Système de santé et cybersécurité – entretien avec Pascal Lamia, responsable Cybersécurité opérationnelle à l’OFCS
Ces dernières années, la numérisation du système de santé a certes permis de nombreux changements positifs comme la simplification des processus administratifs, mais elle a également engendré de nouveaux défis et risques. La cybersécurité est un domaine qui fait l’objet d’une attention particulière. Pascal Lamia, responsable Cybersécurité opérationnelle à l’Office fédéral de la cybersécurité (OFCS), fournit des informations sur les risques, les mesures éprouvées et les nouveaux développements en matière de protection contre les cyberattaques.
Pascal Lamia
Pascal Lamia et son équipe accompagnent des entreprises suisses victimes d’une cyberattaque et les aident, sous certaines conditions, à gérer l’incident et à se protéger contre de nouvelles attaques.
Monsieur Lamia, comment décririez-vous la situation actuelle en matière de cybersécurité dans le système de santé suisse?
La plupart des cyberattaques continuent à être menées selon le principe de l’arrosoir, c’est-à-dire non pas de manière ciblée, mais sous forme d’envois massifs. Par exemple, des e-mails contenant des pièces jointes infectées sont envoyés à des centaines de milliers de victimes potentielles. Le système de santé n’est donc pas plus ou moins menacé que d’autres secteurs. L’OFCS voit un défi particulier pour le système de santé dans le fait que les dispositifs médicaux ne peuvent souvent être patchés qu’avec l’accord du fabricant. Dans les cas extrêmes, cela peut avoir pour conséquence que certains dispositifs médicaux ne satisfont plus aux normes de sécurité les plus récentes et fonctionnent peut-être même avec des systèmes d’exploitation qui ont atteint le statut de «fin de vie», c’est-à-dire qui ne reçoivent plus de mises à jour de la part des fabricants de systèmes d’exploitation. Il se peut donc que des failles de sécurité ne soient pas comblées et qu’elles soient exploitées pour des attaques. Les données de santé sont très sensibles et doivent donc faire l’objet d’une protection particulière. D’un autre côté, le secteur de la santé est soumis à des contraintes de temps. Il convient de trouver un bon équilibre entre le progrès numérique, la faisabilité et la cybersécurité.
Quels sont les risques et les vulnérabilités spécifiques liés à la cybersécurité dans le système de santé?
Le secteur de la santé, comme tous les autres secteurs économiques, est exposé à toutes les formes de cyberattaques. En particulier aux attaques par déni de service distribué (DDoS). Les attaques DDoS contre des cabinets médicaux, hôpitaux et autres établissements de santé pourraient avoir pour conséquence que les systèmes connectés à Internet soient tellement surchargés de demandes qu’ils ne seraient plus accessibles. L’enregistrement en ligne de patientes et patients pourrait par exemple ne plus fonctionner ou il ne serait plus possible de réserver en ligne un rendez-vous dans un cabinet médical. Certaines attaques DDoS complexes peuvent toutefois aussi paralyser des réseaux entiers, ce qui a de graves conséquences sur le fonctionnement d’un hôpital.
«Les attaques DDoS contre des cabinets médicaux, hôpitaux et autres établissements de santé pourraient avoir pour conséquence que les systèmes connectés à Internet soient tellement surchargés de demandes qu’ils ne seraient plus accessibles.»
Une autre forme connue de cyberattaque est celle impliquant un logiciel de cryptage, à savoir un rançongiciel. Les attaques DDoS sont en général politiquement motivées, tandis que les attaques par rançongiciels visent toujours un gain financier. Dans un premier temps, les pirates copient le plus grand nombre possible de données du système cible. Les données sont ensuite cryptées sur le système cible. Vient ensuite la première demande de paiement d’une rançon pour que les données soient décryptées. Si vous n’obtempérez pas à cette demande, les pirates peuvent se manifester de nouveau avec une nouvelle demande de rançon. Si vous ne réagissez pas non plus à cette demande, les données précédemment copiées seront publiées sur le Darknet. Une telle fuite de données peut avoir des conséquences dramatiques, en particulier dans le secteur de la santé, où d’énormes quantités de données sensibles sont traitées quotidiennement. Les atteintes à la réputation liées à la publication de ces données sensibles sont difficilement réparables. Dans le passé, des entreprises d’autres secteurs ont dû déposer le bilan suite à des attaques par «rançongiciel».
