Cybersécurité : la santé un secteur exposé

Décryptages sur une bataille collective pour lutter contre les cyberattaques

Octobre 2019

Le vendredi 12 mai 2017, dans le quartier de Westminster, le rançongiciel WannaCry a touché, tôt dans la matinée, plus de 200 000 ordinateurs dans 150 pays et atteint un tiers des hôpitaux et cliniques d’Angleterre. En une fraction de seconde, ce virus a bloqué plus de 70 000 appareils connectés dans des centres de soins qui, pour certains, sont essentiels à la survie des patients. En utilisant une faille de Windows XP révélée par la fuite de documents de l’Agence nationale de sécurité (NSA) — l’organisme gouvernemental responsable de la sécurité des systèmes d’information du gouvernement américain — la cyberattaque consiste à couper l’accès aux données stockées dans des serveurs informatiques jusqu’à ce qu’une rançon soit reversée. Au National Health Service (NHS), le système de santé britannique, des réunions ont été organisées dans l’urgence au siège de l’institution pour chercher à contrer cette offensive.

C’est finalement Marcus Hutchins qui a trouvé la solution. Ce jeune Britannique âgé de 22 ans a découvert, en analysant le code source du rançongiciel, qu’il contenait une URL étonnante. Il a mené l’enquête avant de neutraliser la menace. Après coup, Tanguy de Coatpont, directeur général de Kaspersky France, a déploré : « l’attaque n’était pas vraiment sophistiquée dans son dispositif. Si elle a pris une telle ampleur, c’est parce que les entreprises mettent beaucoup trop de temps à réagir. ».

Plus d’un an et demi après l’incident, le NHS estime le coût financier de WannaCry : entre l’annulation de rendez-vous lors de l’attaque qui représente une perte sèche de 19 millions de livres sterling, les 500 000 livres sterling investis dans le recrutement temporaire de consultants en informatique et en sécurité pour restaurer les données et les systèmes affectés par l’attaque entre le 12 et le 18 mai, et les 72 millions de livres sterling dépensés en juin et juillet 2017 pour réparer et assurer la sécurité des systèmes, cette cyberattaque aura coûté 91,5 millions de livres sterling au Royaume-Uni.

Pour que cette situation ne se reproduise plus, le National Audit Office (NAO) a appelé le ministère de la santé et le NHS à « mieux s’organiser » pour protéger les services de santé contre de futures attaques potentiellement plus sophistiquées et dommageables. Le ministre de la Sécurité a indiqué être déterminé à mettre tous les moyens en œuvre pour ne pas détériorer davantage la confiance des patients et des professionnels de santé qui, par volonté ou par obligation, ont recours à des outils médicaux connectés pour traiter les pathologies. « Nous avons tous un rôle à jouer pour maintenir la sécurité de nos réseaux », a-t-il récemment déclaré sur la BBC. Pour lutter contre le cybercrime, le mot d’ordre est clair : unir les savoirs de chacun et collaborer davantage pour mieux anticiper, détecter, analyser et parer les attaques.

« Si tous les systèmes informatiques avaient été mis à jour, les conséquences de cette attaque auraient été extrêmement limitées. En effet, un correctif contre la vulnérabilité EternalBlue avait été publié avant la diffusion de WannaCry, mais malgré les avertissements, un grand nombre de centres de soins rattachés au NHS n’avaient pas appliqué la mise à jour. » Il ajoute : « trop d’institutions et de centres de soins restent dans le déni face à la cybermenace. Pour la majorité d’entre eux, leur perception du risque est très éloignée de la réalité. En conséquence, ils ne se donnent pas les moyens de mettre en place un véritable dispositif de gestion de cyberrisques. Leur dynamique demeure curative au lieu d’être préventive. Ils attendent d’être attaqués et de constater les dégâts pour ensuite améliorer leur défense. »

Fabrice Garnier de Labareyre, associé Cyber Intelligence, PwC France

La cybersécurité, une défense collaborative qui s’organise ?

Le développement de l’e-santé, de la télémédecine, des métadonnées de santé (Big Data), de l’Internet des objets et de l’intelligence artificielle rend l’environnement médical de plus en plus interconnecté. Lecteurs de glycémie, lentilles qui mesurent le taux de sucre dans le sang, moniteurs cardiaques, pompes à insuline, pacemakers réglables à distance ou patchs électroniques implantés sous la peau pour mesurer des signes vitaux, cette hyperconnectivité multiplie les points d’entrée pour les attaquants et devient synonyme de vulnérabilité pour les défenseurs de plus en plus dépassés par la multiplication et la complexification des attaques.

