Protection des systèmes critiques : cas d’usage dans le secteur de la Santé

Protection des systèmes critiques : cas d’usage dans le secteur de la Santé

 

Lorsque l’on aborde le sujet des systèmes critiques, on pense tout de suite aux systèmes qui ont des impacts sur la vie des personnes. De la même manière, si on intéresse aux notions de services et d’activités essentielles, le secteur de la santé apparaît immédiatement comme une secteur prioritaire. L’article qui suit se propose de vous faire un retour d’expérience sur une mission d’Advens ayant permis de protéger ces systèmes de la plus haute importance.

 

La Santé, un secteur difficile à protéger ?

Les missions du secteur de la Santé sont aussi variées que complexes. Le cas d’un centre hospitalier et de son système d’information illustre d’ailleurs très bien cette complexité. Un système d’information hospitalier (SIH) est un système d’une grande hétérogénéité, la raison principale en est que les SIH doivent supporter les activités d’un grand nombre de métiers : médecins et personnels soignants, pharmaciens, techniciens de laboratoires, spécialistes de l’imagerie médicale, comptables et contrôleurs de gestion, ressources humaines, logistique, sureté… La liste est très longue. La diversité des besoins opérationnels est donc une première cause de complexité : chaque métier fait face à ses propres enjeux de sécurité. Les mesures proposées pour sécuriser un SIH doivent donc être adaptées et cohérentes pour tenir compte de cette contrainte.

De plus, la Santé s’appuie sur des données particulièrement sensibles. Les données de Santé et, en particulier, les données relatives à l’état de santé d’un patient, sont des données personnelles qui font l’objet d’un cadre réglementaire dédié. Leur traitement doit ainsi s’accompagner d’une démarche de conformité qui s’appuie sur plusieurs référentiels (RGPD, code de la santé publique, loi de programmation militaire, directive NIS…). Au-delà de la stricte conformité, il faut garder en tête l’importance toute particulière que les patients eux-mêmes attachent à ces données. On peut difficilement faire plus personnel ! L’émotion prend parfois le pas sur la raison, ce qui nécessite des efforts accrus en matière de sensibilisation et de communication. Enfin, il ne faut surtout pas négliger la valeur des données de recherche et le besoin d’une forme de souveraineté numérique autour de leurs traitements et analyses. Que se passerait-t-il si la recherche dépendait d’acteurs dont les intérêts et la soif de données ne sont pas toujours alignés avec les intérêts de la médecine ? Répondre à ces problématiques, c’est relever un défi supplémentaire pour protéger les données nécessaires au secteur de la Santé !

Par ailleurs, sur le plan technique, l’informatique médicale présente de fait maintes complexités inhérentes à son architecture et son organisation. Il ne s’agit pas de protéger uniquement des ordinateurs « classiques » et les serveurs associés. L’évolution des usages numériques contraint désormais les équipes informatiques à prendre en compte tous les éléments connectés aux SI traditionnels. En premier lieu, l’informatique biomédicale : c’est l’équivalent de l’informatique industrielle pour le secteur hospitalier. Ce sont des équipements très couteux dont les technologies et les protocoles ne sont pas toujours les mêmes que ceux utilisés pour l’informatique de gestion. Il est difficile d’y appliquer les mêmes stratégies de sécurité (perte de garantie en cas de passage d’un patch de sécurité, impossibilité de « toucher » au matériel compte-tenu de sa criticité, faible sensibilisation des industriels, etc.). Certes, des solutions existent mais il n’en demeure pas moins que l’informatique biomédicale reste encore un domaine à explorer. Plus globalement, la liste des équipements connectés augmente jour après jour ! L’hôpital devient un bâtiment connecté et les différents flux qui y circulent peuvent être pilotés par des dispositifs reliés au réseau informatique, qui sont tout autant de zones de risques pour la cybersécurité.

Enfin, comme partout, il faut se rappeler que l’informatique n’est pas la préoccupation première des professionnels concernés, et en particulier du personnel soignant. C’est avant tout un outil, qui doit répondre présent quand on en a besoin et ne pas apporter une complexité supplémentaire dans un quotidien très chargé. Il va sans dire que si la sécurité perturbe l’ergonomie ou l’efficacité des outils informatiques, les règles seront probablement contournées ou remise en question. Les différents professionnels reconnaissent également un faible niveau de sensibilisation à ces problématiques. « Le secret médical fait partie de notre culture. Mais, si nous maitrisons ces aspects pour les dossiers physiques et la communication orale, les moyens de l’assurer au niveau informatique sont encore très mal connus par les soignants selon moi. » remarque le Dr Boris Duchemann Médecin pneumologue à l’AP-HP. 

