Sécurité et efficacité opérationnelle des équipements de santé connectés - ARMIS
Ces derniers mois ont montré le dénuement de nos installations informatiques en matière de sécurisation des actifs connectés dans les établissements de santé. Les attaques des Hôpitaux de Rouen, de Paris et maintenant celle du GHT Cœur Grand Est auraient-elles pu être évitées ? Jean-Michel Tavernier, Country manager France du groupe Armis, unique société de cybersécurité à fournir une visibilité et une intelligence unifiées de tous les actifs connectés (IoT, IoMT, IIOT, etc.), propose une réflexion sur l’urgence d’une protection de nos hôpitaux (privés et publics).
FAIRE DES EXIGENCES RÉGLEMENTAIRES UNE STRATÉGIE DE SÉCURITÉ
Une nécessaire sécurisation des dispositifs médicaux connectés (IoMT). C’est l’analyse que nous devrions mener, suite aux attaques informatiques menées contre les établissements de santé de l’Hexagone. La dernière en date : celle des CH de Vitry-le-François et Saint-Dizier (établissements faisant partie du GHT Cœur Grand Est) survenue le 19 avril. Le GHT Cœur Grand Est se veut rassurant : « Les applications et logiciels utilisés en interne au quotidien n’ont pas été touchés par l’attaque et demeurent opérationnels. Le dossier patient informatisé est totalement fonctionnel. Les usagers continuent d’être pris en charge avec le même niveau de qualité et de sécurité dans tous nos hôpitaux. »1
Cependant, quelle que soit la gravité de l’attaque, les appareils et équipements de soins critiques connectés restent essentiels à la garantie de la sécurité des patients et à une qualité de soins optimale. Ceci pour dire que la nécessaire sécurisation des établissements de santé va au-delà des dispositifs médicaux. Elle doit aussi inclure tous les éléments de l'infrastructure technologique et les systèmes chargés de protéger le parcours des patients. Les réglementations et les normes technologiques sont donc très importantes.
Les hôpitaux et tous autres organismes dont le fonctionnement est estimé vital pour la bonne marche du pays, doivent veiller à gérer des difficultés comme les critères de certification, les calendriers de mise en conformité, les amendes pour non-conformité, chevauchement des réglementations… Les hôpitaux doivent, par exemple, respecter les règles de protection des données édictées par l'Autorité française de protection des données et par le R.G.P.D. de l'U.E. ou encore de type HIPAA et HITECH aux États-Unis. Ces règles ne doivent pas être perçues comme des contraintes ! Au contraire, nous y voyons une feuille de route permettant aux prestataires de santé de concevoir des stratégies de sécurité.
Qu’observons-nous aujourd’hui ? La sécurité des dispositifs médicaux est de plus en plus souvent gérée par l'IT. C’est pourquoi, les établissements doivent s'informer sur les implications opérationnelles de la mise en place des mesures de cybersécurité, qui ne doivent pas impacter les soins et la sécurité des patients. Il s’agirait donc de trouver un équilibre entre le temps nécessaire pour effectuer la maintenance des machines et la continuité des soins. Il est donc essentiel de garantir la visibilité de l'ensemble de l'écosystème des dispositifs de soins pour déployer la stratégie de sécurité des équipements médicaux. Cette approche fournirait aux équipes de sécurité une image complète de leur surface d'attaque, tout en analysant l'impact des menaces sur les activités médicales…
QUELLE STRATÉGIE DE SÉCURITÉ IoMT ?
Gestion des risques : La gestion des risques dans un établissement de santé a deux facettes. D'un côté, elle repose sur la mise en conformité qui gouverne la stratégie de sécurité des informations. De l'autre, elle cible les résultats cliniques et la sécurité des patients.
Nous le voyons dans les données de recherche NHS (National Health Service ou système de santé publique au Royaume-Uni). Pour le NHS, la gestion des risques s'articule autour de la maintenance des logiciels des équipements médicaux, avec segmentation et déploiement de contrôles de sécurité. Cependant, pratiquement tous les établissements interrogés ont un niveau différent de conformité aux réglementations, qui détermine l'adoption des technologies de sécurité.
Comme le secteur de la santé est fortement réglementé, il faut standardiser les risques avant d'utiliser des jeux de données de menace pour la gestion d'urgence et la planification de la continuité des opérations. Cela permet de contextualiser les risques pour les différentes zones de traitement, de mettre en place une bonne hygiène IT et une bonne gestion des privilèges, et de fournir un contexte de workflow pour plusieurs départements.
