![\"La](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_582412642-e1618483478873.jpg\" "\\"De")
<\/p>\n<\/p>\n
C\u2019est un paradoxe qui peut effrayer : alors que la confiance est au c\u0153ur de la relation entre l\u2019h\u00f4pital et ses usagers, 80% des organisations de sant\u00e9 auraient subi une attaque r\u00e9ussie entre 2016 et 2018 d\u2019apr\u00e8s une tribune d\u2019Orange Cyberdefense et Orange Healthcare. Comment expliquer une telle vuln\u00e9rabilit\u00e9 et, surtout, comment y rem\u00e9dier ?<\/strong><\/p>\n <\/p>\n Parce qu\u2019elles traitent des donn\u00e9es ultra-sensibles, relatives aux patients, les structures de sant\u00e9<\/a> attirent particuli\u00e8rement les hackers. Ransomwares, attaques par d\u00e9ni de service, \u00ab\u2009medjack\u2009\u00bb, ou encore botnets<\/a>, tous les moyens sont bons pour compromettre l\u2019acc\u00e8s \u00e0 ces informations sensibles ou mettre la main dessus. Mais la data n\u2019est pas la seule motivation des cyber-attaquants. Car r\u00e9ussir \u00e0 bloquer l\u2019activit\u00e9 de ces \u00e9tablissements, dans lesquels des vies sont en jeu, repr\u00e9sente un levier de chantage particuli\u00e8rement puissant pour arriver \u00e0 leurs fins.<\/p>\n <\/p>\n Comment expliquer que des syst\u00e8mes \u00e0 ce point sensibles \u2013 et que l\u2019on sait \u00eatre menac\u00e9s \u2013 restent encore si vuln\u00e9rables ? Par un cocktail de d\u00e9faillances multiples.<\/p>\n Il n\u2019est pas rare dans le milieu hospitalier que plusieurs r\u00e9seaux aux niveaux de confidentialit\u00e9 diff\u00e9rents coexistent. Depuis un hotspot wifi, il est par exemple facile de se connecter au r\u00e9seau des patients. Et de l\u00e0, il est possible d\u2019intercepter le r\u00e9seau m\u00e9dical puis de l\u00e0, d\u2019acc\u00e9der au r\u00e9seau administratif. Un d\u00e9faut de segmentation qui, lorsqu\u2019il existe, constitue une premi\u00e8re faille exploitable par les hackers.<\/p>\n Les h\u00f4pitaux et autres organisations de sant\u00e9 sont contraints par une obligation de continuit\u00e9 de service. Concr\u00e8tement, ils ne peuvent se permettre d\u2019interrompre les soins. C\u2019est pourquoi, lorsque leur infrastructure informatique \u00e9volue, ils sont peu nombreux \u00e0 basculer en mode maintenance \u2013 ou \u00e0 \u00e9teindre, m\u00eame bri\u00e8vement, certains appareils. Cette fa\u00e7on de fonctionner les conduit souvent \u00e0 composer avec l\u2019ancien, plut\u00f4t que d\u2019appr\u00e9hender le syst\u00e8me d\u2019information comme un projet global, avec une gouvernance propre. Petit exercice pratique : lors d\u2019une prochaine visite \u00e0 l\u2019h\u00f4pital, jetez un \u0153il aux navigateurs ou applications utilis\u00e9es<\/a>. Dans un rapport relay\u00e9 par Le MagIT<\/a>, le bureau national d\u2019audit britannique, le National Audit Office (NAO), s\u2019est pench\u00e9 sur l\u2019impact de WannaCry aupr\u00e8s du National Health Service (NHS). \u00c0 l'\u00e9poque, \u00ab la majorit\u00e9 des \u00e9quipements du NHS infect\u00e9s utilisaient des versions support\u00e9es de Windows 7 sur lesquelles les correctifs n\u2019avaient pas \u00e9t\u00e9 appliqu\u00e9s<\/em> \u00bb. En parall\u00e8le, l\u2019urgence se traduit aussi au quotidien par un oubli des principes de base de s\u00e9curit\u00e9 comme verrouiller sa session lorsque l\u2019on quitte un poste de travail. Les informations contenues dans le dossier du patient restent alors accessibles, ainsi que potentiellement certains acc\u00e8s administratifs.