Cybersécurité

"Annuaires techniques et exposition sur internet" (65 M€), ouvert jusqu'au 19 avril, et "HospiConnect" (1,4 M€), ouvert jusqu'au 5 avril : les 2 premiers guichets du programme CaRE, visant à renforcer la cybersécurité dans les établissements de santé, ont été officiellement lancés, le 18 mars 2024.

Les systèmes nationaux de certification de cybersécurité seront remplacés par ceux certifiés au niveau européen. La European Common Criteria Cybersecurity Certification (EUCC) sera d'une durée maximale de 5 ans. En France, la vérification de sa bonne application au niveau national se fera par l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Prévention, traitement, formation, recherche… Si son potentiel est exploité pleinement et de manière éthique, le métavers pourrait être un outil prometteur au service de la santé de tous. Afin de mieux évaluer ses opportunités, des chercheurs italiens de l’université de Catane (Sicile) ont réalisé une revue de la littérature* sur le sujet.

Si les résultats de leurs travaux, publiés le 30 août dans le Journal of Functional Morphology and Kinesiology, mettent en évidence la pauvreté de la littérature disponible sur le métavers appliqué au domaine de la santé, les chercheurs relèvent la puissance de cette technologie émergente pour surveiller la santé des personnes éloignées de toute structure de soins (déserts médicaux).

 ‎📌 Principaux résultats :
• la littérature sur le métavers et la santé est limitée à quelques revues de la littérature et éditoriaux ;
• le métavers peut être adopté pour les procédures diagnostiques et chirurgicales et la rééducation concernant la douleur, les accidents vasculaires cérébraux, l'anxiété, la dépression,  la peur, le cancer et les troubles neurodégénératifs, avec des résultats satisfaisants ;
• la possibilité de créer des avatars permet des consultations (téléconsultations) et des soins personnalisés ;
• différents dispositifs peuvent être adoptés pour surveiller l'état de santé directement à domicile (télésurveillance), en reliant la vie réelle au monde virtuel.

Cybersécurité : l'enjeu de la protection des données personnelles

Le métavers apparaît notamment comme un outil facilitant la collecte d’une vaste quantité d'informations personnelles sur la santé, permettant la création de systèmes de big data et d'apprentissage automatique (machine learning) qui pourraient aider le système de soins de santé et la recherche.

En conséquence, les dangers possibles liés à la gestion des données et au respect de la vie privée émergent. Les auteurs de la publication estiment que "le métavers pourrait être un endroit dangereux où de nouveaux crimes vicieux et sophistiqués pourraient être commis, notamment en ce qui concerne le vol de données personnelles" (cybersécurité).

Les études futures devront donc examiner en profondeur la faisabilité d'un métavers de la santé dans lequel les utilisateurs peuvent apprendre et être guidés vers des comportements sains. L'enjeu est de trouver le chemin pour passer de la théorie à la pratique.

Les 1ers pas de la santé dans le métavers

Le métavers est un monde virtuel tridimensionnel (3D) basé sur internet, où les individus mènent leurs activités quotidiennes à l'aide d'avatars représentant leur personnalité "réelle" ou imaginaire. Si cette définition fait davantage penser à l’univers du jeu, la santé représente pourtant un terrain intéressant pour cette technologie émergente.

« Ce n'est pas seulement un endroit où l'on peut s'éloigner de la vie trépidante et profiter d'une vie de loisirs, mais selon nous, c'est un endroit où les individus vont vivre une partie de leur vie en utilisant des services et des installations », estiment des chercheurs italiens de l’université de Catane, à l'origine d'une revue de la littérature sur le métavers dans le secteur de la santé.

976 études détectées, seules 21 jugées recevables

Des applications de la technologie dans le champ sanitaire commencent à émerger : le potentiel de ce monde virtuel pour la prévention et le traitement des maladies, l'éducation, la formation et la recherche pourrait même être sans limite. Preuve de cet intérêt : un premier diplôme universitaire sur le « Métavers en santé » figure depuis cette année au programme des formations délivrées par l’Université Paris-Cité.

