{"id":13764,"date":"2020-02-20T11:04:16","date_gmt":"2020-02-20T11:04:16","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=13764"},"modified":"2020-02-20T11:05:20","modified_gmt":"2020-02-20T11:05:20","slug":"cyber-resilience-sante","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cyber-resilience-sante\/13764\/","title":{"rendered":"Cybers\u00e9curit\u00e9 : Accompagner un syst\u00e8me de sant\u00e9 en pleine mutation"},"content":{"rendered":"

Partenaire depuis 2 ans du Think Tank \u00ab\u00a0Renaissance Num\u00e9rique<\/a>\u00ab\u00a0, les \u00e9quipes de Kaspersky participent r\u00e9guli\u00e8rement \u00e0 des \u00e9v\u00e9nements et des sessions de r\u00e9flexions sur les sujets num\u00e9riques et en particulier cyber. L\u2019ann\u00e9e derni\u00e8re, notre contribution s\u2019est notamment port\u00e9e sur la cyber-r\u00e9silience dans le secteur de la sant\u00e9.<\/p>\n

Depuis quelques ann\u00e9es, les h\u00f4pitaux, et plus g\u00e9n\u00e9ralement les organismes de soins, sont les cibles privil\u00e9gi\u00e9es des attaques informatiques. Parmi les derni\u00e8res en date, on peut citer le ransomware Clop ayant cibl\u00e9 le CHU de Rouen<\/a>, qui a d\u00e9bouch\u00e9 sur une paralysie totale des syst\u00e8mes informatiques, impactant directement les d\u00e9lais de prise en charge des patients, ou encore le CHU de Montpellier<\/a>, victime d\u2019une attaque par phishing (ou hame\u00e7onnage) : 649 ordinateurs infect\u00e9s, plus de 800 consultations fortement perturb\u00e9es, et impossibilit\u00e9 de traiter les urgences du SAMU pendant une demi-journ\u00e9e. Les attaques sont de plus en plus importantes, sophistiqu\u00e9es et cibl\u00e9es. Selon Guillaume Poupard, Directeur g\u00e9n\u00e9ral de l\u2019Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (ANSSI), leur nombre serait pass\u00e9 d\u2019une tous les mois ou tous les deux mois, \u00e0 une par semaine en un an seulement.<\/p>\n\n

\u00a0<\/p>\n

Les donn\u00e9es personnelles des patients, aussi bien que les logiciels m\u00e9tiers qui permettent de g\u00e9rer les admissions, les dossiers, les plannings, sont des \u00e9l\u00e9ments sensibles et \u00e7a, les cybercriminels l\u2019ont bien compris. De plus, les sp\u00e9cificit\u00e9s de notre syst\u00e8me de sant\u00e9 actuelle ont tendance \u00e0 accro\u00eetre le risque\u00a0: une grande interconnexion, des architectures informatiques parfois tr\u00e8s h\u00e9t\u00e9rog\u00e8nes \u2013 nombre d\u2019\u00e9tablissements sont encore peu matures sur les enjeux de cybers\u00e9curit\u00e9 \u2013 ainsi que le caract\u00e8re hautement sensible des donn\u00e9es de sant\u00e9.<\/p>\n

Table ronde \u00ab\u00a0Cybers\u00e9curit\u00e9 : vers un syst\u00e8me de sant\u00e9 r\u00e9silient ?\u00a0\u00bb<\/a><\/strong><\/p>\n

C\u2019est pourquoi en octobre dernier, Kaspersky France et le think-tank Renaissance Num\u00e9rique ont d\u00e9cid\u00e9 de s\u2019int\u00e9resser aux enjeux de cybers\u00e9curit\u00e9 dans le syst\u00e8me de sant\u00e9 et d\u2019interroger les capacit\u00e9s de r\u00e9silience de ce secteur en profonde transformation num\u00e9rique.<\/p>\n

Car \u00e0 la diff\u00e9rence des secteurs bancaires par exemple, une cyberattaque massive qui ciblerait un \u00e9tablissement de soins, pourrait avoir un impact direct sur des vies humaines, et les mettre en p\u00e9ril.<\/p>\n

