Cybersécurité & Santé : Etat des menaces informatiques

Rapport menaces et incidents –CERT-FR

7.11.2024

Eléonore Scaramozzino, Avocate partenaire Constellation Avocats

Le secteur de la santé, et tout particulièrement les établissements de santé, est une cible de choix pour divers acteurs de la menace opérant à des fins lucratives, de déstabilisation ou encore d’espionnage. Dans son rapport, l’ANSSI établit un état des lieux des menaces informatiques, accompagnées des recommandations de sécurité à destination des entités du secteur de la santé.

Les 4 catégories d’acteurs du secteur de la santé

Caractéristiques majeures du secteur de la santé

Le secteur de la santé est un secteur hautement critique, soumis au triple impératif de disponibilité, de confidentialité et d’intégrité concernant les systèmes d’information (SI) utilisés et les données traitées. Les incidents d’origine informatique peuvent avoir des conséquences importantes sur la continuité des soins et des services de santé. En France, le secteur est caractérisé par la fragmentation et l’hétérogénéité des acteurs qui le composent. Il se caractérise également par la numérisation progressive du processus de soins, à travers par exemple le Dossier Patient Informatisé (DPI) et le développement de services et de nouvelles technologies comme la télémédecine, les dispositifs médicaux connectés et la robotisation, qui augmentent sa surface d’exposition

Spécificités des établissements de santé

Particularités informatiques

• la prise en charge et le traitement de patients reposent sur des SI composés de nombreux services et applications interconnectés, notamment nécessaires pour la gestion des données des patients. Le plus souvent, ces services et applications ne sont pas résilients, en raison d’incompatibilité des logiciels utilisés, ou encore par manque de moyens. Leur interruption peut fortement perturber les capacités de prise en charge de patients et les services de soins ;
• L’impératif de garantir la disponibilité des services pour de nombreux utilisateurs et applications se traduit fréquemment par des SI dépourvus de segmentation réseau et de contrôle d’accès. Ce manque de cloisonnement favorise la propagation de codes malveillants et le chiffrement généralisé des infrastructures numériques ;
• l’interdépendance des SI hospitaliers peut constituer un obstacle à la reprise progressive des services suite à une attaque informatique ;
• de nombreuses interconnexions et dépendances métier avec d’autres entités pouvant permettre à un attaquant de se latéraliser ou de provoquer des dommages collatéraux sur un périmètre plus large ;
• Le fonctionnement repose par ailleurs sur de nombreux fournisseurs et prestataires dont la compromission peut perturber le fonctionnement de l’établissement ou permettre des attaques via la chaine d’approvisionnement.

Contraintes structurelles

• des budgets et effectifs contraints entrainant une moindre maitrise du SI et de son architecture ainsi que des difficultés de maintien en condition de sécurité ;
•  des difficultés dans la mise en oeuvre des opérations de maintenance informatique, en raison de la forte contrainte structurelle de disponibilité des SI ;
•  la complexité de maintenance de certains dispositifs médicaux, notamment « lourds » tels que les scanners, dont le parc n’est pas souvent renouvelé et dont le maintien en condition de sécurité n’est pas réalisable par l’établissement de santé ;
• un déséquilibre de la relation entre petites structures et fournisseurs de services ou d’équipements informatiques, qui peut engendrer des mauvaises pratiques de sécurité.
•  la persistance de mauvaises pratiques d’hygiène informatique notamment en raison d’un manque de moyens dédiés aux équipes informatiques

L’ANSSI identifie également des risques de sécurité liés aux dispositifs médicaux connectés.

Créé en 2017, le CERT-SANTÉ est à la fois en capacité d’assurer un suivi sectoriel des incidents et, dans le cas de crises à fort impact telles que des attaques par rançongiciel, de fournir un accompagnement dans la durée. Depuis 2021, la quasi-totalité des incidents de type rançongiciel est signalée au CERT-FR directement ou par l’intermédiaire du CERT-SANTÉ dès leur détection, permettant ainsi une assistance rapide aux bénéficiaires.

Des actions destinées à rehausser le niveau de cybersécurité des établissements de santé français ont été mises en œuvre depuis 2020.