Fabrice Garnier de Labareyre, indique : « les enjeux cybersécuritaires sont transverses à tous les secteurs impactés par les nouvelles technologies. Dans le cas de la santé, elle revêt une dimension critique plus forte que dans d’autres domaines en raison de son impact direct sur la vie des patients. Le droit à l’erreur doit donc être le plus proche possible de zéro. Pour cela, il est nécessaire de nous en donner les moyens aussi bien en termes d’investissements réalisés que de développement des nouvelles technologies, de recrutement et de formation des Hommes. » Il ajoute : « la cybersécurité n’est pas qu’une affaire de protection de systèmes informatiques, c’est aussi une affaire de partage des informations et de confiance entre les différents acteurs engagés dans la lutte active contre le cybercrime. »

À ce propos, le Président de la République française Emmanuel Macron rappelait durant l’été 2018 que la France n’arrivera pas à assurer convenablement sa cyberdéfense si les acteurs engagés dans cette cause n’avancent pas en bloc organisé. Les experts sont unanimes : une entraide entre État-entreprises et entreprises-entreprises est nécessaire pour récupérer le retard pris sur les attaquants. En effet, à l’heure où le nombre de centres de soins de toute taille victimes des dérives du Net explose, « le partage des informations et l’avènement d’un WhiteNet – plateforme numérique collaborative permettant de livrer une vision prospective sur les nouvelles cybermenaces – sont nécessaires pour lutter efficacement contre les délits cyber », indique Fabrice Garnier de Labareyre.

« Nous devons absolument travailler ensemble pour accroître notre résilience, stimuler l’innovation technologique, et renforcer la dissuasion en améliorant la traçabilité et la responsabilisation. »

Julian King, commissaire européen pour l’union de la sécurité

« La cybersécurité n’est pas qu’une affaire de protection de systèmes informatiques, c’est aussi une affaire de partage des informations et de confiance entre les différents acteurs engagés dans la lutte active contre le cybercrime. »

Fabrice Garnier de Labareyre, Associé Cyber Intelligence, PwC France

Quel rôle joue l’État français dans cette lutte contre le cybercrime ?

« La cybersécurité est l’affaire de tous », martèle Guillaume Poupard, président du groupement d’intérêt public ACYMA qui a mis en place le site cybermalveillance.gouv.fr. Des cliniques de proximité aux plus grands hôpitaux de France en passant par les instituts de recherche, les laboratoires d’analyses ou encore les centres de soins spécialisés, sans oublier les systèmes informatiques personnels des patients qui ont recours à la médecine connectée, nous sommes tous exposés à des cybermenaces – plus ou moins graves – dès lors que nous faisons usage d’appareils connectés.

Pour protéger les citoyens français et les organisations publiques ou privées, le gouvernement s’appuie sur un dispositif animé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ainsi que sur des services rattachés aux ministères régaliens. Le ministère de l’Intérieur dispose de ressources au sein des grandes directions générales (police, gendarmerie, sécurité intérieure) coordonnés par une délégation ministérielle en charge de la lutte contre les cybermenaces (DMISC). Le ministère des armées dispose d’un commandement cyber (COMCYBER) et le ministère des affaires étrangères d’un Ambassadeur en charge du numérique. L’ensemble des services de l’État travaille étroitement dans le cadre d’une gouvernance spécifique entre et pendant les périodes de crise.

Au-delà de l’activité de surveillance et de réaction aux menaces repérées par le gouvernement, l’État met l’accent sur la responsabilité des centres de soins victimes de cyberattaques. « Il faut faire remonter les informations, c’est le meilleur moyen de trouver une réponse adaptée », estime Thierry Delville, ancien délégué ministériel à la DMISC et désormais associé Cyber Intelligence chez PwC. Il explique : « vis-à-vis de la cybercriminalité, chaque délit signalé, c’est une enquête qui s’ouvre. Chaque enquête qui s’ouvre, c’est une opportunité de plus d’identifier et d’arrêter les cybermalfaiteurs. La lutte cyber est une lutte collective qui a souvent une dimension internationale. Les spectateurs d’hier doivent devenir les acteurs d’aujourd’hui. On ne peut plus tout attendre de l’État en terme de réponse à cet enjeu de sécurité et l’État a besoin de connaître précisément comment évolue la menace ainsi que le niveau global de la protection mis en place par les uns et les autres. Une dynamique se renforce ainsi progressivement entre les institutions, les entreprises et les citoyens eux-mêmes, c’est un travail de longue haleine qui nécessite un effort constant ». Il ajoute : « en France, pour mieux prendre la mesure de l’augmentation du nombre d’attaques, les structures de santé ont l’obligation, depuis le 1er octobre 2017, de toutes les déclarer via le portail de signalement des événements sanitaires indésirables. Le ministère des Solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’agence française de la santé numérique (ASIP Santé), a mis en place une cellule d’accompagnement opérationnelle pour les aider. »

