L’OT dans les hôpitaux : le talon d’Achille du secteur de la santé

Mai 2022

Aujourd’hui, les pathologies médicales ne sont pas les seuls maux auxquels les établissements de soins de santé sont confrontés au quotidien. Aux débuts de la crise sanitaire, le secteur de la santé n’avait pas la maturité cybernétique nécessaire pour faire face à la pandémie. L’afflux de patients et la réaction organisationnelle face au virus ont forcé les établissements de santé à opérer une transformation numérique rapide qui a considérablement augmenté leur surface d’attaque et mis en évidence leur manque d’infrastructure de cybersécurité, la faiblesse des plans de réponse aux incidents et la rareté des professionnels de la cybersécurité au sein des SI hospitaliers. Ce retard, en plus de la haute valeur marchande des données de santé, a fait des établissements de soins une cible majeure pour les pirates informatiques.

Uniquement en France, les organismes de santé sont passés de 27 cyberattaques majeures en 2020 à une par semaine en 2021, selon le Secrétaire d’État chargé de la Transition numérique Cédric O. En outre, le service d’appui à la gestion des cybermenaces du secteur de la santé en France, le CERT Santé, a reçu 369 rapports d’incidents de sécurité en 2020, contre 730 en 2021.

Les faiblesses dans le système de défense du secteur de la santé

La question à un million : comment les pirates informatiques attaquent-ils les établissements de santé ?

Les attaques les plus nombreuses contre le secteur de la santé visent les prestataires de services tiers, qui disposent de droits d’accès étendus pour maintenir et mettre à jour les équipements hospitaliers.

Ces prestataires se connectent régulièrement à l’environnement OT des établissements de santé, que ce soit du côté médical – SCANNER, IRM, outils de monitoring, ventilateurs, pousse-seringues – ou du côté bâtiment – gestion de l’énergie, ascenseur, climatisation, fluides médicaux… Et c’est cette hétérogénéité et le faible niveau de sécurité des moyens de connexion qui accentuent fortement les cyber-risques associés.

Le rôle de la technologie OT dans le secteur de la santé

Pour reprendre les termes employés par Gartner, la technologie opérationnelle ou OT (de l’anglais Operational Technology) est « un matériel et un logiciel qui détecte ou provoque un changement, par la surveillance et/ou le contrôle direct des équipements industriels, des actifs, des processus et des événements. »

Ces dernières années, l’automatisation et la numérisation se sont accélérées dans les dispositifs de santé à des fins de suivi, de traçabilité et d’efficacité des soins. S’il ne fait aucun doute que tous ces appareils utilisant la technologie OT aident le secteur de la santé à améliorer les soins, à réduire les coûts et à accroître l’efficacité, ils augmentent également de manière significative la surface d’attaque des organisations, comme l’affirme Karspersky.

Les risques engendrés par les appareils médicaux connectés

Les hôpitaux utilisent aujourd’hui des stimulateurs cardiaques, des pompes à insuline et d’autres dispositifs médicaux qui fonctionnent avec des logiciels. Ces appareils, qui ne sont pas toujours maintenus à jour par les fabricants, sont basés sur des systèmes d’exploitation obsolètes, ce qui génère de multiples failles de sécurité.

Pour commencer, beaucoup de ces appareils présentent déjà de nombreuses vulnérabilités potentielles, car leur sécurité n’est pas intégrée à la conception. Le chiffrement des données, la gestion des mots de passe, l’authentification sont autant de fonctionnalités manquantes sur ce type d’équipements.

Les matériels médicaux sont aujourd’hui déployés et maintenus principalement par les constructeurs avec des ingénieurs biomédicaux en interlocuteur local. La compétence est donc majoritairement confiée aux constructeurs qui ont besoin de se connecter très fréquemment pour maintenir les services associés. Cela engendre des infrastructures matérielles et logicielles fermées et vulnérables en terme de cybersécurité.

De nombreux constructeurs s’appuient encore sur des outils de connexion distants peu sécurisés et disséminés au sein de l’hôpital. Ils contournent ainsi les briques de sécurité mises en œuvre par l’IT et exposent le système d’information. L’introduction d’un logiciel malveillant ou d’un ransomware ciblé peut rapidement entraîner une paralysie complète des équipements de soins de santé. Cela signifie que la protection des équipements médicaux n’est plus seulement une question de perte de données ou de vol d’informations sensibles, mais peut également constituer une menace pour la vie des patients.