La cha\u00eene de soins se caract\u00e9rise par une tr\u00e8s grande h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 de structures (centres hospitaliers, m\u00e9decins de ville, laboratoires, cabinets d\u2019infirmiers, prestataires logistiques, techniques, etc.) et de m\u00e9tiers (deux cents m\u00e9tiers diff\u00e9rents, soit plus de deux millions de professionnels) qui ne disposent pas tous de la m\u00eame maturit\u00e9 num\u00e9rique. Ces in\u00e9galit\u00e9s sont entre autres susceptibles d\u2019\u00eatre renforc\u00e9es par la situation g\u00e9ographique, la taille et les capacit\u00e9s financi\u00e8res propres \u00e0 chaque acteur.<\/p>\n

A cela vient s\u2019ajouter un manque de financement cons\u00e9quent qui permettrait de faire face au d\u00e9fi qu\u2019impose le num\u00e9rique, de mani\u00e8re beaucoup plus homog\u00e8ne. Ce manque de moyens peut amener \u00e0 des pratiques, ou \u00e0 des processus \u00e0 risques, comme l\u2019explique Tanguy de Coatpont, Directeur G\u00e9n\u00e9ral de Kaspersky France\u00a0: \u00ab\u00a0l\u2019essor de l\u2019informatique dans les \u00e9tablissements de sant\u00e9 a conduit les praticiens \u00e0 imposer leurs habitudes et appareils num\u00e9riques personnels \u00e0 leur Direction des Services d\u2019Information. La pratique du \u00ab\u00a0bring your own device\u00a0\u00bb (BYOD) \u00e9tait m\u00eame parfois pl\u00e9biscit\u00e9e par les responsables eux-m\u00eames car moins co\u00fbteuse que la mise \u00e0 jour du parc complet des \u00e9quipements.\u00a0\u00bb<\/em><\/p>\n

Outre ces difficult\u00e9s structurelles, les acteurs de la sant\u00e9 doivent se conformer \u00e0 un cadre r\u00e9glementaire particuli\u00e8rement fourni en mati\u00e8re de cybers\u00e9curit\u00e9, cadre qui s\u2019est renforc\u00e9 au cours des quatre derni\u00e8res ann\u00e9es.<\/p>\n

Des r\u00e8gles \u00e9l\u00e9mentaires d\u2019hygi\u00e8ne num\u00e9rique<\/strong><\/h3>\n

Pour autant, il est un aspect qui peut se retrouver dans tous les secteurs, pour anticiper et r\u00e9ussir \u00e0 faire face aux probl\u00e8mes de cybers\u00e9curit\u00e9 : la formation et la sensibilisation. Les soignants, conform\u00e9s aux r\u00e8gles d\u2019hygi\u00e8ne dans leur pratique quotidienne, doivent d\u00e9sormais \u00e9tendre leur vigilance aux \u00ab\u00a0r\u00e8gles \u00e9l\u00e9mentaires d\u2019hygi\u00e8ne num\u00e9rique\u00a0\u00bb. L\u2019id\u00e9e \u00e9tant qu\u2019ils deviennent les premiers remparts aux probl\u00e8mes de s\u00e9curit\u00e9, comme nous l\u2019explique Bertrand Trastour, directeur des ventes chez Kaspersky France : \u00ab\u00a0Je ne suis pas d\u2019accord avec l\u2019id\u00e9e re\u00e7ue selon laquelle l\u2019utilisateur est syst\u00e9matiquement le maillon faible en mati\u00e8re de s\u00e9curit\u00e9 informatique car il est potentiellement le maillon le plus fort, mais \u00e0 condition qu\u2019il soit \u00e9duqu\u00e9, qu\u2019on l\u2019ait amen\u00e9 \u00e0 prendre conscience des cons\u00e9quences de ses actes. C\u2019est cela la cybers\u00e9curit\u00e9, ce n\u2019est pas uniquement empiler des couches de solutions informatiques, c\u2019est avant tout travailler sur l\u2019humain.\u00a0\u00bb\u00a0 <\/em><\/p>\n

