Les plans de cybersécurité des soins de santé doivent s’atteler aux faiblesses des hôpitaux en matière de technologie opérationnelle

Rapport PwC: «The Unseen Danger: Cyber Security Threats toHospitals’ Operational Systems »

  • Le personnel informatique des hôpitaux et les responsables de la sécurité des systèmes d’information (CISO) du secteur de la santé se sont penchés sur la protection des données et de l’informatique dans leurs plans de cybersécurité, mais des risques potentiels subsistent au niveau de la technologie opérationnelle (OT) des systèmes de gestion des bâtiments.
  • Les systèmes de ventilation, les systèmes d’approvisionnement en eau et en oxygène, les ascenseurs, les portes électriques, l’éclairage et d’autres systèmes OT sont souvent négligés quand il s’agit d’identifier les points d’accès potentiels pour les hackers et les cybercriminels.
  • Les hôpitaux devraient instaurer une culture de la « cyberhygiène » en ligne avec les efforts d’hygiène physique tellement répandus dans le secteur des soins de santé.
  • Il n’y a pas de réglementation pertinente quant aux normes de cybersécurité pour les systèmes OT dans le secteur des soins de santé.

Mardi 11 mai 2021 – Le rapport de PwC intitulé « The Unseen Danger : Cyber Security Threat to Hospitals' Operational Systems » dévoile les dangers potentiels d’une cyberattaque sur les systèmes de technologie opérationnelle (OT). Si les attaques contre des systèmes OT sont encore relativement rares, diverses vulnérabilités pourraient bien faire de ce point faible une cible plus courante dans les années à venir. D’autant que les cybercriminels éprouvent de plus en plus de difficultés à accéder aux systèmes et aux infrastructures informatiques.

Les systèmes de ventilation, les systèmes d’approvisionnement en eau et en oxygène, les ascenseurs, les portes électriques, l’éclairage et les autres systèmes OT sont essentiels au fonctionnement d’un hôpital, a fortiori pendant une pandémie mondiale. Or les équipes informatiques et de cybersécurité les négligent souvent quand il s’agit d’identifier les points d’accès potentiels pour les intrus.

Vito Rallo, Director, Threat & Response Management chez PwC Belgique, évoque plusieurs raisons : « Les systèmes OT sont souvent mis à niveau de manière fragmentée et non intégrée. Néanmoins, et comme c’est le cas pour les systèmes récents de gestion des bâtiments, ils sont entrés dans l’ère numérique et offrent une connectivité Internet ainsi que des capacités de contrôle et de surveillance à distance. Bien souvent, la mise à niveau de la technologie ne s’est pas accompagnée d’une prise de conscience des faiblesses accrues en matière de cybersécurité que font naître ces fonctionnalités. »

Ce problème apparaît quand on examine la manière dont cette technologie est gérée dans le secteur des soins de santé ; dans la majorité des cas, les CISO (Chief Information Security Officers, ou responsables de la sécurité des systèmes d’information) n’en sont pas réellement responsables. La plupart des CISO et leurs équipes sont responsables des éléments informatiques qui couvrent les données et les systèmes informatiques, mais pas des technologies opérationnelles telles que la mise en place de systèmes de gestion des bâtiments et/ou les dispositifs médicaux connectés. Autre problème potentiel et encore plus préoccupant : de nombreuses organisations de plus petite envergure ne comptent pas de CISO dans leur personnel.

« Les défenses informatiques modernes donnent de plus en plus de fil à retordre à ceux qui tentent de les percer, si bien que les hackers cherchent d’autres points d’accès. Les systèmes OT constituent donc de plus en plus un risque potentiel », explique Vito Rallo, Director, Threat & Response Management chez PwC Belgique. « Même si ce risque ne paraît pas élevé, les cybercriminels cherchent toujours le point d’entrée le plus facile. D’où la nécessité absolue d’inclure les systèmes OT dans l’inventaire des risques. La violation d’un système OT peut d’ailleurs faciliter l’accès aux systèmes informatiques et aux données. Voici un exemple : lors d’une récente attaque, les hackers ont activement ciblé la technologie qui transfère les données entre l’infrastructure IT et l’infrastructure OT, en l’occurrence, les données d’imagerie brutes passant des scanners au traitement informatique ultérieur. »

Pour résoudre ce problème, PwC estime que les hôpitaux doivent réfléchir à instaurer une culture de la « cyberhygiène » qui fasse écho aux efforts d’hygiène physique tellement répandus dans le secteur des soins de santé. Les hôpitaux devraient également mettre en place une approche globale qui englobe la technologie, les processus et les individus. Pour être véritablement efficace, le système doit aller au-delà des moments d’évaluation isolés et reposer sur une évaluation continue liée à l’évolution du paysage des menaces. L’idée consiste à mesurer et à tester régulièrement les capacités de réaction, à identifier les risques et à s’en servir comme une base tactique pour établir la feuille de route en matière de cybersécurité. Cela nécessite des capacités multidisciplinaires pour la coordination des activités techniques (par exemple : enquête vs récupération et équipe CSIRT interne), l’interaction avec et entre les multiples fournisseurs de services, la gestion des intervenants et la communication avec eux, ainsi que les obligations réglementaires.

