Système de santé et cybersécurité – entretien avec Pascal Lamia, responsable Cybersécurité opérationnelle à l’OFCS

Monsieur Lamia, comment décririez-vous la situation actuelle en matière de cybersécurité dans le système de santé suisse?

La plupart des cyberattaques continuent à être menées selon le principe de l’arrosoir, c’est-à-dire non pas de manière ciblée, mais sous forme d’envois massifs. Par exemple, des e-mails contenant des pièces jointes infectées sont envoyés à des centaines de milliers de victimes potentielles. Le système de santé n’est donc pas plus ou moins menacé que d’autres secteurs. L’OFCS voit un défi particulier pour le système de santé dans le fait que les dispositifs médicaux ne peuvent souvent être patchés qu’avec l’accord du fabricant. Dans les cas extrêmes, cela peut avoir pour conséquence que certains dispositifs médicaux ne satisfont plus aux normes de sécurité les plus récentes et fonctionnent peut-être même avec des systèmes d’exploitation qui ont atteint le statut de «fin de vie», c’est-à-dire qui ne reçoivent plus de mises à jour de la part des fabricants de systèmes d’exploitation. Il se peut donc que des failles de sécurité ne soient pas comblées et qu’elles soient exploitées pour des attaques. Les données de santé sont très sensibles et doivent donc faire l’objet d’une protection particulière. D’un autre côté, le secteur de la santé est soumis à des contraintes de temps. Il convient de trouver un bon équilibre entre le progrès numérique, la faisabilité et la cybersécurité.

Quels sont les risques et les vulnérabilités spécifiques liés à la cybersécurité dans le système de santé?

Le secteur de la santé, comme tous les autres secteurs économiques, est exposé à toutes les formes de cyberattaques. En particulier aux attaques par déni de service distribué (DDoS). Les attaques DDoS contre des cabinets médicaux, hôpitaux et autres établissements de santé pourraient avoir pour conséquence que les systèmes connectés à Internet soient tellement surchargés de demandes qu’ils ne seraient plus accessibles. L’enregistrement en ligne de patientes et patients pourrait par exemple ne plus fonctionner ou il ne serait plus possible de réserver en ligne un rendez-vous dans un cabinet médical. Certaines attaques DDoS complexes peuvent toutefois aussi paralyser des réseaux entiers, ce qui a de graves conséquences sur le fonctionnement d’un hôpital.

«Les attaques DDoS contre des cabinets médicaux, hôpitaux et autres établissements de santé pourraient avoir pour conséquence que les systèmes connectés à Internet soient tellement surchargés de demandes qu’ils ne seraient plus accessibles.»

Une autre forme connue de cyberattaque est celle impliquant un logiciel de cryptage, à savoir un rançongiciel. Les attaques DDoS sont en général politiquement motivées, tandis que les attaques par rançongiciels visent toujours un gain financier. Dans un premier temps, les pirates copient le plus grand nombre possible de données du système cible. Les données sont ensuite cryptées sur le système cible. Vient ensuite la première demande de paiement d’une rançon pour que les données soient décryptées. Si vous n’obtempérez pas à cette demande, les pirates peuvent se manifester de nouveau avec une nouvelle demande de rançon. Si vous ne réagissez pas non plus à cette demande, les données précédemment copiées seront publiées sur le Darknet. Une telle fuite de données peut avoir des conséquences dramatiques, en particulier dans le secteur de la santé, où d’énormes quantités de données sensibles sont traitées quotidiennement. Les atteintes à la réputation liées à la publication de ces données sensibles sont difficilement réparables. Dans le passé, des entreprises d’autres secteurs ont dû déposer le bilan suite à des attaques par «rançongiciel».

Dans quelle mesure les cyberattaques peuvent-elles compromettre la sécurité des patients et le fonctionnement des établissements de santé?

La sécurité des patients est surtout menacée lorsque des dispositifs médicaux vitaux ont été compromis ou que l’accès aux données est devenu impossible. Par exemple, on ne sait plus quelles opérations sont actuellement programmées ni quelle dose de médicaments doit être administrée à une patiente ou un patient. On est pour ainsi dire impuissant et incapable d’agir. C’est précisément pour cette raison qu’il est important, outre les mesures de protection de base, que tous les dispositifs médicaux soient à jour et rigoureusement séparés du reste de l’infrastructure informatique.

Plus une entreprise ou un secteur entier est numérisé, plus la surface d’attaque est grande. Dans un tel contexte, est-il vraiment judicieux de numériser d’autres domaines du système de santé?

La numérisation croissante pose des défis majeurs à tous les secteurs, mais nous ne pouvons pas l’arrêter. Il est donc important que la cybersécurité soit toujours prise en compte dans la numérisation, que les personnes impliquées dans la numérisation soient conscientes des dangers potentiels et que la direction fournisse des moyens pour réduire ces dangers potentiels. Il convient notamment d’investir dans du personnel qualifié, dans l’infrastructure informatique et dans l’achat de services externes tels que l’exploitation d’un SOC (Security Operation Center), etc.

Quelles bonnes pratiques et mesures de protection recommandez-vous aux établissements de santé pour se protéger des cyberattaques?