Les enjeux de cybers\u00e9curit\u00e9 rev\u00eatent une dimension particuli\u00e8re quand on l\u2019applique au secteur de la sant\u00e9. Face \u00e0 une menace grandissante et un cadre r\u00e9glementaire qui s\u2019est largement \u00e9toff\u00e9 ces derni\u00e8res ann\u00e9es, les \u00e9tablissements de soins sont contraints \u00e0 r\u00e9inventer leur rapport aux donn\u00e9es et \u00e0 revoir les mod\u00e8les de partage avec leurs prestataires mais \u00e9galement les patients.<\/p>\n

TROIS RECOMMANDATIONS POUR UN SYST\u00c8ME DE SANT\u00c9 R\u00c9SILIENT <\/strong><\/h2>\n

1. Sensibiliser tous les acteurs du parcours de soins aux enjeux de cybers\u00e9curit\u00e9<\/strong><\/p>\n

Ces efforts de sensibilisation doivent \u00eatre r\u00e9alis\u00e9s d\u00e8s la formation initiale des professionnels de sant\u00e9, puis tout au long de leur carri\u00e8re professionnelle. Ils doivent \u00e9galement int\u00e9grer les autres acteurs de la cha\u00eene, jusqu\u2019aux prestataires et aux patients. Cette d\u00e9marche de sensibilisation doit \u00eatre aliment\u00e9e dans la dur\u00e9e, afin de s\u2019adapter \u00e0 des risques mouvants.<\/p>\n

2. S\u00e9curiser l\u2019ensemble de la cha\u00eene de sant\u00e9 en consolidant les relations contractuelles entre \u00e9tablissements de soins et prestataires<\/strong><\/p>\n

Cela peut passer, entre autres, par l\u2019\u00e9laboration ou le renforcement des clauses relatives aux audits des processus internes mis en place par les prestataires qui manipulent des donn\u00e9es de sant\u00e9 (ex. : pr\u00e9voir la fr\u00e9quence de ces audits, une grille des \u00e9l\u00e9ments \u00e0 v\u00e9rifier, les d\u00e9tails relatifs \u00e0 la prise en charge des frais associ\u00e9s, etc.).<\/p>\n

3. Miser sur des \u00e9tablissements de soins \u00ab\u00a0chefs de file\u00a0\u00bb pour diffuser les bonnes pratiques en mati\u00e8re d\u2019hygi\u00e8ne num\u00e9rique au sein des territoires<\/strong><\/p>\n

Par exemple, un CHU particuli\u00e8rement en pointe sur les m\u00e9thodes de gestion de crise pourrait participer de l\u2019accompagnement d\u2019autres \u00e9tablissements moins bien dot\u00e9s avec lesquels il collabore sur un m\u00eame territoire. Le nouvel \u00e9chelon qu\u2019est la CPTS pourrait \u00e9galement \u00eatre un lieu d\u2019\u00e9changes afin de sensibiliser les acteurs du parcours de soins aux enjeux de cybers\u00e9curit\u00e9 et effectuer des exercices de gestion de crise inter acteurs.<\/p>\n

T\u00e9l\u00e9chargez la note compl\u00e8te de Renaissance Num\u00e9rique avec Kaspersky France.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Partenaire depuis 2 ans du Think Tank \u00abRenaissance Num\u00e9rique\u00bb, les \u00e9quipes de Kaspersky participent r\u00e9guli\u00e8rement \u00e0 des \u00e9v\u00e9nements et des sessions de r\u00e9flexions sur les sujets num\u00e9riques et en particulier cyber. L\u2019ann\u00e9e derni\u00e8re, notre contribution s\u2019est notamment port\u00e9e sur la cyber-r\u00e9silience dans le secteur de la sant\u00e9.<\/p>\n","protected":false},"author":235,"featured_media":13765,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1148],"tags":[3828,202,1392,1674,89,353,3827,523],"class_list":{"0":"post-13764","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-special-projects","8":"tag-cyber-resilience","9":"tag-cybersecurite","10":"tag-hopital","11":"tag-hopitaux","12":"tag-phishing","13":"tag-ransomware","14":"tag-renaissance-numerique","15":"tag-sante"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cyber-resilience-sante\/13764\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/hopitaux\/","name":"h\u00f4pitaux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/13764","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/235"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=13764"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/13764\/revisions"}],"predecessor-version":[{"id":13767,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/13764\/revisions\/13767"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/13765"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=13764"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=13764"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=13764"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}