Chevauchement des réglementations : Le chevauchement des exigences réglementaires permet aux établissements d'investir dans différents éléments de leur stratégie de sécurité et de les prioriser, d'améliorer leur réponse aux incidents et de répartir les coûts de leur stratégie. En donnant la priorité à plusieurs normes, les prestataires de santé peuvent également améliorer leur architecture technologique, optimiser leur gestion des vulnérabilités et exploiter les données opérationnelles pour satisfaire aux exigences réglementaires.
Données en temps réel : Les équipements assurant directement des soins aux patients, les dispositifs d'aide aux soins auxiliaires, les technologies d'exploitation critiques et les systèmes de contrôle jouent tous un rôle essentiel pour sécuriser le parcours des patients. Pourtant, un grand nombre d’établissements n’exécute aucune analyse en temps réel des vulnérabilités, du comportement et des workflows opérationnels de ces équipements et systèmes. Ces éléments vont devenir particulièrement importants, au fur et à mesure que les prestataires de santé vont passer des approches et plateformes traditionnelles à une surveillance plus continue de leurs systèmes et réseaux. Certains établissements de santé, pour les moins démunis, utilisent souvent des équipements de surveillance qui ont plusieurs dizaines d'années avec les nouvelles modalités d'imagerie. Il est donc vital de s'assurer que la gestion des vulnérabilités n'est pas simplement l'un des outils de sécurité mais une composante essentielle de la continuité des opérations. Et, s’il faut le redire, la visibilité en matière de cybersécurité est essentielle, comme le montre notre Livre Blanc « Security & Operational Efficiency - It Begins with Visibility » (Sécurité et efficacité opérationnelle : cela commence par une bonne visibilité).
Exploitation des données d’'utilisation : Le contexte d'utilisation est essentiel pour orienter la récupération après un incident et la réponse en cas de problème de sécurité. Il est indispensable pour surveiller les workflows cliniques, analyser l'utilisation des appareils, booster l'efficacité des procédures cliniques et garantir l'intégrité des données cliniques. Les établissements doivent concentrer leurs efforts sur les rapports en temps réel et l'intégration des opérations IT.
Combiner connaissances CVE* et données de rappel de sécurité : Ceci aide les équipes de soins de santé à déployer en toute sécurité de nouvelles technologies et des systèmes connectés. Dans ce contexte, nous observons que des dispositifs traditionnellement non considérés comme « intelligents » se connectent à d'autres biens et réseaux, ce qui les rend vulnérables aux cyberattaques. Le firmware de ces périphériques, surtout les nouveaux biens comme les machines IoT, est aussi sensible aux vulnérabilités, alors qu'il est généralement impossible d'y installer un logiciel de sécurité. Résultat : des problèmes affectant les équipements dotés d'un firmware, comme les implants ou les pacemakers, pourraient conduire à une attaque de ces systèmes cible connectés, et affecter les workflows de réponse et de récupération.
La protection et la visibilité des actifs connectés dans les établissements de santé est indispensable. C’est pourquoi, la plateforme d’Armis est spécialement conçue pour répondre aux exigences de sécurité des dispositifs médicaux connectés. Il faut, pour faire face à la vulnérabilité de nos infrastructures, se conformer aux réglementations de manière stricte. La conformité devra passer par un plan de mise en conformité technologique. A titre d’exemple, la réduction de l'impact des cyberattaques repose sur des facteurs comme les structures de risques, les tactiques de réponse et les modèles de menace. Les établissements doivent donner la priorité aux simulations et aux tests de perturbation des workflows et de coupure des systèmes. Ceux qui le font seront mieux à même de comprendre la « télémétrie » des risques, le temps nécessaire à leurs systèmes pour récupérer et l'impact de la dégradation des performances sur les utilisateurs.
1 https://ght-coeurgrandest.fr/actualites/informations-cyberattaque/
Armis aide ses partenaires du secteur de la santé (privés ou publics) à réaliser la vision selon laquelle la gestion des risques et la continuité des opérations peuvent exister en symbiose. Armis fait de la sécurité une extension organique du processus de gestion des risques cliniques.A propos de l’auteur :
Country Manager France pour Armis, M. Jean-Michel Tavernier est rompu à la gestion et à la résolution des problématiques de cybersécurité des groupes français et internationaux. M. Tavernier fait ses premières armes auprès de sociétés internationales, à l’instar de Cisco, Juniper, Tufin, etc. Des expériences qui lui confèrent une connaissance étendue du marché et des enjeux stratégiques de la cyber sécurité.