Afin de mesurer scientifiquement la maturité du sujet, ces chercheurs italiens ont décidé de passer en revue la littérature. Quelque 976 études portant sur le métavers et la santé ont été détectées après le filtrage des 3 bases de données (Pubmed : 67 ; Web of Science : 380 ; Scopus : 529). Au final, seules 21 études ont été jugées recevables.

Résultats : une littérature encore pauvre

• La littérature sur ce sujet est limitée à quelques revues de la littérature et éditoriaux.
• Le métavers peut être adopté pour les procédures diagnostiques et chirurgicales et la rééducation concernant la douleur, les accidents vasculaires cérébraux, l'anxiété, la dépression, la peur, le cancer et les troubles neurodégénératifs, avec des résultats satisfaisants.
• La possibilité de créer des avatars permet des consultations et des soins personnalisés
• Différents dispositifs peuvent être adoptés pour surveiller l'état de santé directement à domicile, en reliant la vie réelle au monde virtuel.

Cette revue de la littérature montre que le sujet est nouveau et innovant, et qu'il nécessite des investigations futures. Cependant, des pistes se dessinent. Dans le domaine des soins, les auteurs de cette revue de la littérature suggèrent que "dans le métavers, les médecins pourraient rendre visite à leurs patients dans une clinique virtuelle en 3D en utilisant des services de télémédecine et des dispositifs à domicile tels que des capteurs portables et des applications pour smartphone afin de surveiller leur état de santé".

Les avatars, de vraies infirmières virtuelles

En outre, les avatars devraient pouvoir jouer un rôle non négligeable dans le système de santé. Basé sur l'intelligence artificielle, ils pourraient fournir un retour d'informations et des motivations personnalisés, et, de cette façon, rendre l'intervention médicale plus efficace. « Les avatars, grâce à la nouvelle technologie, réagissent de manière réaliste dans leur discours, leurs expressions faciales et leur langage corporel », comme une "infirmière virtuelle", relèvent les auteurs de la publication.

Le métavers devrait par ailleurs progressivement investir le domaine de la formation, et notamment via la réalité virtuelle. Cette dernière présente l’avantage d’être accessible de n'importe où, indépendamment de la distance ou de l'espace. Pour les chercheurs italiens, ces atouts liés à la réalité virtuelle et à la réalité augmentée pourraient permettre de "standardiser l'éducation des gens" : "cela pourrait réduire les disparités dans l'éducation des futurs étudiants en médecine", soulignent-ils.

Cybersécurité : "un endroit dangereux"

Enfin, dans cette revue de la littérature, les chercheurs se sont penchés sur les opportunités en termes de recherche.

Le métavers apparaît comme un outil facilitant la collecte d’une vaste quantité d'informations personnelles sur la santé, permettant la création de systèmes de big data et d'apprentissage automatique (machine learning) qui pourraient aider le système de soins de santé et la recherche.

En conséquence, les dangers possibles liés à la gestion des données et au respect de la vie privée émergent. Les chercheurs estiment que "le métavers pourrait être un endroit dangereux où de nouveaux crimes vicieux et sophistiqués pourraient être commis, notamment en ce qui concerne le vol de données personnelles".  

Les études futures devront donc examiner en profondeur la faisabilité d'un métavers de la santé dans lequel les utilisateurs peuvent apprendre et être guidés vers des comportements sains. L'enjeu est de trouver le chemin pour passer de la théorie à la pratique.

81 % des consommateurs pensent que les industries de la santé seront impactées par le metaverse, révèle l'agence Wunderman Thompson dans une étude menée en mars 2022 auprès de plus de 3 000 personnes âgées de 16 à 65 ans aux États-Unis, au Royaume-Uni et en Chine. Selon InsightAce Analytic, le marché mondial du metaverse dans le domaine des soins -  évalué à 5,06 milliards de dollars en 2021 - devrait atteindre les 71,97 Mds $ d'ici 2030 ("Global Metaverse in Healthcare Market", étude publiée en mai 2022).

Web 3 : de la RV au metaverse, en passant par la blockchain

• Depuis les années 2000, l'apparition de la réalité virtuelle (RV) préfigure un avenir numérique parfois associé à la science-fiction.
• Puis, avec l'essor du gaming, qui compte aujourd'hui plus de 3,2 milliards de joueurs, cet univers fictif a envahi nos écrans et transformé notre rapport au numérique.
• L'essor de la blockchain et des capacités des serveurs a favorisé la création d'écosystèmes innovants, tels que les NFT (Non Fungible Roken) et le metaverse.