• programme « parcours de cybersécurité » développé dans le contexte de France Relance (2020-2022) et piloté par l’ANSSI,
• programme Cybersécurité accélération et Résilience des Etablissements ;
•  CaRE (2023-2027)

Les types de menaces

Le secteur de la santé, et tout particulièrement les établissements de santé, est une cible de choix pour divers acteurs de la menace opérant à des fins lucratives, de déstabilisation ou encore d’espionnage. Dans son rapport, l’ANSSI établit un état des lieux des menaces informatiques, accompagnées des recommandations de sécurité à destination des entités du secteur de la santé.

Les 4 catégories d’acteurs du secteur de la santé

Caractéristiques majeures du secteur de la santé

Le secteur de la santé est un secteur hautement critique, soumis au triple impératif de disponibilité, de confidentialité et d’intégrité concernant les systèmes d’information (SI) utilisés et les données traitées. Les incidents d’origine informatique peuvent avoir des conséquences importantes sur la continuité des soins et des services de santé. En France, le secteur est caractérisé par la fragmentation et l’hétérogénéité des acteurs qui le composent. Il se caractérise également par la numérisation progressive du processus de soins, à travers par exemple le Dossier Patient Informatisé (DPI) et le développement de services et de nouvelles technologies comme la télémédecine, les dispositifs médicaux connectés et la robotisation, qui augmentent sa surface d’exposition

Spécificités des établissements de santé

Particularités informatiques

• la prise en charge et le traitement de patients reposent sur des SI composés de nombreux services et applications interconnectés, notamment nécessaires pour la gestion des données des patients. Le plus souvent, ces services et applications ne sont pas résilients, en raison d’incompatibilité des logiciels utilisés, ou encore par manque de moyens. Leur interruption peut fortement perturber les capacités de prise en charge de patients et les services de soins ;
• L’impératif de garantir la disponibilité des services pour de nombreux utilisateurs et applications se traduit fréquemment par des SI dépourvus de segmentation réseau et de contrôle d’accès. Ce manque de cloisonnement favorise la propagation de codes malveillants et le chiffrement généralisé des infrastructures numériques ;
• l’interdépendance des SI hospitaliers peut constituer un obstacle à la reprise progressive des services suite à une attaque informatique ;
• de nombreuses interconnexions et dépendances métier avec d’autres entités pouvant permettre à un attaquant de se latéraliser ou de provoquer des dommages collatéraux sur un périmètre plus large ;
• Le fonctionnement repose par ailleurs sur de nombreux fournisseurs et prestataires dont la compromission peut perturber le fonctionnement de l’établissement ou permettre des attaques via la chaine d’approvisionnement.

Contraintes structurelles

• des budgets et effectifs contraints entrainant une moindre maitrise du SI et de son architecture ainsi que des difficultés de maintien en condition de sécurité ;
•  des difficultés dans la mise en oeuvre des opérations de maintenance informatique, en raison de la forte contrainte structurelle de disponibilité des SI ;
•  la complexité de maintenance de certains dispositifs médicaux, notamment « lourds » tels que les scanners, dont le parc n’est pas souvent renouvelé et dont le maintien en condition de sécurité n’est pas réalisable par l’établissement de santé ;
• un déséquilibre de la relation entre petites structures et fournisseurs de services ou d’équipements informatiques, qui peut engendrer des mauvaises pratiques de sécurité.
•  la persistance de mauvaises pratiques d’hygiène informatique notamment en raison d’un manque de moyens dédiés aux équipes informatiques

L’ANSSI identifie également des risques de sécurité liés aux dispositifs médicaux connectés.

Créé en 2017, le CERT-SANTÉ est à la fois en capacité d’assurer un suivi sectoriel des incidents et, dans le cas de crises à fort impact telles que des attaques par rançongiciel, de fournir un accompagnement dans la durée. Depuis 2021, la quasi-totalité des incidents de type rançongiciel est signalée au CERT-FR directement ou par l’intermédiaire du CERT-SANTÉ dès leur détection, permettant ainsi une assistance rapide aux bénéficiaires.

Des actions destinées à rehausser le niveau de cybersécurité des établissements de santé français ont été mises en œuvre depuis 2020.