<\/p>\n Au-del\u00e0 de ce d\u00e9ficit de gouvernance, c\u2019est tout simplement l\u2019absence d\u2019experts en s\u00e9curit\u00e9 informatique qui est souvent \u00e0 d\u00e9plorer au sein des \u00e9tablissements de sant\u00e9. Mais cette phrase devrait \u00eatre bient\u00f4t \u00e0 employer au pass\u00e9, tant le secteur r\u00e9alise des efforts consid\u00e9rables pour se (re)mettre au niveau. En France, le colloque de l\u2019Association Pour la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information de Sant\u00e9<\/a> (APSSIS) de d\u00e9but octobre 2019 t\u00e9moignait de la mont\u00e9e en puissance de cette th\u00e9matique, au c\u0153ur des d\u00e9bats des \u00e9tablissements sanitaires et m\u00e9dico-sociaux.<\/p>\n Un autre facteur aggravant la vuln\u00e9rabilit\u00e9 des milieux hospitaliers tient directement au mode d\u2019exercice des m\u00e9decins : beaucoup partagent leur temps entre un cabinet priv\u00e9 et l\u2019h\u00f4pital, mais utilisent le m\u00eame ordinateur et le m\u00eame smartphone. Ce mat\u00e9riel n\u2019\u00e9tant pas fourni par l\u2019h\u00f4pital, il ne respecte pas toujours les r\u00e8gles de s\u00e9curit\u00e9 mises en place par celui-ci.<\/p>\n Au sein des h\u00f4pitaux aux moyens les plus importants, les appareils m\u00e9dicaux connect\u00e9s se r\u00e9pandent. Or, l\u2019attention port\u00e9e \u00e0 la s\u00e9curit\u00e9 lors de leur conception est encore faible, ce qui constitue une porte ouverte au \u00ab\u00a0medjack\u00a0\u00bb.<\/p>\n Les syst\u00e8mes de gestion technique des b\u00e2timents permettent, entre autres, le contr\u00f4le \u00e0 distance d\u2019\u00e9quipements comme l\u2019air conditionn\u00e9, la d\u00e9tection incendie ou les ascenseurs. Le piratage d\u2019un tel dispositif peut conduire \u00e0 l\u2019\u00e9vacuation forc\u00e9e de l\u2019h\u00f4pital par exemple. Con\u00e7us selon les normes de s\u00e9curit\u00e9 \u00ab\u2009physique\u2009\u00bb, ces syst\u00e8mes ne sont pas suffisamment arm\u00e9s du point de vue de la s\u00e9curit\u00e9 num\u00e9rique.<\/p>\n <\/p>\n La premi\u00e8re mesure consiste \u00e0 prendre conscience de la vuln\u00e9rabilit\u00e9 de ces structures de sant\u00e9 et \u00e0 faire de la cybers\u00e9curit\u00e9 une pr\u00e9occupation majeure de l\u2019organisation<\/strong>, avec ce que cela implique en termes d\u2019investissements (ressources humaines, gouvernance, mat\u00e9riel, budget d\u00e9di\u00e9\u2026).<\/p>\n D\u2019un point de vue plus concret, il est imp\u00e9ratif de recourir \u00e0 des solutions s\u00e9curisant les r\u00e9seaux, pour les prot\u00e9ger contre les intrusions et garantir une continuit\u00e9 de service, mais aussi les postes de travail. Avec, comme obligation, de les imposer \u00e0 l\u2019ensemble du mat\u00e9riel impliqu\u00e9 dans le traitement des patients, que la structure en soit propri\u00e9taire ou non.