L’accélération vers ces univers, en raison de la pandémie de Covid-19 et des confinements subséquents, a rebattu les cartes et accéléré la mise en place d'espaces immersifs à fort contenu. La santé a bénéficié aussi de cette transition, avec le recours à la télémédecine, qui lui aussi s’est considérablement démocratisé.

Du Web 2 au Web 3 : comprendre les enjeux d'un marché émergent

Dans cet article, Frédéric Lefret, CEO d'Immersive Talents Agency, revient en exclusivité pour H&TI sur cette transition vers le Web 3 et les enjeux de ce secteur émergent :

• du Web 2 vers le Web 3 : quand les utilisateurs contrôlent leurs données :
> décentralisation des données : une activation de communautés avec le metaverse et le NFT ;
> une nouvelle stratégie : celle du marketing de la rencontre ;

• déjà des usages : formation, serious games, avatars contre le Covid-19... :
> un hôpital virtuel lancé par la société française Simango en janvier 2022 ;
> une intervention médicale virtuelle pour mieux comprendre le parcours de soins ;
> retour sur des premiers usages du metaverse identifiés sur le marché de la santé ;

• quelles opportunités ? - L’acculturation des équipes est primordiale :
> une stratégie pour toucher une audience et diffuser un message avec une éventuelle conversion d'achat ;
> avoir en ligne de mire l'usage apprécié des patients et des consommateurs ;
> santé : la télémédecine, une première étape ;

• comment débuter ? - Des premiers retours limités en termes de ROI :
> toutes les marques présentes dans les NFT et dans le metaverse ne communiquent pas leurs données ;
> le récit client et les expériences de parcours immersifs tendent à personnaliser davantage l'offre.

---

Cette analyse est signée Frédéric Lefret, CEO d'Immersive Talents Agency, une agence de conseil en stratégie marketing dédiée aux espaces immersifs (metaverse, réalité virtuelle, réalité augmentée, NFT, avatars, gaming...). Elle accompagne les marques pour concevoir et réaliser des stratégies afin d’accroître leur visibilité, de cultiver et d'amplifier leurs communautés (prospects et clients). Elle offre la possibilité de pré-tester et de réaliser des études auprès d’un panel représentatif d’utilisateurs NFT et metaverse en Asie, en Europe et en Amérique du Nord.

Une collaboration exclusive avec H&TI.

Du Web 2 vers le Web 3 : quand les utilisateurs contrôlent leurs données

Contrairement au Web 2, où les utilisateurs créent et les plateformes contrôlent tout, le Web 3 permet aux utilisateurs, via la blockchain, de contrôler leurs données et leur identité et de décider qui y a accès.

Décentralisation des données : une activation de communautés avec le metaverse et le NFT

Cette décentralisation des données, qui va devenir la norme, permet aussi de faciliter l’immersion, déjà présente à travers la réalité virtuelle/augmentée (VR/AR) et le gaming, et l’activation de communautés avec le metaverse et le NFT. 

• Le metaverse est un univers virtuel où l’utilisateur va vivre un parcours expérientiel, où il pourra vivre une interaction importante avec l’entreprise et ses marques à travers son avatar.
• Le NFT, quant à lui, est un fichier numérique sur la blockchain qui offre à l’utilisateur la preuve de la propriété de ce fichier, la capacité de le céder à un tiers et d’en tracer son parcours à venir.
  • C’est aussi une clé d’entrée sur les espaces du metaverse, où il est possible d’y emmener le jumeau numérique d’un produit physique.
  • C’est encore un fichier qui vous donne des droits à des expériences physiques sous forme de rewarding (récompenses) et d’accentuer une relation personnalisée avec le consommateur. 

Une nouvelle stratégie : celle du marketing de la rencontre

Ces innovations apportent une nouvelle stratégie marketing, celle du marketing de la rencontre. 

En effet, il est possible de faciliter la rencontre patient et acteur de santé, réduisant ainsi les problématiques de distance, de temps et d’offrir une relation gamifiée à forte plus-value et très individualisée. 

