En 2024, on estime que les deux plus grands cyberincidents dans le domaine de la santé ont touché plus de 100 millions de personnes, y compris des patients et des fournisseurs dans un paysage numérique interconnecté d'assureurs et de prestataires de soins de santé. En octobre 2024, 386 attaques de cybersécurité avaient été signalées aux États-Unis contre des prestataires de soins de santé et des tiers, Change Healthcare et Kaiser Permanente figurant parmi les violations les plus importantes. Objectivement, il s'agit de la pire année jamais enregistrée en matière de failles de sécurité dans le secteur de la santé.
Parce qu'une attaque par ransomware peut tenir en otage les systèmes et les appareils connectés jusqu'au paiement d'une rançon, les acteurs malveillants savent que les soins de santé sont une cible de choix ; ils misent sur le désir de réduire les interruptions pour les patients critiques comme une forte motivation pour le paiement. La menace qui pèse sur les systèmes de santé du monde entier est si grave que les Nations unies l'ont qualifiée de "menace mondiale qui ne peut être ignorée". Le directeur général des Nations unies a déclaré : "Les ransomwares et autres cyberattaques visant les hôpitaux et autres établissements de santé ne sont pas seulement des questions de sécurité et de confidentialité, ils peuvent être des questions de vie ou de mort. Dans le meilleur des cas, ces attaques provoquent des perturbations et des pertes financières. Dans le pire des cas, elles sapent la confiance dans les systèmes de santé dont les gens dépendent, et peuvent même causer des préjudices aux patients, voire leur décès."
Doug Vondera, directeur de la cybersécurité chez McLaren Health, a récemment rejoint Celestine Jahren, directrice des alliances stratégiques à l'adresse Censys , pour discuter de l'évolution de la cybersécurité dans le secteur de la santé, en mettant l'accent sur les défis - et les opportunités - auxquels sont confrontés les responsables de la sécurité. Voici quelques-unes des principales conclusions de leur conversation.
Défis en matière de sécurité des soins de santé
Les outils de cybersécurité ont progressé, tout comme les méthodes utilisées par les acteurs malveillants. Leurs tactiques évoluent aussi rapidement que les outils de sécurité mis au point pour les arrêter. Comme l'ont expliqué M. Vondera et M. Jahren, le secteur des soins de santé est particulièrement vulnérable aux menaces.
Le secteur de la santé est confronté à d'importants problèmes de dette technologique
Les fusions et les acquisitions font partie de la nature des réseaux de soins de santé modernes. Le regroupement de plusieurs organisations, chacune avec sa propre pile technologique, peut entraîner une dette technologique importante et des lacunes en matière de sécurité. Il est alors plus facile pour les acteurs malveillants d'exploiter les vulnérabilités par le biais de l'hameçonnage, de logiciels non corrigés, voire de techniques d'autosuffisance.
Les professionnels de la santé ne sont pas des professionnels de la sécurité
Le personnel hospitalier, les employés des cliniques, les chercheurs et tous ceux qui constituent les premières lignes des soins de santé se connectent, glissent, badgent et se connectent aux portails des soins de santé des milliers de fois par jour. Ils constituent un maillon essentiel de la chaîne de sécurité - mais aucune de ces personnes n'a choisi de travailler dans l'informatique, nous rappelle M. Vondera. Les responsables de la sécurité ont la responsabilité de transmettre les besoins et les risques en matière de sécurité de manière succincte, de les rendre significatifs et de décharger l'utilisateur final de toute responsabilité, car son travail consiste à s'occuper des patients.
Les appareils connectés sont essentiels, mais aussi très vulnérables
Les équipes de sécurité du secteur de la santé sont constamment préoccupées par la manière de sécuriser les milliers d'appareils connectés qui sont essentiels aux soins des patients, tout en les maintenant opérationnels. Le nombre d'appareils et la nécessité d'une connectivité constante rendent difficile l'application de correctifs, la maintenance et même l'inventaire, mais chaque appareil connecté peut servir de point d'accès qui, s'il est violé, peut conduire à un mouvement latéral sur le réseau et à une exposition importante des données.
Les soins de santé sont limités par les ressources financières
Dans l'ensemble, les organismes de santé n'ont pas les mêmes priorités d'investissement que les autres entreprises. Leurs budgets de sécurité sont bien inférieurs à ceux des autres secteurs, avec seulement 4 à 7 % du budget informatique d'un système de santé alloué à la cybersécurité, contre environ 15 % pour les autres secteurs. Les organismes de santé doivent faire preuve de stratégie dans leurs investissements en matière de sécurité, car plus il y a d'outils, plus les coûts augmentent. Les acteurs malveillants le savent et visent systématiquement les zones où la visibilité et la protection sont moindres - des zones qui seraient normalement rendues plus sûres par des outils plus coûteux.