La cybersécurité consiste toujours à mettre en œuvre une combinaison de mesures techniques et organisationnelles. Dans une première phase, de nombreuses cyberattaques ne ciblent pas l’infrastructure technique mais les personnes qui travaillent avec cette infrastructure. La sensibilisation des collaboratrices et collaborateurs est donc essentielle. L’OFCS a constaté qu’une sensibilisation continue est particulièrement bénéfique. Par exemple, il est plus efficace d’aborder la cybersécurité pendant une demi-heure une fois par mois lors d’une réunion interne que de sensibiliser l’ensemble du personnel aux cyber-risques pendant une journée une fois par an. Les mesures techniques comprennent les précautions habituelles telles que pare-feu, protection antivirus, mises à jour ou sauvegardes. Les systèmes particulièrement critiques doivent être bien protégés et, si possible, séparés du reste de l’infrastructure informatique.

«L’OFCS a constaté qu’une sensibilisation continue est particulièrement bénéfique. Par exemple, il est plus efficace d’aborder la cybersécurité pendant une demi-heure une fois par mois lors d’une réunion interne que de sensibiliser l’ensemble du personnel aux cyber-risques pendant une journée une fois par an.»

La gestion des utilisateurs revêt également une grande importance. L’affectation de rôles permet de déterminer qui a accès à quelles applications et si ces personnes ont besoin ou non de droits d’administrateur. Par exemple, dans une clinique universitaire, il n’est pas nécessaire que le médecin-chef ait accès à l’application qui permet de commander les aliments pour les repas des patients. Une autre mesure organisationnelle est le Business Continuity Management (BCM). Il s’agit d’un plan d’urgence qui définit comment le travail peut se poursuivre si l’informatique n’est pas disponible pendant un certain temps. Le concept de communication de crise détermine si et sous quelle forme l’entreprise concernée doit informer qu’elle a été victime d’une cyberattaque. Il détermine également qui est responsable de cette information, par exemple le département de la communication ou le conseil d’administration. Une autre question importante à clarifier est celle du canal de communication. L’expérience a montré qu’après une cyberattaque, les sites Web, les e-mails, la téléphonie par Internet, etc. ne fonctionnent pas pendant plusieurs jours. Il est donc nécessaire de mettre en place un canal alternatif pour que les personnes clés puissent être informées de la cyberattaque, par exemple Threema, Signal ou autres canaux de communication.

Existe-t-il des solutions pour mettre fin à la course à l’armement informatique entre cybercriminels et départements informatiques?

Les cybercriminels sont constamment à la recherche de ce qu’ils nomment des «exploits zero-day». Il s’agit de failles dans les systèmes informatiques dont les fabricants de ces systèmes n’ont pas encore connaissance. Les «exploits zero-day» sont proposés sur des forums de pirates informatiques, notamment sur le Darknet. L’exploitation d’une telle faille réduit considérablement le risque pour les pirates que de telles attaques soient détectées. L’EPF de Zurich mène depuis quelques années des recherches sur la technologie SCION (Scalability, Control and Isolation On Next-Generation Networks). L’infrastructure Internet traditionnelle fait que les paquets de données (p. ex. e-mails) n’empruntent souvent pas le chemin le plus direct de l’expéditeur au destinataire. Ces paquets de données risquent donc d’être interceptés, lus ou modifiés en cours de route. C’est là que SCION intervient: contrairement à l’infrastructure Internet traditionnelle, SCION spécifie l’itinéraire complet du paquet de données et réduit ainsi considérablement le risque que des tiers non autorisés puissent manipuler ces paquets de données. SCION permet un routage sécurisé des données et empêche ainsi les attaques de réseau. Différents secteurs misent déjà sur la technologie SCION et créent des domaines isolés, déconnectés de l’Internet public, ce qui réduit fortement la surface d’attaque. Par exemple le secteur financier avec le SSFN (Secure Swiss Finance Network) et le système de santé avec le SSHN (Secure Swiss Health Network).

Comment les différents acteurs du système de santé et du secteur public peuvent-ils parvenir ensemble à renforcer la cybersécurité?

L’introduction d’une obligation de signaler les cyberattaques contre des infrastructures critiques est imminente, le Parlement ayant approuvé le projet de loi l’été dernier. Cette obligation de signaler permettra à l’OFCS de mieux évaluer le niveau de menace et de contacter encore plus rapidement les victimes potentielles de manière proactive. Les infrastructures critiques, dont font partie de nombreuses entreprises du secteur de la santé, devront désormais signaler toute cyberattaque à l’OFCS et bénéficieront, si elles le souhaitent, d’un soutien. L’OFCS offre à toutes les entreprises appartenant à un secteur critique la possibilité d’accéder à un portail de sécurité spécifique. Via ce portail, l’OFCS échange avec ces entreprises des informations sur les cybermenaces, les cyberattaques, les vulnérabilités et autres aspects liés à la sécurité. Ces informations proviennent souvent de sources non accessibles au public et offrent donc une importante valeur ajoutée. Enfin, la mise en place de groupes d’échange d’expériences, ou groupes ERFA, est également judicieuse: dans ces groupes, des spécialistes de la sécurité de différentes entreprises d’un même secteur se rencontrent régulièrement pour discuter de sujets liés à la sécurité. Cet échange d’informations ne peut fonctionner que sur la base d’une confiance mutuelle.

Voyez-vous des dangers imminents, p. ex. l’IA est-elle une malédiction ou une bénédiction?

Avec l’intelligence artificielle, les cyberattaques deviennent de plus en plus professionnelles et donc de plus en plus difficiles à détecter pour les spécialistes de la sécurité. Les nouveaux développements tels que l’intelligence artificielle offrent certes d’importantes opportunités, mais ils recèlent aussi des risques qu’il ne faut pas sous-estimer. Comme pour toutes les nouvelles technologies dans le monde numérisé, une «course à l’armement technologique» aura lieu entre cybercriminels et organisations de sécurité également dans le domaine de l’intelligence artificielle.