Déjà des usages : formation, serious games, avatars contre le Covid-19...

Un hôpital virtuel lancé par la société française Simango

Depuis plusieurs années, la formation a recours à la réalité virtuelle en permettant de gamifier l’apprentissage des compétences comme le propose Simango avec son hôpital virtuel. C’est le premier hôpital reconstitué de façon virtuelle où les médecins, les infirmières, les aides-soignants peuvent se former aux gestes techniques ou d’hygiène. 

Une intervention médicale virtuelle pour mieux comprendre le parcours de soins

Le metaverse, quant à lui, permettra une "immersivité" et une interactivité encore plus grande. 

L’offre de soins souvent anxiogène va gagner en acceptabilité par les patients pour «vivre» avant le soin l’intervention virtuellement pour mieux en comprendre le parcours de soins. 

C’est aussi la capacité d’échanger avec d’autres patients. 

Tous les acteurs sont concernés ; chercheurs, médecins, infirmières, laboratoires, pharmacies… 

D’ailleurs, les premiers usages sont déjà apparus :

• aux États-Unis, la Food and Drug Administration (FDA) a approuvé en 2020 le tout premier jeu vidéo sur ordonnance, EndeavorRX, pour traiter le TDAH chez les enfants ;
• la principale chaîne de pharmacies CVS prévoit d'intégrer sa pharmacie et ses cliniques de santé dans le metaverse pour y vendre des biens virtuels incluant de la prescription ;
• Pfizer a vacciné les avatars contre le Covid-19 dans Grand Theft Auto, pour éduquer et promouvoir la vaccination auprès des jeunes au Brésil ;
• l'association britannique DeHealth a lancé en 2021 le premier univers en metaverse où les médecins travaillent, se concertent et consultent les patients en réalité virtuelle ;
• fin 2021, à Séoul, la Metaverse Doctors Association (MDA) a été lancée : il s'agit de la première association dédiée au metaverse dans le secteur de la santé. 

Quelles opportunités ? - L’acculturation des équipes est primordiale

Une stratégie pour toucher une audience et diffuser un message avec une éventuelle conversion d'achat

En premier lieu, les principes du marketing stratégique ne changent pas. Ce n'est pas le support numérique qui doit être la finalité mais l'objectif recherché. Il ne faut pas se lancer sur le metaverse ou sur les NFT dans le seul but d'agir comme les concurrents : cette décision doit être l'aboutissement d'une stratégie pour toucher une audience et diffuser un message avec une éventuelle conversion d'achat.

Avoir en ligne de mire l'usage apprécié des patients et des consommateurs

Ce nouveau monde repose sur des codes culturels très spécifiques :

• l'effet de mode peut nuire à l'image de la marque si la stratégie est basée uniquement sur l'effet "waouh !" ;
• il faut travailler à court et à moyen terme avec en ligne de mire, l'usage apprécié des patients et des consommateurs afin d'accentuer leur fidélité et d'amplifier la relation avec les communautés ;
• l’acculturation des équipes est primordiale : il est nécessaire de former ses effectifs à ces nouveaux univers avant de lancer toute stratégie.

Santé : la télémédecine, une première étape

La télémédecine a été une première étape en ce sens dans le secteur de la santé dans la relation patient/médecin. Le conseil et la délivrance de soins seront augmentés dans un univers immersif à forte interactivité, préfigurant la deuxième étape. 

Comment débuter ? - Des premiers retours limités en termes de ROI

Toutes les marques présentes dans les NFT et dans le metaverse ne communiquent pas leurs données

Les premiers retours en termes de ROI sont très limités. Toutes les marques présentes dans les NFT et dans le metaverse ne communiquent pas leurs données. À l'exception de quelques-unes :

• Nike a par exemple lancé "Nikeland" en 2021 et compte désormais plus de 7 millions de visiteurs dans l'histoire du metaverse ;
• Gucci affirme de son côté que plus de 18 millions de personnes se sont engagées avec lui au sein du jeu en réseau Roblox, dans lequel la marque a créé une ville virtuelle.

Cependant, les actions entreprises initialement avaient pour principal objectif de simplement habituer les clients ou les patients à interagir avec la marque dans les nouveaux environnements Web 3.