Dans quelle mesure les cyberattaques peuvent-elles compromettre la sécurité des patients et le fonctionnement des établissements de santé?
La sécurité des patients est surtout menacée lorsque des dispositifs médicaux vitaux ont été compromis ou que l’accès aux données est devenu impossible. Par exemple, on ne sait plus quelles opérations sont actuellement programmées ni quelle dose de médicaments doit être administrée à une patiente ou un patient. On est pour ainsi dire impuissant et incapable d’agir. C’est précisément pour cette raison qu’il est important, outre les mesures de protection de base, que tous les dispositifs médicaux soient à jour et rigoureusement séparés du reste de l’infrastructure informatique.
Plus une entreprise ou un secteur entier est numérisé, plus la surface d’attaque est grande. Dans un tel contexte, est-il vraiment judicieux de numériser d’autres domaines du système de santé?
La numérisation croissante pose des défis majeurs à tous les secteurs, mais nous ne pouvons pas l’arrêter. Il est donc important que la cybersécurité soit toujours prise en compte dans la numérisation, que les personnes impliquées dans la numérisation soient conscientes des dangers potentiels et que la direction fournisse des moyens pour réduire ces dangers potentiels. Il convient notamment d’investir dans du personnel qualifié, dans l’infrastructure informatique et dans l’achat de services externes tels que l’exploitation d’un SOC (Security Operation Center), etc.
Quelles bonnes pratiques et mesures de protection recommandez-vous aux établissements de santé pour se protéger des cyberattaques?
La cybersécurité consiste toujours à mettre en œuvre une combinaison de mesures techniques et organisationnelles. Dans une première phase, de nombreuses cyberattaques ne ciblent pas l’infrastructure technique mais les personnes qui travaillent avec cette infrastructure. La sensibilisation des collaboratrices et collaborateurs est donc essentielle. L’OFCS a constaté qu’une sensibilisation continue est particulièrement bénéfique. Par exemple, il est plus efficace d’aborder la cybersécurité pendant une demi-heure une fois par mois lors d’une réunion interne que de sensibiliser l’ensemble du personnel aux cyber-risques pendant une journée une fois par an. Les mesures techniques comprennent les précautions habituelles telles que pare-feu, protection antivirus, mises à jour ou sauvegardes. Les systèmes particulièrement critiques doivent être bien protégés et, si possible, séparés du reste de l’infrastructure informatique.
«L’OFCS a constaté qu’une sensibilisation continue est particulièrement bénéfique. Par exemple, il est plus efficace d’aborder la cybersécurité pendant une demi-heure une fois par mois lors d’une réunion interne que de sensibiliser l’ensemble du personnel aux cyber-risques pendant une journée une fois par an.»
La gestion des utilisateurs revêt également une grande importance. L’affectation de rôles permet de déterminer qui a accès à quelles applications et si ces personnes ont besoin ou non de droits d’administrateur. Par exemple, dans une clinique universitaire, il n’est pas nécessaire que le médecin-chef ait accès à l’application qui permet de commander les aliments pour les repas des patients. Une autre mesure organisationnelle est le Business Continuity Management (BCM). Il s’agit d’un plan d’urgence qui définit comment le travail peut se poursuivre si l’informatique n’est pas disponible pendant un certain temps. Le concept de communication de crise détermine si et sous quelle forme l’entreprise concernée doit informer qu’elle a été victime d’une cyberattaque. Il détermine également qui est responsable de cette information, par exemple le département de la communication ou le conseil d’administration. Une autre question importante à clarifier est celle du canal de communication. L’expérience a montré qu’après une cyberattaque, les sites Web, les e-mails, la téléphonie par Internet, etc. ne fonctionnent pas pendant plusieurs jours. Il est donc nécessaire de mettre en place un canal alternatif pour que les personnes clés puissent être informées de la cyberattaque, par exemple Threema, Signal ou autres canaux de communication.
Existe-t-il des solutions pour mettre fin à la course à l’armement informatique entre cybercriminels et départements informatiques?