• programme « parcours de cybersécurité » développé dans le contexte de France Relance (2020-2022) et piloté par l’ANSSI,
• programme Cybersécurité accélération et Résilience des Etablissements ;
•  CaRE (2023-2027)

Les types de menaces

Gestion de crise au sein des établissements de santé

En matière de gestion de crise, les établissements de santé disposent d’un « plan blanc » définissant les modalités de gestion de crise ainsi que les moyens permettant de continuer ses activités de manière dégradée. Il est mis en pratique rapidement dès qu’un événement de grande ampleur, affectant le fonctionnement de l’établissement, est détecté. Ce plan organise notamment la constitution de cellules de crise, les modalités de passage en fonctionnement dégradé des activités (délestages de patients vers d’autres établissements, reports des consultations et opérations non urgentes, etc.). Depuis 2023, ce plan intègre un volet spécifique aux incidents cyber qui prévoit les éléments à préparer en amont de la crise cyber et les mesures organisationnelles spécifiques à appliquer lorsqu’elle survient.

Recommandations de l’ANSSI destinées aux prestataires de soins

Pour l’ANSSI, les prestataires de soins doivent avoir une approche globale de la sécurité en identifiant pour chaque entité :

• les actifs devant être protégés;
• l’état actuel du système d’information les soutenant et du niveau de compétence des personnes l’utilisant ou l’opérant ;
• la nature des menaces vis-à-vis desquelles il convient de se préparer ;
• les risques et la priorisation des actions de sécurisation à mener ;
• les mesures de sécurité appropriées devant être mises en œuvre et entretenues dans le temps

Pour la mise en œuvre de ses recommandations, l’ANSSI rappelle l’importance de mettre en place une démarche itérative d’amélioration continue, traitant en priorité les risques les plus élevés de l’entité. De manière générale, l’Agence recommande de dresser un état des lieux de son SI, la sensibilisation des ressources humaines et sur les mécanismes de résilience, avant la mise en œuvre de mesures de protection et défense pour une meilleure maîtrise des risques.

Réglementation et recommandations applicables au secteur de la santé

• RGPD
• Code de la santé publique (art L 1111-8 CSP)
• RGS
• Guide de l’ANSSI
• Certification ANS

Selon l’ANSSI, une attention particulière doit être portée aux annuaires Active Directory, éléments critiques du SI qui permettent la gestion centralisée des comptes, des ressources et des permissions. Utiliser le service ADS (voir cert.ssi.gouv.fr/scans)

Le CERT-FR offre également un service de veille sur les vulnérabilités, qui permet d’être alerté sur les vulnérabilités critiques et d’obtenir des recommandations et mesures de contournement associées (cert.ssi.gouv.fr). En outre, le CERT santé met à disposition un service de cybersurveillance (https://cyberveille.esante.gouv.fr/les-services

Gestion de crise au sein des établissements de santé

En matière de gestion de crise, les établissements de santé disposent d’un « plan blanc » définissant les modalités de gestion de crise ainsi que les moyens permettant de continuer ses activités de manière dégradée. Il est mis en pratique rapidement dès qu’un événement de grande ampleur, affectant le fonctionnement de l’établissement, est détecté. Ce plan organise notamment la constitution de cellules de crise, les modalités de passage en fonctionnement dégradé des activités (délestages de patients vers d’autres établissements, reports des consultations et opérations non urgentes, etc.). Depuis 2023, ce plan intègre un volet spécifique aux incidents cyber qui prévoit les éléments à préparer en amont de la crise cyber et les mesures organisationnelles spécifiques à appliquer lorsqu’elle survient.

Recommandations de l’ANSSI destinées aux prestataires de soins

Pour l’ANSSI, les prestataires de soins doivent avoir une approche globale de la sécurité en identifiant pour chaque entité :

• les actifs devant être protégés;
• l’état actuel du système d’information les soutenant et du niveau de compétence des personnes l’utilisant ou l’opérant ;
• la nature des menaces vis-à-vis desquelles il convient de se préparer ;
• les risques et la priorisation des actions de sécurisation à mener ;
• les mesures de sécurité appropriées devant être mises en œuvre et entretenues dans le temps

Pour la mise en œuvre de ses recommandations, l’ANSSI rappelle l’importance de mettre en place une démarche itérative d’amélioration continue, traitant en priorité les risques les plus élevés de l’entité. De manière générale, l’Agence recommande de dresser un état des lieux de son SI, la sensibilisation des ressources humaines et sur les mécanismes de résilience, avant la mise en œuvre de mesures de protection et défense pour une meilleure maîtrise des risques.