Le récit client et les expériences de parcours immersifs tendent à personnaliser davantage l'offre

Le récit client et les expériences de parcours immersifs tendent à personnaliser davantage l'offre et à faciliter son expression vis-à-vis de la marque :

• dans un premier temps, il faut s’acculturer avec ces nouveaux univers afin d’en saisir les dynamiques pour mieux comprendre le bénéfice client/patient ;
• puis d'être accompagné pour définir une stratégie qui va générer des scenarios utiles aux clients/patients.

Seuls l’utilité et le sens permettront une appropriation facile et un usage récurrent.

Après un premier épisode en mars, lors duquel l'Assurance maladie a signalé le vol de données d’au moins 510 000 Français à la suite de plusieurs piratages informatiques, voici qu’en juin les identifiants d’1 million de nos concitoyens sont mises en vente par un individu pour seulement 6 000 dollars. Le faible montant de la somme étonne. Autre fait qui dérange : le contenu supposé volé n'est pas vérifiable à moins de l'acheter. Et la Cnam assure n'avoir repéré aucune anomalie sur son système informatique Ameli.fr... Pourtant, une telle attaque ne devrait pas passer inaperçue et devrait laisser des traces.

Les données d'1M de personnes ont-elles vraiment été soutirées ?

Compte tenu des données disponibles sur le site de l’Assurance maladie (nom, adresse, numéros de Sécurité sociale, composition de la famille, informations sur les consultations médicales effectuées, coordonnées bancaires (partielles)...), il n'est pas étonnant qu'elles suscitent de la convoitise. Le prix modique demandé par le pirate pour un million d’identifiants est d'ailleurs étonnant.

Peu d’informations sont connues à ce stade sur l’origine de ce million d’identifiants en vente. Une campagne de phishing à grande échelle a été observée, avec l’utilisation malicieuse d’un faux site (Amelicartes-vitale.com) et en utilisant un nom, "Amii", dont le premier "i" génère une confusion avec Ameli.

Mais se dire que cela a permis de soutirer les informations à autant de personnes est tout de même curieux, et devra être confirmé. Quoi faire en attendant ? Probablement changer de mot de passe en cas de doute. Et continuer à faire preuve de vigilance…

---

Qu'il s'agisse d'un réel hacking ou d'une simple ruse, cette multiplication inquiétante des cyberattaques à l'encontre des données de santé mérite quelques commentaires, non seulement quant à la gravité de la situation mais aussi sur la responsabilité que nous pouvons tous avoir dans ce domaine.

Contexte

Le 17 mars 2022, la Cnam rapportait dans un communiqué avoir constaté plusieurs piratages ayant conduit à la fuite de diverses informations confidentielles, comme les noms, prénoms et numéros de Sécurité sociale des patients. Le droit européen, et en premier lieu le RGPD, contraint depuis plusieurs années toutes les organisations à mettre en place les mesures les plus sérieuses quant à la protection des données.

Mais une protection contre une cyberattaque – qu’elle soit pirate du fait d’organisation criminelle ou corsaire du fait d’organisation étatique – ne tient qu’un temps : il est vivement recommandé de mettre en place des défenses dans la profondeur de manière à dissuader des agresseurs plutôt que d'espérer s’en prémunir éternellement.

Faut-il pour autant refuser tout service qui contiendrait des données ? C’est irréaliste. Des bonnes pratiques sont cependant réalisables à tous niveaux pour que chacun puisse évoluer dans un monde cyber un peu plus sûr.

L'importance de la responsabilité individuelle

Que la motivation des hackers soit vénale, ludique, ou liée à une cause supérieure, la manière de procéder est souvent semblable :

• Il s’agit d’une part de multiples essais, la plupart du temps infructueux, testant des astuces pour contourner les protections classiques et s’appuyant sur des défauts connus de systèmes qui ne sont pas mis à jour.
• D’autre part de piéger des personnes ayant un accès légitime – souvent via un email – en leur soutirant leurs identifiants de connexion afin d’usurper leur rôle.

