Cybersécurité : A quoi doit s’attendre le secteur de la santé en 2024
D’ici quelques mois 2023 touchera à sa fin. Cette année, les établissements de santé sont restés l’une des cibles privilégiées des hackers. Des brèches majeures ont impacté plusieurs d’entre eux : l’AP-HP, le CHU de Rennes, les hôpitaux de Vittel et Neufchâteau, pour ne citer qu’eux. Afin de mieux protéger leur organisation face à l’évolution constante des menaces, les professionnels IT et sécurité des établissements de soins doivent absolument tirer les leçons des attaques subies. Voici les cinq prédictions d’Armis pour la cybersécurité du secteur de la santé en 2024.
1_ La sophistication des méthodes employées par les hackers va augmenter. Les cyberattaques seront plus fréquentes et les attaques encore plus complexes.
Les attaques de ransomware n'ont pas complètement abandonné l'approche de type « spray and pray » exploitée via l’hameçonnage. Toutefois, parallèlement les hackers continuent à s'implanter dans les environnements de manière plus ciblée et plus complexe. Les ransomwares en tant que service (RaaS) et les ransomwares « plus simples » vont continuer à cibler le secteur de la santé. Nous allons également assister à l’augmentation de ransomwares beaucoup plus complexes et à d'autres types de cyberattaques, ciblant en particulier les plus grands établissements de santé.
Chez les prestataires de soins, l'IA générative est également au cœur des préoccupations des professionnels IT et sécurité. Certains mettent en place des comités chargés d'examiner les capacités de l'IA à des fins offensives et défensives, mais aussi en vue de traitements médicaux. À mesure que le secteur de la santé exploite l'IA générative pour créer et intégrer des piles de solutions, ses adversaires en font autant. Tout ce qui est à la disposition des professionnels IT et sécurité est également à la disposition des hackers. Le ransomware est d’ailleurs un excellent exemple de ce qui peut se produire lorsqu'une capacité de sécurité - en l'occurrence le cryptage - est inversée et transformée en arme offensive. La technologie qui sert à empêcher les ‘méchants’ d'entrer est utilisée ici pour empêcher les ‘gentils’ d'accéder à leurs fichiers. L'IA va faire progresser la qualité des soins, mais nous allons également constater son exploitation croissante pour des attaques plus fréquentes et plus sophistiquées. Afin de faire face à l'évolution constante de cette menace, au cours de 2024, les professionnels de la sécurité et de l'IA devront accélérer leur utilisation de l'IA, de sa gouvernance et de sa sécurité.
2_ Étant donné l'importance accrue accordée à la sécurité des dispositifs médicaux, les réglementations, à l'échelle mondiale, vont être de plus en plus nombreuses.
La Food and Drug Administration (FDA) aux États-Unis a déjà imposé différentes obligations, dont la toute récente politique du « refus d'accepter » ou RTA (pour Refuse-To-Accept). Le National Health Service (NHS) du Royaume-Uni a mis en place un Data Security and Protection Toolkit (DSPT). D'autres pays d'Europe mettent également au point des directives de ce type. Nous pouvons également nous attendre à un regain d'intérêt pour les nomenclatures logicielles (SBOM), l’objectif ici étant de fournir une compréhension claire des éléments logiciels utilisés pour construire différents actifs. Au fur et à mesure de l’élaboration de réglementations plus axées sur les infrastructures critiques et sur la cybersécurité, de nouveaux développements liés à la sécurité des dispositifs médicaux vont continuer à voir le jour.
Bien qu'il reste beaucoup de travail et que l'exécution doive être revue et ajustée, ces réglementations constituent malgré tout un grand pas en avant. Essentiellement parce qu’elles exigent l’intégration de la cybersécurité dans les produits, et des évaluations régulières de la part des organisations quant à la posture de cybersécurité de leurs dispositifs médicaux. Comme pour toutes les nouvelles réglementations, cette évolution ne se fait pas sans douleur, mais ce sont des douleurs nécessaires. Après tout, ce n’est que dans l’exécution qu'un plan peut démontrer son efficacité. Dans le cas présent, il s'agit d'un plan essentiel qui fait progresser l'ensemble du secteur.
3_ En 2024, les prestataires de soins de santé vont continuer à moderniser leurs stratégies de sécurité en priorisant la segmentation et la défense en profondeur.
