Santé : un secteur technodépendant fragilisé par des hackers persévérants

La santé est l’industrie la plus touchée par les cyberattaques. Dans ce secteur où le droit à l’erreur est de zéro, élaborer une stratégie collaborative pour rendre les systèmes informatiques infaillibles est un passage obligé.

Ces derniers mois, les établissements publics et privés de santé ont été victimes de très nombreuses cyberattaques. Atteindre la santé des patients via des manipulations informatiques ne relève plus de la science-fiction. Désormais, un simple clic peut affecter les plus vulnérables. Et malheureusement, ce phénomène devrait s’accentuer dans les années à venir. Les renseignements médicaux personnels et les documents de recherche que stockent les organismes de santé dans le cloud sont des informations très recherchées par les cybercriminels. Si ces données sensibles sont autant convoitées, c’est parce que d’elles dépendent la qualité des soins et la régulation du système de santé.

Quels types d’attaque frappent ce secteur ? Quels sont les avantages et inconvénients de digitaliser toujours plus cette industrie fragile ? Quelles solutions doivent être mises en place pour protéger les patients ?

Un secteur vulnérable

Le 12 mai 2017 aura marqué les esprits des professionnels de la santé. Le virus Wannacry a frappé tous les ordinateurs du monde et a particulièrement atteint le système de santé publique britannique en bloquant plus de 70 000 appareils en un claquement de doigt. En utilisant une faille de Windows XP révélée par la fuite de documents de l’Agence national de sécurité (NSA), organisme gouvernemental responsable de la sécurité des systèmes d'information du gouvernement américain, la cyberattaque consistait à couper l’accès aux données stockées dans des serveurs informatiques jusqu’à ce qu’une rançon soit reversée. Pour Tanguy de Coatpont, directeur général de Kaspersky France, « l’attaque n’était pas vraiment sophistiquée dans son dispositif. Si elle a pris une telle ampleur, c’est parce que les entreprises mettent du temps à réagir. » Didier Michaud- Daniel, spécialiste de la certification chez Veritas, ajoute : « si tous les systèmes informatiques avaient été mis à jour, les conséquences de cette attaque auraient été extrêmement limitées. »

Des questions de fond se posent : avons-nous la capacité de protéger les données stockées dans les serveurs ? Alors que notre environnement se dématérialise, comment le protéger contre les attaques cyber ?

Selon les experts, avant de penser à comment se protéger, il faut d’abord connaître pour anticiper les menaces à venir. A ce jour, dans le secteur de la santé, trois attaques fréquentes ont été repérées.

Le 12 mai 2017 aura marqué les esprits des professionnels de la santé. Le virus Wannacry a frappé tous les ordinateurs du monde et a particulièrement atteint le système de santé publique britannique en bloquant plus de 70 000 appareils en un claquement de doigt. En utilisant une faille de Windows XP révélée par la fuite de documents de l’Agence national de sécurité (NSA), organisme gouvernemental responsable de la sécurité des systèmes d'information du gouvernement américain, la cyberattaque consistait à couper l’accès aux données stockées dans des serveurs informatiques jusqu’à ce qu’une rançon soit reversée. Pour Tanguy de Coatpont, directeur général de Kaspersky France, « l’attaque n’était pas vraiment sophistiquée dans son dispositif. Si elle a pris une telle ampleur, c’est parce que les entreprises mettent du temps à réagir. » Didier Michaud- Daniel, spécialiste de la certification chez Veritas, ajoute : « si tous les systèmes informatiques avaient été mis à jour, les conséquences de cette attaque auraient été extrêmement limitées. »

Des questions de fond se posent : avons-nous la capacité de protéger les données stockées dans les serveurs ? Alors que notre environnement se dématérialise, comment le protéger contre les attaques cyber ?

Selon les experts, avant de penser à comment se protéger, il faut d’abord connaître pour anticiper les menaces à venir. A ce jour, dans le secteur de la santé, trois attaques fréquentes ont été repérées.

Si de nombreux établissements fonctionnent encore sous un environnement informatique dépassé et obsolète, les failles dans ces systèmes sont facilement exploitables et font le bonheur des hackers. Mais pourquoi les centres de soins concernés tardent-ils à réagir ? Est-ce un problème de budget ? De logistique ? D’organisation interne ? De ressources humaines ? De ressources techniques disponibles ? Une chose est sûre : plus une structure investit dans la technologie, plus elle devra investir dans la cybersécurité. L’un ne va pas sans l’autre.