Il est de la responsabilité de tout professionnel en cybersécurité de se tenir à jour sur les types d’attaques réalisées et les modes de défenses les plus efficaces afin de conseiller efficacement les utilisateurs et de proposer les plans de protection adéquats.

Il est aussi de la responsabilité de toutes les organisations de dégager les moyens – financiers et humains – pour que les protections soient mises en œuvre et que la sensibilisation des personnes soit suffisante.

On évoque cependant peut-être insuffisamment notre responsabilité individuelle :

• protéger ses mots de passe ;
• ne pas cliquer sur un email ou un SMS invitant à se connecter (et préférer se connecter depuis son navigateur) ;
• ne pas partager ses identifiants à la suite d'un appel téléphonique (surtout si l’interlocuteur affirme que c’est urgent) ;
• ...

Des petites choses du quotidien, aussi évidentes que le fait de ne pas laisser son porte-monnaie sur un banc publique ou de ne pas écrire son code de carte bancaire sur sa carte bancaire…

Health & Tech Research, pour sa première étude, a interrogé un échantillon de 30 directeurs de systèmes d'information (DSI) et responsables de la sécurité des systèmes d'information (RSSI) afin de dresser un focus sur les attaques de types ransomware et d'éclairer sur les risques encourus par les établissements de santé.

Dans un contexte de cybercriminalité avec des ransomwares de plus en plus fréquents et où l’innovation de la santé par le numérique est primordiale pour améliorer la prise en charge des patients, nous sommes en mesure de voir où les établissements de santé publics échouent, ce qui doit être amélioré et quels sont leurs besoins en matière de SI pour assurer la qualité, la continuité des soins et la rentabilité du système français de soin.

Le système d’information des GHT avec leur architecture commune à l’ensemble des établissements de supports va passer à une nouvelle ère imprégnée de meilleures pratiques et de solutions technologiques pour mieux servir l’ensemble des parties prenantes, et plus particulièrement patients, professionnels de santé. Ainsi, l’ensemble de ces facteurs est signe de marchés dynamiques pour les industriels et en particulier pour les éditeurs de solutions de protection de données qui voudraient accompagner cette transformation.

Dans cette partie, Health & tech Research a procédé à une évaluation de la notoriété et des expériences des différentes solutions de cybersécurité cités par les 30 DSI/RSSI sondés. 
L'offre de marché ressort suffisamment satisfaisante mais ne répond pas forcément aux besoins des DSI/RSSI sondés, seulement 6% des DSI/RSSI déclarent qu’elles sont tout à fait adaptées.

Un marché fragmenté pour les solutions EDR et SIEM : aujourd’hui, Microsoft et Cisco sont les marques les plus connues du marché, suivies de loin par Symantec, McAfee et Palo Alto pour les solutions EDR.

D'ailleurs, l’équipement des établissements en solutions EDR est très varié. La notoriété des marques des solutions SIEM reste quant à lui à construire sur un marché fragmenté encore une fois et non mature, et seuls Fortinet et Microsoft sont connus par le plus grand nombre.

Offre de marché satisfaisante mais pas suffisamment adaptée aux besoins des DSI/RSSI 

L'offre de marché en matière de solutions de cybersécurité est déclarée satisfaisante par les 30 DSI/RSSI sondés. Cependant, ces derniers déclarent aussi que les solutions pourraient mieux répondre aux besoins des DSI/RSSI, estimant ces solutions de protection des données plutôt adaptées (9 sondés sur 10). Seulement 6% des DSI/RSSI déclarent qu’elles sont tout à fait adaptées.

[vue=150373]

Des perspectives de marché pour les deux segments de solutions EDR et SIEM

Deux marchés potentiellement en croissance dans les hôpitaux

Pour répondre à l’augmentation des incidents et des risques cyber, près de la moitié des établissements déploient conjointement une solution EDR (Endpoint Detection and Response) et une solution SIEM (Security Information and Event Management) pour la gestion des événements de cybersécurité.

• le déploiement des solutions EDR (End point Response) est assuré dans la majorité des établissements de santé (84%). Ce taux déclaré d’équipement doit être confronté avec la réalité de la couverture (pourcentage du système d’information couvert).
• l’adoption d’une solution SIEM n’est en revanche effective que dans la moitié des établissements.

