La transformation numérique a eu de nombreux apports pour les services de santé mais en revanche elle a suscité de nombreuses attaques. Afin de lancer le débat, Valentin Jangwa a demandé aux intervenants de faire un état des lieux de la menace qui pèsent sur les établissements de santé.

Quentin Le Thiec, Expert cybersécurité, ANS - CERT Santé a présenté le contexte de ces attaques. Le CERT a pour objet d’aider les services de santé à remédier à des attaques. Il constate qu’actuellement il y a une légère réduction du nombre d’attaques avec surtout des incidences en diminution.

Rémi Tilly, Directeur du département Sécurité des Systèmes d’Information, SESAN explique que son établissement a pour objectif de proposer des services de cybersécurité pour les établissements qui le demandent. Il travaille sur la prévention en proposant des cyber Kit par exemple. Il rappelle qu’en 20222 deux cyberattaques sur ses hôpitaux en Île de France ont eu un impact important. De plus, il travaille sur la remédiation afin de remettre en marche un SI suite à une cyberattaque. Ces équipes permettent de donner des clés au équipes sécurité pour mieux se protéger.

Cédric Voisin, Group CIO and CISO, Doctolib qui a subi une cyberattaque explique que son organisation fournit des services aux praticiens pour améliorer leur quotidien comme par exemple la prise de rendez-vous. Au niveau de la sécurité son entreprise permet d’enlever la charge de la sécurité aux praticiens médecins, hôpitaux... qui l’utilisent. Il y a quatre ans il a subi un vol de données. De ce fait, il a investi pour pouvoir mieux sécurité son SI.

Valentin Jangwa : Comment se protéger en avance de phase ?

Rémi Tilly explique qu’il procède régulièrement des actions de sensibilisation avec des vrais faux phishing. Au début de ses tests, il a déploré que 20% des agents ont cliqué sur ses emails. Par ailleurs, il mène un second type d’action, il s’agit dans ce cas d’inciter les agents à donner ses logins et mots de passe. Pour ceux qui se font piéger ils arrivent sur une vidéo qui les sensibilisent à ce problème. Il étudie aussi le dark web pour rechercher les données qui auraient pu fuiter afin d’avertir les SI concernés.

Quentin Le Thiec, pour sa part explique qu’il fait parti de la communauté InterCert. Cette appartenance lui permet d’échanger et par exemple d’être prévenu sur les fuites de données de type mot de passe par exemple. Il surveille plus de 30.000 établissements. Il essaie de récolter au mieux les informations sur les membres afin de surveiller leurs systèmes. Il a aussi des pentesteurs qui peuvent être mobilisés à la demande des établissements de santé. Il procède aussi à des audits sur les Backup. Enfin, il rappelle qu’une de ses missions est d’avertir sur les vulnérabilités.

Valentin Jangwa : Cédric Voisin comment faite vous pour conseiller les praticiens en matière de cybersécurité ?

Cédric Voisin rappelle la maxime tirée de l’art de la guerre de Sun Tzu : "Connais ton ennemi et connais-toi toi-même".
Pour lui, il y a une problématique que toutes les entreprises doivent entreprendre en premier lieu : celle de connaître leur SI. Cet audit ne coûte pas d’argent juste du bon sens et du temps. Une fois cet audit réalisé, il est possible de commencer à mieux sécuriser son SI. Selon lui, les RSSI ont souvent un discours trop technique, il faut être plus pragmatique. On confond souvent en France la conformité et la sécurité. Le premier consiste de "cocher" des cases alors que la seconde permet de sécuriser le SI. Le premier problème est souvent l’utilisateur qui clique sans réfléchir. Il faut donc former les gens de façon simple. Il est nécessaire pour les équipes techniques de s’entraîner aux crises et aux cyberattaques.

Valentin Jangwa : Aujourd’hui la bonne question en matière de menace est "quand on va se faire attaquer" , donc comment peut-on gérer la crise et avoir une bonne remédiation ?

Quentin Le Thiec considère que la crise arrive plus ou moins souvent. La phase de crise est stressante pour les équipes. Dans le cas d’un ransomwares, on part souvent sur un marathon et donc il ne faut pas aller trop vite. Il n’est pas important au début essayer de trouver celui qui a permis l’attaque. Il faut plutôt fermer la porte et rajouter des mots de passe. De ce fait, il y a pas mal de risque de surcharge de travail. Ainsi, il guide les établissements victimes en leur donnant des conseils en matière de remédiations qui est réévaluée suite aux analyses d’impact de l’attaques. Il est nécessaire aussi de communiquer. L’objectif est de ne pas cacher des choses. Il faut aussi coordonner les équipes afin de réduire la phase de traitement des incidents.

Cédric Voisin a expliqué comment il a géré son incident. Pour lui n’importe quel incident est une crise. Quelque soit la menace il faut qu’en 15 minutes elle soit prise en compte et traitée. Ainsi sur les 10 derniers jours, il a dû gérer de nombreuses attaques. Lors d’une attaque, il se fait aider par les services de l’Etat comme l’ANS, l’ANSSI, cybermalveillance.gouv... il a créé un système appelé AUTOCrisis qui permet suite à un comportement anormal de déclencher une alerte et un traitement.

Rémi Tilly explique que fermer les portes s’est bien, mais fermer toutes les portes pose des problèmes car il faut être dans le même temps interopérable. Il faut jouer sur la solidarité entre les établissements pour faire travailler les équipes ensemble. Il cherche aujourd’hui à mieux faire collaborer les établissements.

Concernant la sécurisation des données Cédric Voisin explique qu’il a mis plusieurs niveaux de sécurisation avec des firewalls, de la segmentation et de la micro segmentation... De plus il a mis en place des contrôle d’accès avec des mots de passe robuste et de la double authentification. Enfin, il a déployé du chiffrement sur toutes les données sensibles. De plus bien entendu il protège les clés de chiffrement.

Par ailleurs, il rappelle que le milieu de la santé est très réglementé. Bien entendu, il faut respecter ses règlementations et les appliquer au sein de son système. Toutefois la conformité en cochant des cases n’indique pas que les entreprises soient mieux protégées...