Quand l’intelligence artificielle s’en mêle

En 2018, dans certains hôpitaux, l’intelligence artificielle assiste des professionnels de santé dans leurs tâches quotidiennes : déplacement d’objets divers, exécution de manipulations simples et répétitives, envoi automatisé d’informations aux patients, aide pour les diagnostics, conseils pour le choix du bon traitement... Dans les prochaines années, l'intelligence artificielle devrait également révolutionner la recherche médicale. Plus précise, plus rapide, plus rationnelle, moins émotive, disponible tous les jours de l’année à n’importe quelle heure, elle épaule les professionnels et rassure les patients par son extrême rigueur, justesse, disponibilité, capacité à mémoriser et à utiliser à bon escient un nombre incroyable d’informations et à apprendre de nouvelles manipulations par elle-même.

Selon l’étude internationale What doctor? Why AI and robotics will define New Health de PwC, les objets intelligents ont la cote dans les centres de soins. Alors que 55 % des répondants, à l’échelle mondiale, se disent prêts à troquer leurs médecins traitants ou autres professionnels de santé contre des robots ou de l’intelligence artificielle, seulement 38 % d’entre eux réfutent entièrement cette évolution, un chiffre épatant qui vient remettre en cause la place de l’homme et l’importance de la technologie dans le futur de la médecine et de la recherche.

Accepter l’intégration de la technologie dans le parcours de soins de santé, ce n’est pas qu’une histoire de génération mais aussi de territorialité et de maturité du marché. Dans ce sens, un clivage se dessine entre pays développés et émergents. Les répondants vivant dans des pays dotés d’un système de santé bien établi et, par conséquent moins agile, acceptent l’idée de soins délivrés par la technologie (47 % pour le Royaume-Uni, 51 % pour l'Allemagne et jusqu'à 60 % pour les Pays-Bas), mais dans une moindre mesure que ceux vivant dans les marchés émergents, où le système de santé connaît encore d’importants manquements (95 % au Nigéria, 89 % en Turquie et 84 % en Afrique du Sud).

« L’intelligence artificielle et la robotique sont l’avenir des soins de santé. »

Loïc Le Claire, associé responsable du secteur Industries de santé, PwC France

Loïc Le Claire, associé responsable du secteur Industries de santé chez PwC, commente : « qu’on le veuille ou non, l’intelligence artificielle et la robotique sont l’avenir des soins de santé. L’ambition ultime est l’accès à des soins de qualité à des tarifs abordables permettant ainsi de garantir une meilleure santé pour tous. Intégrer harmonieusement l’intelligence artificielle et la robotique aux systèmes existants, puis créer de nouveaux modèles de soins basés sur ces technologies, peut entraîner des avantages économiques et sociaux considérables. »

Il est vrai que l’intelligence artificielle présente de nombreux avantages pour faire évoluer le secteur mais la protéger doit être la première priorité pour les centres de soins. Créer un bijou technologique ne pouvant pas être utilisé ne sert à rien.

En 2016, des chercheurs de l’université de Washington ont montré au grand public les conséquences possibles que nous pourrions subir si jamais nous perdions la main sur les objets intelligents. Ils ont piraté à distance un robot qui guidait les gestes d’un chirurgien et sont parvenus à prendre le contrôle total de la machine. Les chercheurs déplorent : « un simple cryptage des communications entre la commande de contrôle et les bras du robot permettrait de contrer ce type de cyberattaques. »

Le constat inquiète, l’histoire se répète : les experts constatent les dégâts après coup – mais ce qui est fait est fait – et indiquent que des solutions technologiques existent pour éviter ces problèmes mais celles-ci n’ont pas été mises en place. La cybersécurité serait-elle la discipline sécuritaire la moins prise au sérieux ? Pour Philippe Trouchaud, associé Cyber Intelligence chez PwC, « si la sécurité informatique est aujourd'hui aussi faible, c'est parce qu'elle n'a pas été assez prise au sérieux par le passé. »