Autre facteur aggravant : les solutions typiques mises en place en réponse aux incidents de cybersécurité ne sont généralement pas adaptées à l’environnement de la technologie opérationnelle (OT). « La mise en œuvre d’une intervention dans le domaine des technologies opérationnelles nécessite des compétences et des considérations spécifiques. Les modèles classiques ne sont pas adaptés, pas plus que l’approche scientifique traditionnelle de l’urgence », estime Vito Rallo. « Les priorités OT sont différentes. Dans le cadre de la réponse à un cyberincident au niveau des technologies opérationnelles, la priorité est accordée à la sécurité, à la continuité des opérations et aux exigences réglementaires. L’objectif est de revenir au plus vite aux opérations normales en toute sécurité, sans dommages et de préférence sans impact humain, tout en préservant la conformité aux réglementations. »

Pour intégrer lasécurité OT dans la planification de la cybersécurité, il faut avant tout admettre l’existence d’un risque potentiel et s’assurer que tout le monde en a conscience, et pas uniquement au niveau opérationnel ; un engagement considérable de la part du management est également nécessaire. « Notre expérience des services de sécurité gérés dans le secteur hospitalier révèle une prise de conscience croissante. Nous constatons un intérêt grandissant des CISO pour les tests permettant de mettre au jour les faiblesses causées par les fonctionnalités, les configurations ou les politiques des systèmes en place », précise Vito Rallo. « Le secteur dans son ensemble pourrait également prendre des mesures supplémentaires pour instaurer la confiance numérique. Il n’y a pas de réglementation pertinente quant aux normes de cybersécurité pour les systèmes OT du secteur des soins de santé. Ce problème devrait être abordé dans le cadre de discussions entre les régulateurs, les hôpitaux, les fournisseurs de technologie et les fabricants. Les réseaux OT des hôpitaux jouent un rôle vital, mais souvent méconnu quand il s’agit de préserver et de sauver des vies. »

Avis

Le rapport « The Unseen Danger : Cyber Security Threats to Hospitals' Operational Systems » peut être téléchargé ici :

https://www.pwc.de/de/cyber-security/the-unseen-danger-cyber-security-threats-to-hospitals-operational-systems.pdf

Contact

Erik Oosthuizen

erik.oosthuizen@pwc.com
0474 56 42 76

www.pwc.com

 

 

 

Share

Derniers articles

Website preview
Selon une étude mondiale réalisée par PwC, l’IA stimule la productivité et la croissance des salaires
Diegem, le 5 mai 2025 – L’intelligence artificielle (IA) transforme le marché du travail en Belgique et dans le monde entier, rendant les travailleurs plus productifs, plus précieux et mieux rémunérés, même dans les fonctions traditionnellement considérées comme vulnérables à l’automatisation. Telle est la conclusion de l’édition 2025 du Baromètre mondial de l’emploi en IA de PwC, fondé sur l’analyse de près d’un milliard d’offres d’emploi et de milliers de rapports financiers d’entreprises sur six continents, notamment en Belgique.
press.pwc.be
Website preview
Réduire l'écart IA : les jeunes et les hommes utilisent fréquemment l’IA, les femmes et les plus âgés sont hésitants
Diegem, 14 mai 2025 – Selon une enquête menée par PwC Belgique, seulement un tiers des travailleurs belges qui passent au moins une heure par jour sur un ordinateur utilisent régulièrement des applications d’IA générales comme ChatGPT. De plus, 40 % des travailleurs n'interagissent pas du tout avec ces outils. Pour la deuxième année consécutive, PwC Belgique a interrogé 1 000 travailleurs de bureau sur leur interaction avec les technologies d’IA. L’enquête a révélé des taux d’adoption plus faibles chez les travailleurs plus âgés et les femmes concernant l’utilisation quotidienne de l’IA générative. Étonnamment, les données montrent qu’à mesure que les travailleurs passent plus d’heures à travailler sur leurs ordinateurs, ils tendent à montrer moins d’intérêt pour les outils d’IA. Xavier Verhaeghe, Responsable Technologie et Innovation chez PwC Belgique, déclare : « Bien que l’IA devienne de plus en plus courante dans les lieux de travail, une partie importante de la main-d’œuvre...
press.pwc.be
Website preview
PwC Belgique soutient la croissance de 13 start-ups/scale-ups dans le secteur des technologies de défense et de résilience
Bruxelles - 17 avril 2025 - PwC Belgique lance son programme Scale pour le secteur des technologies de défense et de résilience, soutenant 13 entreprises en phase start-up provenant de 6 pays européens dans leur croissance. Pour la sixième année consécutive, le programme Scale de PwC Belgique accélérera la croissance des start-ups et scale-ups participantes grâce à un parcours intensif de développement de 8 semaines. À la lumière des évolutions géopolitiques et de l'intérêt croissant pour l'industrie de la défense, le focus est mis sur les solutions de résilience et d'utilisation duale dans l'édition de cette année. Les entreprises, travaillant dans divers domaines tels que la sécurité des données, l'exploration maritime, la technologie des drones, etc., seront guidées et soutenues en profondeur pour améliorer leurs plans d'affaires et présenter leur entreprise à un groupe sélectionné de leaders et d'experts de l’industrie.
press.pwc.be

Recevez des mises à jour par e-mail

En cliquant sur « S'abonner », je confirme avoir lu et accepté la Politique de confidentialité.

À propos de PwC Belgique

Chez PwC, nous aidons nos clients à établir la confiance et à se réinventer afin qu'ils puissent transformer la complexité en avantage concurrentiel. Nous sommes un réseau axé sur la technologie et propulsé par des personnes, avec plus de 370 000 personnes dans 149 pays. Dans les domaines de l'audit et l’attestation, l’expertise juridique et fiscale, des transactions et le conseil, nous contribuons à construire, accélérer et maintenir l'élan. Pour en savoir plus, rendez-vous sur www.pwc.com

« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour de plus amples détails, consultez www.pwc.com/structure

© 2025 PwC. Tous droits réservés. 

Contact

Culliganlaan 5 1831 Diegem

+32 (0)2 710 42 11

www.pwc.be