TECHNOLOGIE DE LA SANTÉ : Quelles sont les plus grandes cybermenaces auxquelles sont confrontées les organisations de santé aujourd’hui ?
MCKE : Les ransomwares restent l'une des plus grandes menaces pour le secteur de la santé. Nous publierons bientôt un rapport spécifique au secteur de la santé en 2024. Pour vous donner un aperçu de certaines de ces statistiques, nous constatons que 91 % des violations de données dans le secteur de la santé donnent lieu à une attaque par ransomware. Les ransomwares restent un énorme problème dans le secteur de la santé.
Les vulnérabilités des dispositifs médicaux sont une spécificité du secteur. Le nombre d'appareils connectés continue d'augmenter dans le secteur médical, et ce qui est intéressant, c'est que beaucoup de ces appareils médicaux n'ont malheureusement jamais été conçus pour être connectés à un réseau actif. Cela signifie que de nombreux contrôles de sécurité appropriés n'ont pas été inclus, ce qui n'est pas la faute des développeurs, car cela n'a jamais fait partie du modèle de menace initial qu'ils devaient prendre en compte. Il y a beaucoup de fruits à portée de main pour les attaquants, ou des choses faciles à exploiter.
La troisième menace, associée aux vulnérabilités des dispositifs médicaux, est celle des attaques de la chaîne d'approvisionnement, qui peuvent prendre de nombreuses formes. Nous oublions souvent qu'une vulnérabilité dans une dépendance ou un problème de sécurité dans une bibliothèque utilisée par un logiciel ou un matériel plus volumineux est considéré comme une attaque de la chaîne d'approvisionnement.
L'un des plus grands exemples de ce phénomène ces derniers temps est Log4j, qui reste un problème majeur dans le monde entier. En fait, nous avons signalé l'année dernière que 43 % des attaques généralisées que nous observons utilisent toujours Log4j. La raison pour laquelle cela est pertinent pour le secteur de la santé est que les dispositifs médicaux sont connectés, généralement avec des bibliothèques plus anciennes qui sont plus vulnérables aux attaques de la chaîne d'approvisionnement basées sur des logiciels en raison de la difficulté de mettre à jour et de corriger ces dispositifs.
TECHNOLOGIE DE LA SANTÉ : Quel est l’état actuel de la cyber-résilience dans le secteur de la santé ?
MCKE : Je tiens à préciser que la situation varie considérablement d'un établissement de santé à l'autre. J'aborderai cette question de deux manières : les aspects positifs et négatifs que nous observons en matière de résilience des soins de santé.
D'un point de vue positif, au cours des cinq dernières années, nous avons constaté une nette amélioration de la prise de conscience de l'importance de la cybersécurité dans le secteur de la santé. Les organisations se rendent compte que la cybersécurité est en fait liée à la sécurité des patients. Lorsque nous discutons avec les RSSI et les cadres du secteur de la santé, nous entendons beaucoup plus de sensibilisation et de compréhension du problème. Ils savent que cela doit être une priorité, et c'est une chose très positive. Nous ne pouvons pas voir de changement en matière de sécurité si nous n'en sommes pas conscients. Nous constatons également une plus grande sensibilisation sur le terrain : lorsque nous discutons avec les médecins, les praticiens et les infirmières, ils sont de plus en plus conscients du fait que la cybersécurité est un problème croissant. Je pense que c'est une chose positive.
Le secteur de la santé commence également à s'améliorer en adoptant des technologies plus avancées. Ce processus sera lent en raison de la nature des exigences réglementaires imposées au secteur de la santé, mais nous commençons à voir des choses comme le cryptage complet. Même si cela semble élémentaire, le cryptage complet n'a pas été utilisé dans le secteur de la santé pendant très longtemps. Il y avait toutes sortes de protocoles circulant sur le réseau qui n'étaient tout simplement pas du tout cryptés.
Nous commençons également à voir les fabricants d'appareils s'assurer que le chiffrement de bout en bout est mis en œuvre dans les appareils médicaux. Désormais, la question de savoir si ces appareils seront adoptés dans le secteur de la santé est une autre affaire, mais au moins, nous voyons des technologies plus sécurisées utilisées dans les appareils médicaux. Cette tendance va dans la bonne direction.
D’un autre côté, les organisations de santé ont du mal à trouver les ressources et à disposer des bonnes personnes ou de la bonne technologie pour assurer les protections adéquates. Le secteur de la santé est l’un des plus grands défis de tous les secteurs, car il est difficile de faire quoi que ce soit lorsque vous avez deux priorités principales : la vie humaine, qui est la chose la plus importante, et la cybersécurité. Les organisations doivent tenir compte du fait que la cybersécurité est liée à la vie humaine et qu’elle doit être l’une de leurs priorités les plus importantes. Il est difficile de corriger ces deux choses. Lorsqu’une organisation dispose de ressources limitées, comment peut-elle rivaliser en termes de temps, d’argent, etc. ? Cela continue d’être un défi dans le secteur de la santé.
Enfin, en raison de ses deux grandes priorités, le secteur de la santé est extrêmement concentré sur la conformité réglementaire. Cependant, ces priorités de conformité ne sont souvent pas axées sur la cybersécurité. Elles n'ont pas pris en compte la cybersécurité liée à la sécurité des patients. La réglementation est toujours une chose lente. Je pense qu'elle s'améliore, mais c'est toujours un domaine dans lequel les organisations de santé ont du mal à se conformer.
TECHNOLOGIE DE LA SANTÉ : Quelles sont les stratégies et solutions que les organisations de soins de santé peuvent mettre en œuvre pour améliorer leur cyber-résilience ?
MCKE : Les gens sont souvent surpris par ma réponse à cette question, car elle n'a rien à voir avec la technologie. La plupart des mesures que les établissements de santé peuvent mettre en œuvre pour améliorer la cyber-résilience sont souvent basées sur des processus, croyez-le ou non. Un établissement de santé n'aura jamais assez de ressources, qu'il s'agisse de personnel ou de technologie, ce qui signifie que la priorisation est extrêmement importante.
La priorisation et l'établissement de bases de référence sont probablement les deux éléments les plus importants pour améliorer la cyber-résilience d'une organisation. Les organisations de santé ne devraient pas se fier aux généralisations et dire : « Les attaquants viennent pour tout. » C'est peut-être vrai, mais cela ne leur permettra pas d'aligner correctement leurs ressources sur ce qui doit être protégé.
Les organisations de santé devraient plutôt se concentrer sur ce qui est vraiment essentiel à leur mission. Les solutions de dossiers médicaux électroniques en sont un bon exemple. Veillons-nous à ce que la sécurité d'un DSE, s'il s'agit d'un système essentiel à notre activité, soit notre priorité numéro un en matière de cybersécurité ? Si cela signifie que nous devons accorder moins d'attention et de temps à d'autres choses, ce n'est pas grave, car nous savons que c'est le joyau de la couronne. Les organisations doivent prioriser les ressources limitées dont elles disposent.