L'intelligence artificielle mieux accueillie dans les systèmes de santé des pays émergents
L'intelligence artificielle davantage plébiscitée par les générations connectées

Selon un récent sondage de Sophos, l’une des sociétés de logiciels et d'appliances de sécurité les plus importantes dans le monde, malgré l’espoir de voir les entreprises – tous secteurs confondus – prendre la cybersécurité plus au sérieux face à l’explosion actuelle d’applications malveillantes, seule une minorité semble encline à le faire. Aujourd’hui, 20 % des entreprises n’ont toujours pas de solution de reprise après sinistre. Ainsi, lorsqu’une attaque malveillante se produit, un cinquième des entreprises ne possède aucune méthode ni aucun plan leur permettant de récupérer leurs données, applications, infos clients, serveurs ou systèmes. Cette même étude avance une autre observation préoccupante : 42 % des entreprises dotées d’une stratégie de reprise après sinistre utilisent des méthodes obsolètes de sauvegarde sur bande. Avec des rançongiciels en pleine évolution, les stratégies de reprise après sinistre d’hier ne fonctionnent plus. Une fois que les données ont disparu, l’entreprise ne peut plus les récupérer. A moins, bien entendu, de payer les cybercriminels.

Le nécessaire avènement d’une cybersécurité collaborative

Pour ne pas laisser les cyberdélinquants remporter la lutte du cybercrime, s’éparpiller est un concept à bannir. Bien au contraire, l’union fait la force. L’approche retenue face à la cybercriminalité est pour l’instant relativement peu collaborative, chaque centre de soins menant des actions à son échelle. Pour Philipe Trouchaud, « la lutte contre les délits cyber doit être collective. L’émergence d’un WhiteNet, c’est-à-dire un réseau de coopération sur le sujet, pourrait, sous la coordination des tiers de confiance, constituer un solide réseau d’échanges et d’innovation en réunissant de nombreux acteurs publics et privés. » Julian King, commissaire européen pour l'union de la sécurité, ajoute : « nous devons absolument travailler ensemble pour accroître notre résilience, stimuler l'innovation technologique, renforcer la dissuasion en améliorant la traçabilité et la responsabilisation. »

La dynamique à enclencher est claire : partager et se nourrir du savoir-faire des autres entreprises ou centres de soins – tout en respectant la législation en vigueur concernant le partage d’informations sensibles – pour constituer ensemble un secteur de la santé, et plus largement une société, sûrs. Pour que cela fonctionne, tout le monde doit jouer le jeu, un compromis difficile à accepter pour certaines structures qui se montrent réticentes à l’idée de mettre en place des stratégies communes avec leurs principaux concurrents.

Cyberrésilience : un enjeu majeur pour les organisations

La cyberrésilience vise à gérer la sécurité en adoptant une approche globale impliquant à la fois les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et d’optimisation des risques. Elle se positionne comme le meilleur garant du capital informationnel des entreprises, organisations et individus.

Dans le secteur de la santé, la cyberrésilience doit s’appuyer sur cinq piliers clés :

Elaborer une stratégie de cybersécurité fondée sur une bonne connaissance des risques :

Pour élaborer une stratégie de gestion des risques touchant la cybersécurité, avoir une bonne connaissance des menaces auxquelles un organisme fait face est de mise. Il faut évaluer les menaces visant les actifs numériques de l’installation et déterminer les failles possibles dans la cybersécurité. Il est important que les organismes de santé établissent clairement leurs priorités en matière de cybersécurité et qu’ils déterminent les ressources dont ils auront besoin pour appuyer une transformation significative. Durant ce processus, il peut être judicieux de faire appel aux services d’experts.

View more

Faire une surveillance active des systèmes

Lorsque des pirates informatiques s’introduisent dans le système d’un organisme, il est important d’être en mesure de détecter leurs mouvements et d’y réagir rapidement. Or, un grand nombre d’organismes de santé ne possèdent pas de système de surveillance interne adéquat. Les organismes devraient élaborer divers scénarios et revoir leurs procédures internes pour déterminer les alertes qui seront générées et les procédures qui seront suivies à la suite de telles alertes. Ces procédures pourront ensuite servir de guide durant une éventuelle atteinte à la sécurité. Ceux qui travailleront avec un tiers fournisseur voudront établir clairement quelles seront les données échangées avec ce dernier et gérer les risques à cet égard au moyen d’obligations contractuelles. Une bonne surveillance peut s’avérer être un moyen efficace de prévenir les dommages causés par une intrusion. 