<\/p>\n Pour convaincre les personnels de sant\u00e9 de se conformer aux bonnes pratiques de la cybers\u00e9curit\u00e9, il est indispensable d\u2019en rappeler r\u00e9guli\u00e8rement les enjeux et de clarifier avec eux les proc\u00e9dures. C\u2019est dans cet esprit que le groupement de coop\u00e9ration sanitaire e-sant\u00e9 Pays de la Loire (GCS) a travaill\u00e9 avec Orange Cyberdefense \u00e0 l\u2019\u00e9laboration d\u2019un escape game baptis\u00e9 Sant\u2019escape \u2013 S\u00e9curit\u00e9 num\u00e9rique<\/a>. Le principe\u2009? Expliquer et appliquer les bonnes pratiques dans le secteur de la sant\u00e9 par le biais du jeu !<\/p>\n En France, les \u00e9tablissements de sant\u00e9 ont l\u2019obligation de signaler tout incident ou suspicion d\u2019incident sanitaire mais aussi de cybers\u00e9curit\u00e9 via un portail mis \u00e0 leur disposition<\/a> par le gouvernement. Les agences r\u00e9gionales de sant\u00e9 se chargent ensuite de communiquer ces informations \u00e0 la cellule \u00ab\u2009Accompagnement Cybers\u00e9curit\u00e9 des Structures de Sant\u00e9\u2009\u00bb (ACSS). En plus d\u2019un meilleur suivi, le r\u00f4le de ce dispositif national d\u2019assistance cr\u00e9\u00e9 par l\u2019agence fran\u00e7aise de la s\u00e9curit\u00e9 num\u00e9rique (ASIP) est de formuler des recommandations.<\/p>\n <\/p>\n Aujourd\u2019hui, les h\u00f4pitaux et le secteur de la sant\u00e9 en g\u00e9n\u00e9ral sont pris entre la n\u00e9cessit\u00e9 de r\u00e9duire leurs co\u00fbts et celle d\u2019exploiter tout le potentiel du num\u00e9rique avec par exemple nouveaux services comme la t\u00e9l\u00e9consultation<\/a>. Or, le d\u00e9ficit de s\u00e9curit\u00e9 de leurs syst\u00e8mes d\u2019information pourrait avoir un prix particuli\u00e8rement \u00e9lev\u00e9 pour la confidentialit\u00e9 et la s\u00e9curit\u00e9 des patients. \u00c0 moins que la cybers\u00e9curit\u00e9 ne devienne une priorit\u00e9 de sant\u00e9 \u00e0 part enti\u00e8re. Pour autant, les h\u00f4pitaux seront-ils un jour \u00e9pargn\u00e9s par la menace cyber\u00a0?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" C\u2019est un paradoxe qui peut effrayer : alors que la confiance est au c\u0153ur de la relation entre l\u2019h\u00f4pital et ses usagers, 80% des organisations de sant\u00e9 auraient subi une attaque r\u00e9ussie entre 2016 et 2018 d\u2019apr\u00e8s une tribune d\u2019Orange Cyberdefense et Orange Healthcare. Comment…<\/p>\n","protected":false},"author":26,"featured_media":161185,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1608],"tags":[4368],"business_size":[682,683],"industry":[697],"help_mefind":[],"features":[],"type_security":[754,756,758],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1595,1570,1565,1530],"class_list":["post-161225","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-paroles-experts","tag-la-cybersecurite-par-stormshield","business_size-eti","business_size-grande-entreprise","industry-sante-et-etablissements-de-soin","type_security-donnees","type_security-postes-et-serveurs","type_security-reseaux","listing_product-breach-fighter-fr","listing_product-sds-fr","listing_product-ses-fr","listing_product-sns-fr"],"acf":[],"yoast_head":"\nDonn\u00e9es et criticit\u00e9 font du milieu hospitalier une cible de choix<\/h2>\n
Des facteurs structurels et humains \u00e0 l\u2019origine d\u2019une vuln\u00e9rabilit\u00e9 sectorielle<\/h2>\n
\n
\n
\n
\n
\n
\n
Comment le milieu hospitalier peut-il d\u00e9velopper sa r\u00e9silience aux cyberattaques\u2009?<\/h2>\n
\n
\n
\n