Les opportunités pour les responsables de la sécurité des soins de santé
Vondera gère des équipes de sécurité et d'opérations informatiques depuis près de vingt ans, et possède une grande expertise pour aider les équipes de sécurité à faire la différence avec les ressources dont elles disposent déjà. Lors de son entretien avec nous, il nous a fait part de recommandations qui, selon lui, peuvent contribuer à soutenir une approche holistique de la sécurité en couches dans les environnements de soins de santé.
Explorer le rôle de l'automatisation
La mise en place de l'automatisation est l'un des moyens les plus immédiats d'obtenir davantage de résultats avec des équipes réduites et manquant de ressources. Il est presque impossible de suivre et de gérer une surface d'attaque manuellement, et explorer pleinement les capacités d'automatisation des outils que vous utilisez déjà peut aider à réduire les risques tout en libérant des ressources précieuses dans votre équipe. Il s'agit notamment de comprendre le rôle de l'IA dans votre technologie de sécurité ; savoir comment interagir correctement avec les outils d'IA générative peut permettre des gains d'automatisation significatifs.
Tenir compte de l'utilisateur final
L'expérience utilisateur est importante et le fait de donner aux utilisateurs la possibilité de s'exprimer sur les outils qu'ils utilisent favorise l'adoption. Vondera recommande de travailler avec les prestataires de soins de santé et de demander aux médecins leur avis sur l'expérience utilisateur afin de reconnaître et d'éliminer les frictions.
Utiliser un cadre
"Si vous ne savez pas ce que vous avez, vous ne savez pas comment le protéger", rappelle M. Vondera. Le Center for Internet Security Critical Security Controls aide les équipes de sécurité à s'aligner sur les normes et les cadres industriels en constante évolution grâce à une feuille de route étape par étape pour renforcer vos cyberdéfenses - et cela commence par l'inventaire de vos actifs afin d'avoir une image claire de votre surface d'attaque. Les praticiens de la sécurité qui accordent peu d'importance aux éléments de base ont tendance à se heurter à des difficultés, mais le fait de travailler avec une approche très structurée comme le CIS aide les organisations à faire mûrir leurs programmes de sécurité plus rapidement. Pour les organismes de santé, la maturité pourrait consister à commencer par la macrosegmentation des actifs, à élaborer une stratégie de microsegmentation, puis à déployer une politique de microsegmentation dynamique capable d'exclure automatiquement des dispositifs en cas de cyberincident.
Donner la priorité au bon type d'éducation
La formation à la cybersécurité englobe l'éducation et l'accompagnement des utilisateurs finaux, mais le fait de se concentrer sur les possibilités de formation spécialisée pour votre personnel informatique peut contribuer à renforcer vos résultats en matière de sécurité. Investir dans des certifications telles que Systems Security Certified Practitioner et Certified Information Systems Security Professional peut avoir un impact considérable en permettant à de petites équipes disposant de peu de ressources d'acquérir des compétences plus approfondies et plus avancées.
Savoir ce qui fait la force d'une équipe
La priorité absolue de Vondera en matière de recrutement est de se concentrer sur l'adéquation organisationnelle, en mettant l'accent sur "la recherche de personnes qui comprennent l'engagement". Cela signifie qu'il faut être ouvert à l'embauche de développeurs, d'architectes et d'autres techniciens venant d'horizons différents afin de disposer d'un ensemble de compétences bien équilibré. Les chefs d'équipe doivent également prendre le temps de comprendre l'épuisement professionnel associé à la cybersécurité, car il peut avoir un impact considérable sur les résultats en matière de sécurité.
Si vous ne savez pas ce que vous avez, vous ne savez pas comment le protéger - Doug Vondera, McLaren Health Care
L'état de la sécurité dans le secteur des soins de santé ne va cesser de s'aggraver. Les piratages dans le secteur de la santé sont une préoccupation croissante pour les législateurs américains, avec des équipes de cadres de la santé, d'avocats et de membres du Congrès qui s'efforcent de légiférer sur les changements de sécurité pour le secteur de la santé et d'obtenir un financement pour aider à soutenir les progrès de l'infrastructure et d'autres améliorations nécessaires.
Censys permet aux organismes de santé d'être proactifs face à ces risques ; notre visibilité complète des appareils vulnérables, des risques liés aux tiers et de l'évolution de l'infrastructure contribue à protéger les données des patients et les systèmes critiques contre les cyberattaques. Nos informations aident les équipes de sécurité à détecter les risques et à protéger les actifs afin de réduire l'exposition des dossiers médicaux des patients, d'assurer la conformité et de surveiller et sécuriser les visites de télésanté.
Pour en savoir plus sur les risques et les recommandations en matière de cybersécurité dans le secteur de la santé, consultez l'intégralité du webinaire avec Vondera, disponible à la demande ici.