Les cybercriminels sont constamment à la recherche de ce qu’ils nomment des «exploits zero-day». Il s’agit de failles dans les systèmes informatiques dont les fabricants de ces systèmes n’ont pas encore connaissance. Les «exploits zero-day» sont proposés sur des forums de pirates informatiques, notamment sur le Darknet. L’exploitation d’une telle faille réduit considérablement le risque pour les pirates que de telles attaques soient détectées. L’EPF de Zurich mène depuis quelques années des recherches sur la technologie SCION (Scalability, Control and Isolation On Next-Generation Networks). L’infrastructure Internet traditionnelle fait que les paquets de données (p. ex. e-mails) n’empruntent souvent pas le chemin le plus direct de l’expéditeur au destinataire. Ces paquets de données risquent donc d’être interceptés, lus ou modifiés en cours de route. C’est là que SCION intervient: contrairement à l’infrastructure Internet traditionnelle, SCION spécifie l’itinéraire complet du paquet de données et réduit ainsi considérablement le risque que des tiers non autorisés puissent manipuler ces paquets de données. SCION permet un routage sécurisé des données et empêche ainsi les attaques de réseau. Différents secteurs misent déjà sur la technologie SCION et créent des domaines isolés, déconnectés de l’Internet public, ce qui réduit fortement la surface d’attaque. Par exemple le secteur financier avec le SSFN (Secure Swiss Finance Network) et le système de santé avec le SSHN (Secure Swiss Health Network).
SCION et le système de santé
SCION – abréviation de l’anglais «Scalability, Control and Isolation On Next-Generation Networks» – est un protocole réseau moderne conçu pour relever les défis du monde interconnecté d’aujourd’hui. Il a été créé à l’origine par des chercheurs de l’EPF de Zurich et a pour objectif d’améliorer la sécurité, l’évolutivité et le contrôle dans les réseaux.
Le protocole SCION offre une architecture alternative aux protocoles réseau traditionnels en divisant la communication en «isolation domains». Ces domaines permettent de réguler le trafic de données de manière sûre et efficace, tout en offrant une meilleure résistance aux attaques et aux pannes.
L’application de SCION dans le système de santé se fera via le SSHN (Swiss Secure Health Network). Dans cet isolation domain, tous les acteurs du système de santé peuvent collaborer entre eux de manière simple et sécurisée.
Wie können die verschiedenen Akteure im Gesundheitswesen und im öffentlichen Sektor effektiv zusammenarbeiten, um die Cybersicherheit zu stärken?
Die Einführung einer Meldepflicht bezüglich Cyberangriffen gegen kritische Infrastrukturen steht kurz bevor, nachdem das Parlament im vergangenen Sommer der Vorlage zugestimmt hat. Diese Meldepflicht wird dem BACS helfen, die Bedrohungslage noch besser einzuschätzen und noch schneller proaktiv auf potenzielle Opfer zuzugehen. Kritische Infrastrukturen, zu denen auch viele Unternehmen der Gesundheitsbranche zählen, müssen dem BACS künftig einen Cyberangriff melden und erhalten, falls gewünscht, auch Unterstützung.
Das BACS bietet allen Unternehmen, die einem kritischen Sektor angehören, die Möglichkeit des Zugriffs auf ein spezifisches Sicherheitsportal. Über dieses Portal tauscht das BACS mit diesen Unternehmen Informationen über Cyberbedrohungen, Cyberangriffe, Schwachstellen und weitere sicherheitsrelevante Aspekte aus. Diese Informationen stammen oft aus öffentlich nicht zugänglichen Quellen und bieten schon deshalb einen grossen Mehrwert.
Schliesslich ist auch die Etablierung von Erfahrungsaustauschgruppen, so genannten ERFA-Gruppen, sinnvoll: In diesen Gruppen treffen sich regelmässig Sicherheitsspezialisten verschiedener Unternehmen einer Branche und tauschen sich über entsprechende Themen aus. Damit dieser Informationsaustausch funktioniert, ist gegenseitiges Vertrauen notwendig.
Sehen Sie heraufziehende Gefahren, z.B. ist AI eher Fluch oder Segen?
Cyberangriffe werden dank künstlicher Intelligenz immer professioneller, was sie für Sicherheitsspezialisten zunehmend schwieriger erkennbar macht.
Neue Entwicklungen wie künstliche Intelligenz bieten zwar grosse Chancen, aber auch nicht zu unterschätzende Risiken. Wie bei allen neuen Technologien in der digitalisierten Welt wird auch im Bereich der künstlichen Intelligenz ein „Wettrüsten“ zwischen Cyberkriminellen und Sicherheitsorganisationen stattfinden.