Réglementation et recommandations applicables au secteur de la santé

• RGPD
• Code de la santé publique (art L 1111-8 CSP)
• RGS
• Guide de l’ANSSI
• Certification ANS

Selon l’ANSSI, une attention particulière doit être portée aux annuaires Active Directory, éléments critiques du SI qui permettent la gestion centralisée des comptes, des ressources et des permissions. Utiliser le service ADS (voir cert.ssi.gouv.fr/scans)

Le CERT-FR offre également un service de veille sur les vulnérabilités, qui permet d’être alerté sur les vulnérabilités critiques et d’obtenir des recommandations et mesures de contournement associées (cert.ssi.gouv.fr). En outre, le CERT santé met à disposition un service de cybersurveillance (https://cyberveille.esante.gouv.fr/les-services

Recommandation
Sécurité des ressources humaines	Sensibiliser les collaborateurs
Gestion des risques	cartographie du SI et de son environnement analyse de risque : dépendance et prestataires : risques organisationnel et secret professionnel , évaluation du niveau de confiance: origine du fournisseur, localisation du service, niveau de sécurisation (disponibilité, intégrité, confidentialité, traçabilité)
Acquisition, développement et maintenance	inclure des exigences de sécurité (référentiel de cybersécurité et analyse de risque) dans le cahier des chargesles contrats de sous-traitance ou d’achat de logiciel objectifs de sécurité : • sur la protection des données hébergées jugées sensibles ; • sur les choix techniques.; • sur le maintien en condition de sécurité et en condition opérationnelle des logiciels et de leurs dépendances contrats de prestation, définition – des objectifs de sécurité des équipements propres au sous-traitant, de ses éventuels moyens d’accès distants, ainsi que ses droits d’accès délégués dans le système d’information ; – plan d’assurance sécurité (PAS) – audits en cours de prestation en accord avec les conventions d’audit établis au titre du marché.
Architecture	Mettre en œuvre une passerelle d’interconnexion à InternetCloisonner et filtrer les différents systèmes d’informationProtéger les données par mécanisme cryptographique conforme à l’état de l’art (dont les données sensibles transitant et au repos hébergés chez un hébergeur certifié, données sensibles stockées sur un support amovible)
Gestion des identités et des accès	identification unique des utilisateursprotéger les données d’authentification : Les applications hébergeant des données sensibles et les services exposés à Internet (les VPN en particulier) doivent être protégés par une authentification forte, non vulnérable aux attaques d’hameçonnagelimiter les droits d’accès aux ressources du SI (principe du moindre privilège)limiter les droits d’accès aux données sensibles (principe du moindre privilège)
Gestion des vulnérabilités	durcir la configuration des équipements Au niveau matériel, rendre l’authentification obligatoire pour modifier le paramétrage du BIOS et le chiffrement des disques. Au niveau logiciel : supprimer ou désactiver les services inutiles afin de faciliter le maintien en condition de sécurité, de supprimer les comptes et authentifiants par défaut, et d’activer des fonctions de filtrage local à l’équipement maintenir à jour le système d’information Une politique de maintien en condition opérationnelle (MCO) et de maintien en condition de sécurité (MCS) doit être définie et mise en œuvre afin de renforcer la sécurité et la stabilité de tous les SI de l’entité. À noter que pour chaque nouveau projet, des exigences de MCO et le MCS doivent être systématiquement intégrées dans les cahiers des charges
Journalisation et détection de sécurité	Utiliser une solution de protection contre les logiciels malveillantsCentraliser les journaux d’évènements et les alertes des capteurs de sécuritéMaintenir à jour les règles de détection
Résilience du système d’information	Définir unPlan de Continuité d’Activité (PCA) et Plan de Reprise d’Activité (PRA) couvrant les menaces d’origine accidentelle mais aussi les menaces d’origine malveillante (notamment les attaques par rançongiciels, les exfiltrations de données, les attaques affectant les fournisseurs de biens ou services avec lesquels le ou les SI de l’entité ont une forte dépendance) Assurer la sauvegarde des données (fréquence, sauvegarde de données critiques, sauvegarde hors ligne, rédiger les procédures de restauration, d’administration, d’exécution des sauvegardes, restriction d’accès aux sauvegarde)Mettre en œuvre un plan de réponse aux cyberattaques (prévoir une organisation et des procédures de gestion de crise, réaliser des exercices de gestion de crise. )

Pour aller plus loin

Rapport menaces et incidents – CERT-FR