État des lieux

Cet hôpital des Hauts-de-France, victime d’une cyberattaque, aurait-il pu éviter le pire ? La France n’est, hélas, pas à son premier cas de cyberattaque, avec demande de rançon. Sans vouloir tomber dans le cynisme, il semble bien que l’histoire se répète fatalement. Et pourtant, nous savions. Les établissements de santé, compte tenu de leur rôle essentiel dans nos économies, ont toujours été des cibles privilégiées des cybercriminels. Ajoutons à cela, la forte augmentation des dispositifs médicaux connectés (IoMT), sans que les services IT soient toujours en mesure de les identifier et encore moins de les sécuriser. Pis, d’ici 2026, les hôpitaux intelligents devraient déployer plus de 7 millions d’appareils IoMT soit le double de 2021 ! Autre constat, les hôpitaux, comme d’autres organisations d’ailleurs, n’ont pas toujours une idée du degré de sécurité des appareils fournis par les différents partenaires branchés au système d’information de l’hôpital. Or, il est d’une importance cruciale d’avoir une connaissance de bout en bout de tous les appareils connectés, de l’imprimante au scanner, en passant par la pompe à infusion. Nous ne pouvons sécuriser que ce que nous connaissons.

Dans une récente étude menée en avril dernier, à partir des données de notre moteur d’intelligence Armis Asset Intelligence Engine, nous avions déjà identifié les appareils médicaux les plus vulnérables. La menace est partout présente :

• Les systèmes d’appel infirmier sont les dispositifs médicaux connectés comportant le plus de risques. 39 % d’entre eux présentent des CVE (vulnérabilités et expositions communes) non corrigées de gravité critique, et près de la moitié (48 %) présentent des CVE non corrigées.
• Les pompes à perfusion arrivent en deuxième position, 27 % présentant des CVE non corrigées de gravité critique et 30 % des CVE non corrigées.
• Les systèmes de distribution de médicaments figurent en troisième position. 4 % d’entre eux présentent des CVE non corrigées de gravité critique, et 86 % des CVE non corrigées. En outre, 32 % d’entre eux utilisent des versions non prises en charge de Windows.
• Près d’un appareil médical connecté sur cinq (19 %) utilise des versions de système d’exploitation non prises en charge.
• Plus de la moitié des caméras IP contrôlées dans des environnements cliniques présentent des CVE non corrigées de gravité critique (56 %) et des CVE non corrigées (59 %), ce qui en fait les appareils IoT les plus risqués.
• Les imprimantes arrivent en deuxième position pour les appareils IoT les plus risqués dans les environnements cliniques, 37 % ayant des CVE non corrigées, et 30 % des CVE non corrigées de gravité critique.
• Les dispositifs VoIP figurent en troisième position. 53 % d’entre eux ont des CVE non corrigées. Toutefois, seuls 2 % présentent des CVE non corrigées de gravité critique.

Pistes de réflexion

Des mesures doivent être prises, non seulement par les établissements de santé, mais aussi par leurs différents fournisseurs informatiques. Parmi ces remédiations : la segmentation reste l’une des principales méthodes pour renforcer la cybersécurité dans le domaine de la santé. Il s’agit d’une étape importante et difficile, pouvant s’étendre sur plusieurs années. Cette segmentation comprend plusieurs phases : découverte / inventaire, cartographie des comportements et des communications, création de protocoles, priorisation, test / pilote, mise en œuvre et automatisation.

Les dispositifs médicaux doivent se réformer en prenant le tournant de la cybersécurité de plusieurs façons : protocoles de sécurité plus clairement définis, capacités de sécurité intégrées, support pour les logiciels et solutions de sécurité, mise au rebut des systèmes dépassés au profit de dispositifs plus récents, mise à jour des correctifs...

Quand nous avons dit cela, se pose la question des moyens dont dispose l’Hôpital pour se relever et se moderniser. Si les fonds ou les effectifs manquent, l’Hôpital doit capitaliser sur l’existant et surtout intégrer les fournisseurs à sa stratégie de protection, pour atteindre ensemble le même niveau de maturité cyber.