Par Gaëlle TILLOY, Avocate à la Cour, exerçant principalement dans le domaine des nouvelles technologies et des données personnelles, et Jérôme BEAUFILS, Président de la société SASETY, expert des infrastructures numériques
Le secteur de la santé et du médico-social constitue une cible privilégiée des cyberattaquants. En 2020, l’Agence du Numérique en Santé indiquait que 250 établissements de santé avaient déclaré 369 incidents dont 60 % associés à des actes malveillants et 34 avec mise en danger de patients. Cette tendance s’est confirmée en 2021 avec, en moyenne, une cyberattaque par semaine sur un établissement de santé. La nécessité de protéger et de sécuriser les données à caractère personnel et plus particulièrement celles relevant de la santé devient donc une réelle préoccupation pour le législateur. Pour exemple, on peut citer l’article L.1111‐8 du code de la santé publique issu de l’ordonnance n° 2017‐27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel qui exige la détention par les hébergeurs de données de santé d’une certification spécifique ou encore le Règlement de protection des données à caractère personnel qui considère qui définit les données de santé comme étant des données sensibles répondant à un régime spécifique.Pour autant, et malgré les obligations existantes, une multiplication des actes malveillants portant atteinte à la confidentialité, à l’intégrité et/ou à la disponibilité des données à caractère personnel a été observée et les données de santé, loin d’être épargnées par ce phénomène, font face à une recrudescence des cyberattaques contre des hôpitaux ou des laboratoires.
Qu’est-ce qui motive les cybercriminels à s’attaquer autant aux données ?
C’est très simple. Les données de santé ont une valeur marchande. D’abord pour les laboratoires de recherches pharmaceutiques qui en étudiant des lots de données acquis auprès de data-brokers réduisent le Time-to-Market de leurs produits. Ensuite, pour les GAFAM qui nourrissent leurs algorithmes de ces données afin de les rendre plus prédictifs et ainsi les commercialiser à des centres de recherche. Enfin, les données usurpées peuvent faire l’objet d’une rançon, de la part de l’organisme de santé affecté, mais également directement des patients concernés. Lorsque l’on sait qu’un dossier patient contenant le séquençage ADN peut valoir plus de 5 000 €, on comprend mieux l’engouement que représentent nos établissements de santé pour les cybercriminels.
Est-ce si simple de s’attaquer à nos établissements de santé ?
L’explosion des services numériques de santé associée à la vétusté ou à l’obsolescence des systèmes existants a contribué à accroître considérablement la surface d’attaque des établissements de santé ces dernières années. Ce phénomène s’est encore accéléré avec l’augmentation massive des capacités d’accès à distance en réponse aux confinements. Une fois pénétrés au cœur du système d’information de l’établissement, les cyberattaquants peuvent progresser latéralement et introduire leurs codes malveillants sur les organes névralgiques. Dans un secteur sous tension où la priorité réside dans les soins apportés aux patients, la disponibilité du système d’information – donc sa sécurité – doit être considérée d’importance vitale pour le fonctionnement des unités de soins.
Quel modèle type de protection mettre en place ?
Chaque entreprise ou établissement ne réalise pas les mêmes traitements. Les données concernées, l’architecture technique et les moyens de sécurisation ne sont jamais identiques. Les traitements confiés à des tiers varient et les risques qui en découlent sont différents et susceptibles d’évoluer dans le temps. Au regard des différentes parties prenantes et des spécificités propres à chaque projet de traitement de données à caractère personnel, la conclusion d’un contrat est essentielle, lequel constituera le référentiel de conformité auquel les parties se référeront en cas de litige ou d’attaque. Il décrira par exemple le périmètre sous-traité au prestataire, la description des prestations et des responsabilités, la nature et la finalité des traitements de données à caractère personnel confiées aux prestataires. Le contrat devra également contenir un certain nombre de documents évolutifs prenant en compte la réalité opérationnelle, la gouvernance, les engagements de niveaux de services… C’est le cas par exemple du Plan d’Assurance Sécurité (PAS) qui précisera les protocoles suivis en cas d’incident informatique, les délais que l’entreprise s’accorde pour y remédier ainsi que les mesures de détection, de prévention et d’analyse qu’elle institue afin d’en limiter autant que possible les effets et éviter qu’ils ne se (re)produisent.Pour garantir le respect de ce PAS, des audits de sécurité et les modalités y afférents sont préconisés.
