La bonne marche de nos sociétés dépend du fonctionnement optimal d’un certain nombre d’infrastructures critiques. Parmi celles-ci, les organisations actives dans le secteur de la santé occupent une place de premier plan. Or, ce sont également celles les plus visées par les hackers. « Plusieurs raisons permettent de l’expliquer, à commencer par le fait que les hôpitaux dépendent beaucoup de l’IT et qu’ils ne peuvent pas risquer la vie des gens. Lorsqu’ils subissent une attaque de type ransomware, par exemple, ils vont le plus souvent payer la rançon sans poser trop de questions. Et les hackers le savent », relève Pieter Molen, Technical Director for Trend Micro Benelux.

Ce réflexe est d’autant plus courant que les structures médicales possèdent des données très sensibles sur leurs patients, et qu’une fuite les exposerait à des conséquences légales importantes, notamment au regard du RGPD (règlement général sur la protection des données). D’ailleurs, on constate que les attaques rançongicielles traditionnelles – où les données sont encryptées puis décryptées contre paiement – ont évolué au cours des dernières années. Aujourd’hui, les hackers envoient un échantillon des données qu’ils ont subtilisées à leur victime en les menaçant de les publier s’ils ne sont pas payés.

Un environnement IT éclaté

Une autre raison pour laquelle les hôpitaux sont plus à risque que d’autres organisations réside dans leur ouverture par rapport au monde extérieur. Tout le monde peut entrer dans un hôpital sans qu’on lui pose trop de questions. On peut souvent s’y connecter à Internet via un réseau peu protégé. Et un nombre important de prestataires de services extérieurs sont amenés à y travailler, des techniciens de maintenance aux personnes assurant le nettoyage. « En outre, l’écosystème IT au sein des hôpitaux est souvent très large et éclaté, poursuit Pieter Molen. On compte généralement de nombreux appareils reliés au réseau, qui reposent sur des technologies souvent anciennes, qui ne sont pas renouvelées pour des raisons de certification. Cela signifie qu’il existe dans ces structures un nombre très important de portes d’entrée potentielles pour les hackers. Or, ces derniers n’ont besoin que d’une seule entrée pour avoir accès à l’ensemble du système. »

Se protéger contre ces menaces, qui peuvent venir de partout, est donc particulièrement complexe. De plus, une démarche efficace en la matière doit aussi prendre en compte le facteur humain. « Très souvent, les hackers s’introduisent encore dans un système par l’entremise d’un utilisateur qui a cliqué sur un mauvais URL, explique Pieter Molen. Il y a donc encore un important effort de pédagogie à fournir pour se prémunir contre ces risques, tant au niveau de l’utilisateur que du management, qui ne comprend pas toujours qu’une protection efficace demande une vigilance et une mise à niveau constantes. »

Les managers légalement responsables avec NIS  2

L’urgence d’agir en la matière est encore plus claire avec l’entrée en vigueur, au début du mois de janvier, de la directive NIS 2 (Network Information Security). Contrairement à sa première version, cette nouvelle législation européenne intègre le secteur des soins de santé. Et elle rend le management légalement responsable si les mesures nécessaires n’ont pas été mises en place pour garantir la sécurité de l’infrastructure informatique de l’organisation. « Il s’agit notamment d’identifier l’ensemble du matériel qui peut servir de point d’entrée aux hackers, de connaître les risques et de les contrôler, de protéger le cloud et les serveurs, mais aussi de fournir un monitoring permanent par rapport aux mesures qui ont été prises, détaille le Technical Director de Trend Micro Belux. L’idée n’est pas de blâmer une organisation parce qu’elle a été victime d’une attaque – car le risque zéro n’existe pas –, mais bien de la punir si elle n’a pas pris les mesures qui s’imposaient. »

Face à cette menace complexe et aux nouvelles obligations imposées par NIS 2, Trend Micro propose une solution tout-en-un particulièrement efficace. « Nous mettons à disposition une plateforme qui permet de sécuriser tout l’écosystème, indique Pieter Molen. L’idée est de collecter les données de l’ensemble des appareils connectés au réseau de l’hôpital, de les rassembler dans un ‘data lake’, de les analyser en temps réel afin d’identifier ce qui est suspicieux, de donner l’alerte et de prendre immédiatement des mesures, comme l’isolement du point d’entrée. » Ce service actif 24h/24, chaque jour de l’année, permet de trouver l’aiguille que représente un hacker dans la botte de foin particulièrement fournie que constitue le système informatique de l’hôpital. « Cela vaut aussi pour le cloud, qui est aujourd’hui largement utilisé mais souvent mal configuré, et dès lors aussi une porte ouverte aux attaques », précise Pieter Molen.

La solution de Trend Micro est déjà utilisée par plusieurs hôpitaux belges. Ses qualités, dans un contexte réglementaire qui se durcit, devraient sans doute convaincre d’autres structures sur le territoire de la Belgique et du Luxembourg au cours des prochains mois.