View more

Sensibiliser le personnel à la cybersécurité

Les organismes de santé sont vulnérables aux attaques par hameçonnage ciblées. Lors de notre examen, plusieurs employés nous ont fourni leurs données d’identification par courriel, ce qui nous a permis d’accéder à leur réseau interne. Les organismes sont également exposés aux risques d’intrusion physique, c’est-à-dire lorsque des pirates informatiques s’introduisent sur les lieux de travail et branchent des appareils non autorisés pour obtenir un accès à distance aux systèmes internes. La sensibilisation à la sécurité est essentielle pour éviter que les employés ne succombent à des attaques sophistiquées ou ne laissent entrer des personnes non autorisées dans des endroits vulnérables. Il faut consacrer du temps et des ressources à la sensibilisation et à la formation des employés ainsi qu’à la surveillance de leurs activités. Les organismes devraient procéder régulièrement à de fausses attaques par hameçonnage et offrir ensuite la formation appropriée.

View more

Déceler les vulnérabilités et améliorer la sécurité

Il faut déceler les vulnérabilités et les problèmes de configuration avant que les pirates ne puissent les exploiter. Tout d’abord, les organismes de santé devraient procéder régulièrement à des évaluations de la vulnérabilité, en plus de s’assurer que leurs systèmes sont aussi efficaces que possible. Par la suite, des tests d’intrusion aideront les installations à détecter une grande partie des failles dans leur environnement pouvant faire en sorte que les informations sensibles soient vulnérables. Un test d’intrusion aide à déterminer si un organisme a une réaction adéquate à l’égard des vulnérabilités et des problèmes de configuration. Il est donc important de réaliser une évaluation de la vulnérabilité avant d’entreprendre un test d’intrusion.

View more

Obtenir l’appui des directions

Les cadres supérieurs doivent assumer la responsabilité de mettre en place des mesures de cyberrésilience et être le moteur d’une culture de gestion des risques de cybersécurité à tous les échelons. Dans tous les secteurs, 44 % des répondants à l’enquête Global State of Information Security 2018 de PwC ont indiqué que leur conseil d’administration s’affairait à établir les stratégies de leur entreprise en matière de sécurité. Il est important d’établir une stratégie en cascade pour gérer les risques touchant la cybersécurité et la protection des renseignements personnels au sein de tous les organismes de santé. Plusieurs parties sont touchées, et il est important que le conseil d’administration établisse le mandat, que la direction habilite ses équipes et que les équipes fassent un travail efficace. Les organismes les mieux sécurisés sont bien placés pour réussir lorsqu’ils peuvent compter sur une bonne gestion et sur un mandat adéquat établi par le conseil d’administration à l’égard de la cybersécurité.

View more

La lutte contre le cybercrime dans le secteur de la santé est loin d’être terminée. Au jeu du chat et de la souris, celui qui fait partie du camp le plus rapide, le mieux organisé, le plus sophistiqué et le plus ingénieux gagne. Une somme de batailles sera à livrer, cela ne laisse aucun doute, mais cette lutte ne peut en aucun cas être remportée par les attaquants.

L'info en continu

Recevez notre newsletter Décryptages

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.loadMoreLabel}} {{contentList.viewAllLabel}}

Découvrez notre offre

Cybersécurité

Contactez-nous

Jean-David Benassouli

Associé responsable de l’activité Data Analytics et Intelligence Artificielle, PwC France

Tel : +33 1 56 57 72 49

Email

Cédric Mazille

Associé responsable du secteur industries de santé, PwC France

Tel : +33 1 56 57 74 25

Email

Philippe Trouchaud

Associé Cybersécurité, PwC France

Tel : +33 1 56 57 82 48

Email
Suivez-nous !
Hide
Vos enjeux
Votre secteur
Nos expertises
Où nous trouver ?
Qui sommes-nous ?

© 2012 - 2020 PwC. PricewaterhouseCoopers France et Maghreb. Tous droits réservés "PwC" fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour plus d'information, rendez-vous sur le site www.pwc.com/structure