À l’issue de l’établissement de la cartographie, il convient également de s’attacher à la meilleure manière de sécuriser le réseau. Une étape essentielle dans une démarche de cybersécurité consiste à réduire la surface d’attaque du système d’information en limitant ses points d’entrée depuis l’extérieur. Plus le nombre de points de connexion est important, plus la surface d’attaque du système d’information est élevée.
Comment réduire la surface d’attaque ?
Avec l’explosion des services Cloud et de la mobilité, l’Internet est devenu le premier réseau de production pour les organisations. De fait, les applications, les données et les utilisateurs se retrouvent exposés au risque cyber. Compte tenu des enjeux de transformation digitale du secteur de la santé, il serait contre-productif de chercher à internaliser les services numériques qui pour nombre d’entre eux consistent à partager des informations avec le patient tout au long de son parcours de soins. Les efforts doivent donc se porter sur la performance et la sécurité d’actifs numériques. Une réponse possible à cet enjeu est apportée par un nouveau modèle conceptualisé par le cabinet Gartner en 2019 : le Secure Access Service Edge ou SASE.
Qu’est-ce que c’est le SASE ?
Ce modèle considère que pour assurer performance et sécurité aux usages numériques, il est pertinent de faire converger les fonctions de transport avec celles de sécurité au sein d’une solution flexible, délivrée en mode Cloud et qui unifie toutes les actions de management et d’analyse. Par définition, les instances de traitement SASE sont déployées géographiquement au plus proche des utilisateurs et interconnectées au travers d’un réseau mondial à très haut débit et à très forte disponibilité.Dans ce modèle, quelle que soit la localisation des utilisateurs et des applications, les échanges sont sécurisés et garantis en termes de performance. Pour ce faire, le modèle SASE embarque toutes les fonctionnalités de transport qui permettent de profiter du haut débit et du coût attractif des technologies d’accès Internet (fibre optique dédiée ou mutualisée, technologies cuivre ou radio type 4G/5G) sur les sites comme au domicile des personnels de santé. Associé aux fonctionnalités SD-WAN qui permettent aux sites d’accéder directement à Internet et aux applications Cloud, le modèle SASE garantit la redondance des accès, la priorisation et l’optimisation des flux jusqu’à l’application souhaitée.
À la différence des technologies SD-WAN, les sites connectés par une solution SASE ne sont pas visibles depuis Internet. Il n’existe donc aucune porte d’entrée directe entre Internet et les sites, ce qui réduit sensiblement la surface d’attaque de l’établissement concerné. Le modèle SASE intègre toutes les fonctions de sécurité, à commencer par un pare-feu applicatif, à la fois pour sécuriser les flux entrants et sortants vers Internet que les flux entre les sites de l’établissement de santé, permettant de circonscrire l’impact d’un incident de sécurité à un site et d’éviter les phénomènes de propagation par rebonds successifs.
Les fonctions de passerelle Web et d’accès au Cloud (CASB) permettent de définir précisément les politiques d’accès à Internet et aux applications Cloud pour les utilisateurs. Concernant la gestion des identités, le modèle SASE repose sur le principe de la confiance zéro (Zero Trust). Ainsi, l’accès aux applications depuis l’interne ou en situation de mobilité ou de télétravail repose non pas sur l’adresse IP obtenue par l’utilisateur lors de sa connexion, mais sur son identifiant couplé à une authentification forte. Enfin, les capacités d’analyse des flux chiffrés permettent de se prémunir des intrusions et des logiciels malveillants, notamment des nouvelles attaques, communément appelées « 0-day ».
Quels sont les bénéfices du SASE pour les établissements de santé ?
En synthèse, la mise en œuvre du modèle SASE au sein des établissements de santé apporte les bénéfices suivants : réduction de la surface d’attaque, performance et sécurité des accès externes et sécurité des applications Cloud à travers des politiques d’accès, de surveillance et du chiffrement des échanges
Le déploiement complet du modèle SASE au sein des établissements vient se substituer à toutes les briques technologiques existantes. À ce titre, la transformation est rarement réalisée en mode « big bang ». Pour bien engager la trajectoire de transformation SASE, il est nécessaire de compléter la cartographie réseau et sécurité établie lors de la phase d’analyse par une vision financière et contractuelle complète. Une fois ces informations rassemblées et la cible d’architecture finale définie, la trajectoire de transformation pourra être jalonnée avec, à l’issue de chaque étape, les objectifs de performance et le niveau de sécurité à atteindre ainsi que les objectifs financiers associés.