 

Changer de paradigme : les apports du mode « Service »

Le constat est simple mais préoccupant : la cybersécurité de la santé et, en particulier, des centres hospitaliers est un défi d’envergure. La bonne nouvelle ? Toutes les solutions, techniques, réglementaires et organisationnelles, existent. Comme souvent en matière de Cyber, la difficulté réside dans la bonne orchestration des mesures, mais aussi, à l’évidence, dans la capacité à les mettre en place.

Le sujet de la capacité, ou plus exactement des capacités, est un de premiers freins quant à l’augmentation du niveau de sécurité de l’informatique hospitalière. En premier lieu la capacité financière. Nul n’ignore que le niveau des finances publiques ne permet pas les investissements les plus généreux ! Cependant le thème de la Cyber a vu sa priorité augmenter au sein de toutes les instances de gouvernance, depuis le Ministère jusqu’aux comités de direction. En second lieu, la capacité humaine. Non seulement les équipes informatiques sont réduites, mais en plus les compétences recherchées sur le marché pour gérer la sécurité se font rares. Il est donc courant de voir des démarches de sécurité incomplètes, car portées par une ressource dont la sécurité n’est pas la priorité première. Dans d’autres cas, on constate le déploiement de solutions de protection… qui ne sont pas gérées au quotidien et dont les alertes pourraient ne pas être traitées. La sécurité est donc trop souvent partielle, tant pour la couverture des problématiques que pour l’entretien dans la durée.

Ce constat peut être étendu à d’autres secteurs d’activité. Le pilotage de la sécurité s’essouffle et la recherche d’efficacité n’est pas assez poussée. On se contente trop souvent d’accumuler des briques technologiques, sans en tirer pleinement profit au quotidien. Il faut inverser cette tendance et rechercher des leviers d’efficacité : comment faire plus avec moins ? Comment s’assurer que les dispositifs de sécurité remplissent leurs objectifs ? Comment faire de la sécurité avec peu voire pas de ressources dédiées ? La réponse qu’Advens a mis en œuvre est double : elle s’appuie sur la mutualisation et sur l’approche Service.

L’approche Service consiste simplement à délivrer les prestations de sécurité sous forme d’abonnement, visant à opérer un service de sécurité clé-en-main. Cette approche permet à un centre hospitalier de se concentrer sur ses activités premières et ne pas devoir allouer de ressources humaines, rares, pour la gestion des technologies de sécurité. Le service demandé est pris en charge par un tiers de confiance, qui s’engage à mettre en place les solutions nécessaires et surtout à les gérer et les entretenir dans la durée. Cette forme d’externalisation des processus (dans une logique de « business process outsourcing » appliqué à la cybersécurité) est le choix qu’a fait la Centrale d’Achat de l’Informatique Hospitalière (CAIH) via son marché « Sécurité Opéré à 360 », remporté par Advens. Cette approche novatrice propose une simplification de la sécurité pour les structures concernées par les offres de la CAIH. Mais cette simplification n’est pas une réduction. Les services sont conformes aux différentes réglementations et permettent d’accroitre la maturité des hôpitaux et autres structures adhérentes de la CAIH.

« Les DSI sont confrontés à la mise en œuvre de la sureté de fonctionnement de systèmes d’informations complexes, hétérogènes et en perpétuelle évolution. En lien avec les RSSI et les DPO ils sont garants de la sureté de fonctionnement. La solution EDR opérée apporte un service proactif, efficace et simple à mettre en œuvre. La visibilité Temps réel et 24h/24 apportée sur la sécurité du SI est complétée par l’expertise d’un CERT et des référents Sécurité immédiatement mobilisés dès les signaux faibles. Cette expertise est complétée par une intelligence artificielle en capacité d’analyser ces signaux faibles et qui permet une réponse opérationnelle agissant de façon proactive avant que d’éventuelles attaques soient effectives. » explique Guillaume Deraedt, délégué adjoint en charge de la stratégie digitale au sein de la CAIH.

 

Cette approche favorise également la mutualisation, logique initiée dans le monde de la santé depuis 2016 avec la mise en place des GHT par exemple. En effet le marché CAIH 360° propose le premier SOC mutualisé dédiée à la Santé. La construction de ce service, propulsé par la Security-as-a-Service Factory d’Advens, s’inscrit dans la logique d’une sécurité maximale et aux meilleurs coûts pour les centres hospitaliers. Le SOC (centre opérationnel de sécurité, en charge des fonctions de détection et de réaction en cas d’incident) est l’organe centrale d’une bonne stratégie de cyberdéfense. Mais il nécessite des compétences, des technologies et des processus bien particuliers. La construction d’un SOC dédié et interne représente un projet que plusieurs structures ne sont pas en mesure de mener à bien – pour les raisons de capacité citées précédemment. Par ailleurs, la mutualisation est un vecteur d’efficacité pour des activités d’analyse, de suivi des menaces et de recherches des signaux d’attaque. La mise en place d’un SOC pour la Santé prend donc tout son sens. Les équipes informatiques se concentrent sur l’analyse des remontées du SOC et sur le traitement des incidents, et non plus sur des travaux de construction ou d’expertise technique. Les bénéfices sont nombreux, et très concrets !