« Ce n’est qu’à travers cette entraide et cette implication personnelle au service du collectif que la défense parviendra à reprendre le dessus sur l’attaque. »

Thierry Delville, Associé Cyber Intelligence, PwC France

« La bataille de la cybersécurité, nous la menons contre nos adversaires, certes, mais nous la menons aussi et surtout contre nous-mêmes et contre les erreurs évitables que nous commettons. »

Thierry Delville, Associé Cyber Intelligence, PwC France

Les établissements publics dans la ligne de mire des attaquants ?

Un rapport détaillé de l’ASIP Santé récemment rendu public, met en avant le fait que la grande majorité des cyberincidents (86 %) qui impacte des structures de soins est déclarée par des établissements de santé. Parmi ces délits, les trois quarts sont escaladés par des établissements publics, 15 % par des établissements privés et 10 % par des établissements de santé privés d’intérêt collectif (ESPIC). Le reste est principalement réparti entre des établissements d’hébergement pour personnes âgées dépendantes (EHPAD, 8 %), des laboratoires de biologie médicale (5 %) et des centres de radiothérapie (1 %). Dans la moitié des cas (49 %), les problèmes informatiques conduisent la structure à mettre en place un fonctionnement dégradé du système de prise en charge des patients. Sur les 11 % de cas présentant une mise en danger potentielle des patients, 3 cas ont entraîné « une mise en danger avérée des patients », précise l’ASIP Santé.

L’agence relève que près d’un incident sur deux (47 %) a une origine malveillante, avec comme principales sources des messages électroniques ou des logiciels malveillants de type cryptovirus (logiciel de type cheval de Troie) ou ransomware (logiciel rançonneur).

Thierry Delville commente : « En 2019, nous nous trouvons à un moment charnière où il faut dépasser le partage de la peine. Il n’est pas dramatique en soi de subir des cybermenaces. Mais ce qui est problématique, c’est soit de ne pas le savoir, soit de ne pas être capable de les parer. » Il ajoute : « en France, une partie trop importante de la population n’est pas au fait des dangers existants qui sont liés à l’hyperconnectivité médicale. Dans ce sens, des campagnes de sensibilisation, aussi bien en interne qu’en externe, doivent être menées dans le but de préparer les Français à mieux réagir face aux menaces. En effet, toutes les études le montrent : les principales vulnérabilités proviennent essentiellement du manque de vigilance et d’une absence de respect des règles essentielles d’hygiène en matière de sécurité par exemple être à jour non seulement des bases antivirus mais aussi des systèmes et logiciels installés sur les serveurs et postes de travail. On ne prend pas l’autoroute avec les pneus sous gonflés et des balais d’essuie-glace totalement usés… C’est la même chose lorsque l’on s’engage sur les réseaux de l’information ! La grande différence, c’est que l’on ne conduit en général pas une mais plusieurs voitures en même temps sur Internet : un smartphone, un desktop, une tablette, etc. » Il conclut : « la bataille de la cybersécurité, nous la menons contre nos adversaires, certes, mais nous la menons aussi et surtout contre nous-mêmes et contre les erreurs évitables que nous commettons. »

« un besoin d’accompagnement pour les institutions, entreprises et patients victimes de cyberattaques est indispensable. »

Thierry Delville, Associé Cyber Intelligence, PwC France

{{filterContent.facetedTitle}}

Suivez-nous !

Contactez-nous

Thierry Delville

Thierry Delville

Associé Cyber Intelligence, PwC France

Tel : +33 1 56 57 41 56

Fabrice Garnier de Labareyre

Fabrice Garnier de Labareyre

Associé Cyber Intelligence, PwC France

Tel : +33 1 56 57 58 18

Hide