D’une façon générale, la mise en œuvre technique consiste à identifier un site « pivot » entre l’infrastructure existante et la solution SASE. Bien souvent, ce site correspond au centre névralgique du système d’information, tel qu’un centre d’hébergement. Une fois l’interconnexion du site pivot mise en place, les sites et les utilisateurs peuvent être migrés au rythme des échéances opérationnelles, financières et contractuelles.
Souvent, les organisations démarrent par la migration des utilisateurs mobiles dans l’optique de supprimer les passerelles d’accès distants particulièrement exposées et de mettre en place une gestion des identités reposant sur une authentification multi-facteurs. Vient ensuite la migration progressive des sites physiques synchronisée avec la fin des contrats opérateurs ou anticipée afin, par exemple, d’orienter tous les flux Internet et Cloud vers la solution SASE et limiter l’usage du réseau existant aux flux à destination du site central. À l’issue de ces étapes de transformation, tous les sites et tous les utilisateurs mobiles utilisent exclusivement la solution SASE pour accéder à leurs applications de façon garantie et sécurisée.
Conclusion
Protéger l’informatique du système de soins est une priorité nationale pour laquelle les moyens techniques et financiers existent. L’enjeu consiste à en accélérer l’adoption par les établissements de santé en partant d’une bonne connaissance de l’existant et en définissant des objectifs court terme à la fois ambitieux et atteignables. Associées à une organisation resserrée, les actions techniques doivent viser à réduire la surface d’attaque du système d’information en rationalisant les points d’accès à Internet et en adoptant une politique de confiance zéro sur les connexions.
D’un point de vue opérationnel, la cyber-sécurisation de notre système de soins ne pourra passer que par une connaissance et une application stricte de la part des acteurs concernés des règles applicables et par une vigilance devant s’exercer à chaque étape, à savoir :
· Dès la conception d’un projet impliquant un traitement de données à caractère personnel (privacy by design),
· Pendant la durée du traitement en mettant à jour et en adaptant les mesures techniques et organisationnelles prises en fonction de l’évolution des risques,
· À l’issue du traitement en respectant les règles relatives à la durée de conservation des données,
· Et enfin en ayant des procédures en place permettant d’avoir les bons réflexes en cas d’attaque pour en minimiser les impacts.
À propos des auteurs
Gaëlle TILLOY : Avocate au Barreau de Paris, elle accompagne principalement ses clients dans la rédaction et la négociation de leurs contrats informatiques et dans la mise en conformité RGPD. Elle assure également des formations sur la sécurisation des contrats informatiques en marchés privés et publics. Elle a par ailleurs exercé pendant dix ans en tant que juriste puis responsable juridique au sein d’une entreprise de services numériques dans laquelle elle a notamment travaillé sur des projets de télémédecine.
Jérôme BEAUFILS : Ingénieur en Télécommunications de formation, il contribue depuis 25 ans au développement des infrastructures numériques et télécoms au sein d’opérateurs et d’entreprises de services numériques. Il est le président de la société SASETY, spécialisée dans la transformation des infrastructures réseau et sécurité des entreprises afin de répondre aux nouveaux modes de consommation de l’informatique et aux enjeux de cybersécurité associés.
Sources
ANS : Cybersécurité dans le secteur de la santé et du médico-social : une priorité nationale pour réussir la transformation numérique
France Info – Coralie Lemke : Pourquoi nos données de santé sont-elles si convoitées ?
ANSSI : Guide d’hygiène informatique
Les Echos : Cancer du sein : l’intelligence artificielle de Google meilleure que les médecins ?
CNIL : Violations de données de santé : la CNIL sanctionne deux médecins
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044239566 : Délibération n° 2021-118 du 7 octobre 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé
Article L. 1111-8 du Code de la santé publique
Règlement 2016/679 de protection des données à caractère personnel du 27 avril 2016