[photo=150374]

Les solutions technologiques EDR (Endpoint Detection and Response)

Qu’est-ce une solution EDR ?

La solution EDR a pour but de protéger les terminaux (ordinateurs portables, ordinateurs de bureau, téléphones, etc.).

La solution EDR représente la principale solution technologique qui permet de faire face aux menaces avancées et persistantes sur les terminaux, pour lesquelles l’efficacité des antivirus n’est pas suffisante.

Utilisant des fonctionnalités d’intelligence artificielle, elle permet une protection en temps réel et peut faire face à un large panel de menaces malveillantes.

Ses capacités d’apprentissage automatique basées sur l’analyse des comportements des terminaux permettent à la fois de :

• empêcher les activités malveillantes ;
• répondre plus rapidement et plus efficacement grâce à des actions automatisées ;
• détecter et anticiper les menaces potentielles.

Elle est adaptée à différents types d’organisations, ayant des niveaux de maturité différents.

En termes de marché en valeur et de croissance

Selon le cabinet Reports & Data, le marché mondial des solutions EDR va connaitre un taux de croissance annuel moyen de 23% sur la période 2019-2027, pour atteindre près de 7 milliards de dollars en 2027 contre 1,4 milliards de dollars en 2019. Ce marché est fragmenté et non mature, composé de petits et gros acteurs tels que Microsoft, Cisco et Symantec. Les experts notamment ceux de Gartner anticipe des fusions par les plus gros dans les prochaines années.

Menaces couvertes

• Menace persistante (Connexions malveillantes, exécution de code, etc….)
• Malware (Ransomware, virus, spyware..….)

Les solutions EDR profilées

[photo=150375]

Notoriété globale des solutions EDR 

Si les apports des solutions EDR semblent faire l’unanimité, la visibilité des marques des solutions reste à construire sur un marché fragmenté et non mature, mêlant petits et gros acteurs.

• une notoriété globale qui se limite à 2 solutions en moyenne ;
• 15% des DSI/RSI sondés sont incapables de citer spontanément une marque de solution EDR du marché ;
• des grands groupes internationaux tels que Microsoft et Cisco qui aujourd’hui n’assoient pas leur légitimité autant qu’ils le pourraient, la notoriété étant l’indicateur de présence à l’esprit ;

[vue=150381]

La notoriété vs l'équipement des établissements sondés en solutions EDR

Microsoft et Cisco sont les marques les plus connues du marché, suivies de loin par Symantec, McAfee et Palo Alto. L’équipement des établissements en solutions EDR est très varié.

[photo=150402]

Recommandation des solutions EDR utilisées par les sondés

La recommandation des solutions atteint un niveau moyen, et suggère des opportunités de croissance pour l’ensemble des éditeurs de solutions. Seul Microsoft bénéficie d’une recommandation élevée.

[photo=150388]

Les solutions technologiques SIEM (Security Event Information management)

Qu’est-ce une solution SIEM ?

Le principe des Security Event Information Management (SIEM) est de gérer les événements de sécurité du système d'information.

Les solutions SIEM constituent un outil puissant d’alerte en cas de tentatives d’intrusion ou de faille de sécurité avérée, en permettant de comprendre l’origine des intrusions et en déterminant la stratégie de lutte à mettre en place.

Elles sont adaptées à différents types d’organisations, ayant des niveaux de maturité différents.

Menaces couvertes

• Menace persistante (Connexions malveillantes, exécution de code, etc….)
• Malware (Ransomware, virus, spyware..….)

Les solutions SIEM profilées 

[photo=150396]

Notoriété globale des solutions SIEM

La notoriété des marques des solutions SIEM reste à construire sur un marché fragmenté et non mature, et seuls Fortinet et Microsoft sont connus par le plus grand nombre.

Le marché des solutions SIEM est également caractérisé par un niveau de notoriété spontanée extrêmement faible. 63% des DSI/RSSI sont incapables de citer spontanément une marque de solution SIEM.

[vue=150410]

La notoriété vs. l'équipement des établissements sondés en solutions SIEM

Une notoriété pour l’ensemble des acteurs de solutions SIEM encore à asseoir. Seules 2 marques sont connues par 1 DSI/RSSI sur 2.