 

Cas d’usage : EDR managé

Le service d’EDR managé mis en place par Advens et la CAIH illustrent les bienfaits des services mutualisés et opérés. Suite au démarrage du marché CAIH 360°, nos équipes ont mis en place d’un service de protection des postes de travail et des serveurs.

Ce service s’appuie sur le déploiement et la gestion d’un EDR. L’EDR (Endpoint Detection and Response) est une technologie qui vise à dépasser les limites des antivirus traditionnels et de renforcer la sécurité des « endpoints » (postes de travail, serveurs, mobiles, etc.) qui se connectent au système d’information. C’est une réponse efficace à des enjeux actuels, comme les malwares fileless ou certaines attaques récentes. Et c’est aussi une solution adaptée à la protection des parcs obsolètes. Mais c’est une technologie qui nécessite d’être gérée au quotidien, pour suivre les alertes et tirer profit de toute sa valeur !  L’introduction d’une nouvelle solution de sécurité sans le mode service n’aurait pas été efficace.

Le service se concentre ainsi sur un objectif simple : protéger les endpoints des centres hospitaliers sans surcharge des équipes informatiques.  « Le service EDR managé proposé par Advens via la CAIH nous semble totalement adapté aux enjeux actuels du monde de la santé. Les complexités technologiques sont pour l’essentiel gommées par Advens au profit des CH bénéficiaires du service. » indique Karly Langa, responsable des activités Secteur Public & Santé chez Advens. En effet, la solution d’EDR n’est plus la problématique principale. Le service embarque même plusieurs solutions, pour déployer celle qui est la plus adaptée à un contexte donné.

Par ailleurs, la logique de mutualisation a été poussée jusqu’au bout entre Advens, la CAIH et les éditeurs engagés au sein du service (Cybereason et Microsoft). Conscient des enjeux et des besoins, chaque acteur a trouvé des approches innovantes pour optimiser les coûts. Accessibilité de la solution, facilité de déploiement, retour rapide sur investissement : tout cela a mené à un succès rapide auprès des structures adhérentes de la CAIH. Mais c'est surtout une occasion pour Microsoft et Cybereason une opportunité unique de mettre en pratique leur vision. « La sécurité doit changer de paradigme. Il faut s'appuyer sur la Détection en utilisant des signaux faibles, tels que l'analyse comportementale et l'apprentissage statistique, et la Réponse, pour passer rapidement de la découverte à l'action. L'objectif de notre EDR Microsoft Defender ATP, allié à l'expertise d'Advens, doit permettre à l'ensemble des établissements de santé membres de la CAIH d'assurer la continuité de leur mission première : soigner et sauver des vies. » partage Marcio A. Goncalves Cesario, Enterprise Sales Solutions Leader chez Microsoft. De son côté, Sam Curry Chief Security Officer de Cybereason, témoigne : « Les RSSI sont généralement bien conseillés pour identifier et prioriser les besoins à long terme. En temps de crise, la question de base à se poser lorsque que l’on parle de services essentiels ou critiques est : « critique pour qui ? ». Le RSSI a alors la lourde tâche de définir les priorités de crise, avec toute l’éthique et le recul nécessaires. Il doit identifier ce qui est essentiel pour la société, pour les individus, pour son organisation… avant de se plonger dans les chantiers opérationnels de la réponse à incident et de la remédiation. Pour se concentrer sur cette stratégie, le RSSI doit s’appuyer sur des partenaires et des services qui vont lui permettre d’y voir clair dans le feu de l’action. ».

 

 La leçon à retenir…

L’exemple du service EDR managé proposé par la CAIH via son marché 360° illustre l’approche qui nous semble la plus adaptée au secteur de la Santé. Mutualisation, recherche d’efficacité, gestion des capacités contraintes : la compréhension des enjeux sectoriels a été clé pour construire un service utile. Cette démarche est désormais éprouvée et prête à être déclinée à d’autres secteurs d’activité. L’approche Service prend tout son sens pour mettre à disposition des organisations des technologies de pointe dont la gestion quotidienne nécessite des expertises rares sur le marché tendu de la Cybersécurité.

Plus globalement, cela représente une approche efficace pour protéger les intérêts et les activités d’un secteur critique. Le mode Service et la mutualisation permettent aux acteurs du secteur concerné de s’affranchir des complexités de mise en œuvre, de se concentrer sur des travaux à forte valeur ajoutée et de s’appuyer sur un tiers de confiance qui pourra dépasser sa fonction et les aider en cas de crise majeure.

Benjamin Leroux, Innovation & Marketing, Advens