes passant des scanners au traitement informatique ultérieur. »

Pour résoudre ce problème, PwC estime que les hôpitaux doivent réfléchir à instaurer une culture de la « cyberhygiène » qui fasse écho aux efforts d’hygiène physique tellement répandus dans le secteur des soins de santé. Les hôpitaux devraient également mettre en place une approche globale qui englobe la technologie, les processus et les individus. Pour être véritablement efficace, le système doit aller au-delà des moments d’évaluation isolés et reposer sur une évaluation continue liée à l’évolution du paysage des menaces. L’idée consiste à mesurer et à tester régulièrement les capacités de réaction, à identifier les risques et à s’en servir comme une base tactique pour établir la feuille de route en matière de cybersécurité. Cela nécessite des capacités multidisciplinaires pour la coordination des activités techniques (par exemple : enquête vs récupération et équipe CSIRT interne), l’interaction avec et entre les multiples fournisseurs de services, la gestion des intervenants et la communication avec eux, ainsi que les obligations réglementaires.

Autre facteur aggravant : les solutions typiques mises en place en réponse aux incidents de cybersécurité ne sont généralement pas adaptées à l’environnement de la technologie opérationnelle (OT). « La mise en œuvre d’une intervention dans le domaine des technologies opérationnelles nécessite des compétences et des considérations spécifiques. Les modèles classiques ne sont pas adaptés, pas plus que l’approche scientifique traditionnelle de l’urgence », estime Vito Rallo. « Les priorités OT sont différentes. Dans le cadre de la réponse à un cyberincident au niveau des technologies opérationnelles, la priorité est accordée à la sécurité, à la continuité des opérations et aux exigences réglementaires. L’objectif est de revenir au plus vite aux opérations normales en toute sécurité, sans dommages et de préférence sans impact humain, tout en préservant la conformité aux réglementations. »

Pour intégrer lasécurité OT dans la planification de la cybersécurité, il faut avant tout admettre l’existence d’un risque potentiel et s’assurer que tout le monde en a conscience, et pas uniquement au niveau opérationnel ; un engagement considérable de la part du management est également nécessaire. « Notre expérience des services de sécurité gérés dans le secteur hospitalier révèle une prise de conscience croissante. Nous constatons un intérêt grandissant des CISO pour les tests permettant de mettre au jour les faiblesses causées par les fonctionnalités, les configurations ou les politiques des systèmes en place », précise Vito Rallo. « Le secteur dans son ensemble pourrait également prendre des mesures supplémentaires pour instaurer la confiance numérique. Il n’y a pas de réglementation pertinente quant aux normes de cybersécurité pour les systèmes OT du secteur des soins de santé. Ce problème devrait être abordé dans le cadre de discussions entre les régulateurs, les hôpitaux, les fournisseurs de technologie et les fabricants. Les réseaux OT des hôpitaux jouent un rôle vital, mais souvent méconnu quand il s’agit de préserver et de sauver des vies. »

Avis

Le rapport « The Unseen Danger : Cyber Security Threats to Hospitals' Operational Systems » peut être téléchargé ici :

https://www.pwc.de/de/cyber-security/the-unseen-danger-cyber-security-threats-to-hospitals-operational-systems.pdf

Contact

Erik Oosthuizen

erik.oosthuizen@pwc.com
0474 56 42 76

www.pwc.com