La segmentation restera l'une des principales méthodes utilisées pour renforcer la cybersécurité du secteur de la santé. En 2024, les professionnels IT et sécurité de ce secteur vont commencer, s'ils ne l'ont pas déjà fait, par segmenter leur réseau. Il s'agit d'un projet massif et complexe qui peut s'étendre sur plusieurs années. Pilier d'une stratégie proactive de réduction des risques, la segmentation sera l’approche la plus efficace pour réduire les risques dans les environnements de soins. L’essentiel pour ce type de projets repose sur une planification adéquate et sur la compréhension des complexités associées. Un projet de segmentation peut s'apparenter à un parcours intégrant de multiples phases : découverte/inventaire, cartographie des comportements et des communications, création de politiques, priorisation, tests/pilotes, mise en œuvre et automatisation. Afin de réduire dès le départ les risques au maximum, les établissements de soins vont commencer par identifier les dispositifs vulnérables et critiques, en particulier ceux en contact avec les patients, et prioriser leur segmentation. Ils vont ainsi obtenir un retour sur investissement beaucoup plus rapide par comparaison avec la méthode traditionnelle consistant à élaborer des listes de segments par fabricant ou par type.
Des capacités de défense en profondeur vont aussi commencer à apparaître pour les dispositifs médicaux les plus récents. Cette approche inclura une documentation et des comportements de sécurité plus clairement définis, des capacités de sécurité intégrées et la prise en charge de logiciels et de solutions de sécurité. Elle inclura aussi le retrait de systèmes anciens au profit d'appareils plus récents et plus sûrs. La segmentation sera donc complétée par d'autres capacités de sécurité, désormais prises en charge par les dispositifs médicaux les plus récents. Ces capacités additionnelles incluent notamment des correctifs plus fréquents et de plus nombreuses mises à jour logicielles.
4_ En matière de sécurité, les fabricants de dispositifs médicaux vont développer des partenariats, avec des offres complémentaires.
Il n’est pas encore possible de déterminer l'efficacité de ces mesures. Mais que ce soit par le biais de services professionnels, de capacités techniques ou de nouveaux dispositifs, il est clair que les fabricants d’appareils médicaux commencent à se concentrer sur des initiatives de cybersécurité pour leurs nouveaux appareils. Au cours de l'année à venir, pour tout avis de sécurité relatif aux appareils médicaux, les prestataires assurant des services de gestion pour ces dispositifs mettront sans doute davantage l'accent sur la fourniture de services de remédiation. Pour développer leurs opérations internes, les établissements de soins s'appuieront davantage sur des fournisseurs de services de sécurité managés (MSSP) et sur les services de partenaires ou d’autres prestataires. Cette approche leur permettra d’alléger les tâches, de réduire plus rapidement les risques et de partager les informations et les meilleures pratiques en vue d’une efficacité maximale.
5_ La pénurie de compétences en cybersécurité va s'aggraver.
L'IA est de plus en plus intégrée aux piles technologiques. Les fournisseurs de cybersécurité notamment cherchent à exploiter son pouvoir d'innovation. Cette intégration devrait permettre de rationaliser les tâches. Mais les organisations, en particulier les petits établissements de soins, qui disposent de moins de ressources, souffriront encore énormément de la pénurie de compétences et d'expérience en cybersécurité. Cette pénurie touche non seulement des domaines techniques spécifiques, mais aussi la capacité à mettre en œuvre un programme de cybersécurité et à le faire évoluer de façon systématique. Pour combler ces lacunes, il est essentiel que les établissements de soins fassent appel à des partenaires spécialisés, capables d’assurer la prise en charge de leur programme de sécurité. Il apparaît désormais fondamental de s’appuyer sur des frameworks de sécurité afin d’élaborer une approche systématique visant à améliorer la posture de sécurité de l’organisation grâce à des efforts priorisés. La clé ici, afin d'orienter les priorités et les efforts pour l'année à venir, consiste véritablement à ancrer le programme de sécurité sur un framework. Il peut s'agir par exemple du Cyber Security Framework du NIST, assorti de revues et d'analyses de lacunes régulières.
Les professionnels IT et sécurité doivent se souvenir qu'ils ne sont pas seuls à lutter contre les acteurs malveillants qui ciblent leur organisation. Pour en savoir plus sur la manière dont Armis peut les aider, cliquez ici.