Protéger l’OT, c’est protéger la santé

Un pirate qui pénètre dans un réseau de soins de santé cherchera nécessairement à se déplacer à l’intérieur du réseau pour collecter des informations et compromettre d’autres composants tels que des bases de données ou des serveurs. Il est donc essentiel de sécuriser l’accès des utilisateurs à privilèges et de contrôler les droits et les possibilités de rebond sur les machines cibles.

C’est pourquoi tout établissement de santé cherchant à mettre en œuvre une solution OT doit envisager non seulement la manière de sécuriser tous les appareils, mais aussi d’examiner en profondeur les défenses qu’il fournit pour toutes les ressources privilégiées au-delà des appareils du réseau.

Pour aider les établissements de santé dans leur démarche de sécurité, il existe des standards internationaux, tels que le MITRE Att&ck for ICS Framework ou l’ISA/IEC 62443, qui leur permettent de se conformer aux réglementations en vigueur. Différentes réglementations s’accordent à dire que le besoin de sécuriser les technologies opérationnelles (OT) est croissant, comme la loi de programmation militaire en France en 2014 ou la directive européenne NIS en 2016.

Compte tenu des exigences attendues, la mise en œuvre d’une solution de gestion des accès à privilèges (PAM) sera essentielle pour assurer la sécurité des dispositifs médicaux connectés et des composants OT qui permettent au bâtiment de fonctionner.

Mais les défis de la continuité de service, de la garantie du fabricant et de l’obsolescence des équipements OT nécessitent une approche plus spécifique que celle offerte par les systèmes PAM traditionnels. La compatibilité avec les protocoles propriétaires comme l’impossibilité d’installer des agents sur les machines manipulant les dispositifs médicaux peuvent constituer des obstacles à la mise en œuvre efficace d’une solution de gestion des accès à privilèges.

Une solution de PAM doit fournir des outils robustes et mettre en œuvre des règles strictes pour sécuriser les informations d’identification des comptes à privilèges. L’enregistrement en temps réel de l’activité du compte et la surveillance (et la résiliation) automatisée des sessions contribuent à prévenir les violations et à déterminer le moment où un risque est détecté. C’est non seulement vital pour maintenir la sécurité des équipement (et des réseaux auxquels ils se connectent), mais aussi crucial pour répondre aux exigences de conformité.

La sécurité doit être intégrée au déploiement des dispositifs médicaux et s’accompagner d’une gestion du changement et d’une sensibilisation des utilisateurs, car les attaques sont de plus en plus fréquentes et leurs conséquences plus graves.

WALLIX PAM4ALL : Une solution dédiée à la protection des dispositifs médicaux industriels

PAM4ALL, la solution unifiée de gestion des privilèges de WALLIX, utilise le principe du moindre privilège pour s’assurer que tous les utilisateurs, qu’ils soient humains ou machines, ne peuvent accéder qu’au minimum de ressources sensibles nécessaires pour effectuer une tâche donnée, au bon moment et avec le niveau de privilège approprié. C’est ce qu’on appelle l’approche Zero Trust.

La notion selon laquelle les « utilisateurs » d’un système ne seront pas toujours nécessairement des « personnes » est essentielle pour garantir une sécurité complète des dispositifs OT dans le secteur de la santé. En effet, ces dispositifs peuvent eux-mêmes avoir accès à des ressources privilégiées et devront être surveillés et contrôlés de la même manière que les humains. En veillant à ce que les composants du système soient soumis aux mêmes principes PAM que les humains (accès uniquement aux ressources nécessaires, dans les bonnes circonstances), les administrateurs informatiques responsables de la sécurité OT parviendront à éliminer les menaces potentielles posées par tous les appareils connectés dans un établissement de santé.

En outre, la solution WALLIX PAM4ALL intègre la sécurité dès la conception, by design, en contrôlant les connexions des utilisateurs à privilèges aux systèmes et aux équipements.

Pour en savoir plus sur la façon dont la solution PAM4ALL de WALLIX a aidé différents établissements de santé à protéger leurs dispositifs médicaux connectés, ne manquez pas la table ronde du 24 mai à 11 heures CEST où les responsables informatiques du secteur des soins de santé suivants parleront de la manière dont PAM4ALL les a aidés à se protéger des cyberattaques :

• Bruno LE BIHAN, Groupe Hospitalier Bretagne Sud
• Guillaume SALOME, Groupement des Hôpitaux de l’Institut Catholique de Lille
• Nadhir TURKI, Centre Hospitalier de Calais

Prêt à vous inscrire ? Cliquez ici.