[photo=150408]

Recommandation des solutions SIEM utilisées par les sondés

3 solutions SIEM sont largement recommandées par leurs utilisateurs : Splunk, Fortinet et Microsoft. Pour les solutions SIEM concurrentes le niveau de recommandation suggère une déception de leurs utilisateurs.

[photo=150399]

Dans le cadre de son étude sur la cybersécurité, Health & Tech Research dresse un focus sur les attaques les plus répandues au sein des établissements de santé mais aussi sur le budget dédié à la cyberdéfense afin de contrer ces dernières.
Les principaux points d'entrée des cyberattaques sont tout d'abord les emails et les actions humaines involontaires, signe du manque de sensibilisation des collaborateurs des établissements de santé. 

Les cyberattaques de type « phishing » (hameçonnage) et « ransomware » (rançongiciel) demeurent prédominantes, avec plus de la moitié des sondés qui déclarent avoir été confrontés à un « phishing » ou à un « ransomware ».

Parmi les enseignements de l'enquête :
• les types d’attaques (menaces) rencontrés en 2021 par le panel de DSI/RSSI interrogés; • les principaux vecteurs d’attaques en 2021 et compromissions :
> % de vecteurs d’attaques ;
> % de compromissions ;
> et index de compromissions ((% de compromissions / % de vecteurs d’attaques)*100).

Selon les DSI/RSSI interrogés, les établissements de santé publics font face à une variété de vecteurs d’attaques malveillantes et non malveillantes, et ce de manière de plus en plus intensifiée et quotidienne. Au regard de leur démarche analytique des risques encourus et de leur faible budget, leurs efforts sont largement concentrés sur les terminaux, les réseaux et les emails, principaux points d’entrée des cybercriminels.

369 incidents notifiés contre 720 en 2021 (Cert Santé)

Avec l’accélération de développement du numérique depuis la pandémie de Covid-19, une augmentation du partage des données de santé entre établissements du GHT et l’usage de plus de plus important de dispositifs médicaux destinés à la prise en charge des patients, les risques de vulnérabilités ont été multipliés par deux.

Il est à noter que depuis le 1er octobre 2017, via le dispositif Cert Santé (qui assure notamment auprès des établissement de santé une mission de prévention et d’alerte face aux menaces de cybersécurité), les établissements de santé sont assujettis à l'obligation de signaler sans délai tout incident grave de sécurité de leurs systèmes d'information, conformément aux dispositions de l'article L. 1111-8-2 du Code de la santé publique.

[photo=150174]

Les types d’attaques (menaces) en 2021 :

• Le graphique ci-dessous est interactif.

[vue=150168]

53 % des sondés confrontés à un "phishing" ou à un "ransomware"

Selon l'enquête menée auprès de 30 DSI/RSSI d'établissements issus de 27 GHT (France métropole et Outre-mer), les cyberattaques de type « phishing » (hameçonnage) et «  ransomware » (rançongiciel) demeurent prédominantes (48 % des sondés confrontés à un « phishing », 32 % à un « ransomware »), soit 53 % des sondés qui déclarent avoir été confrontés à un « phishing » ou à un « ransomware ».

Anssi : 203 attaques traitées en 2021 contre 192 en 2020

Dans son « Panorama de la menace informatique » diffusé en mars 2022, l'Anssi précise par ailleurs que la menace des rançongiciels, qui a « explosé » en 2019 et 2020, s’est « stabilisée » en 2021 à un niveau « très élevé » avec 203 attaques traitées contre 192 en 2020 :

• la part des « établissements publics de santé » parmi les entités victimes de cyberattaques par rançongiciel est restée constante en 2020 et 2021 à 7 % du total ;
• tandis que sur la même période, la part des PME/TPE/ETI ciblées par ce type d’attaques est passée de 34 % à 52 %.

Point de vue des DSI/RSSI sondés sur la fréquence des incidents malveillants ou non malveillants

Pour les DSI/RSSI sondés, la recrudescence des incidents quotidiens principalement sans gravité et conséquences majeures sur le SI et le fonctionnement des activités de soins est telle que leur recensement n’est pas possible, et qu’ils misent en confiance dans la stratégie de sécurisation des données adoptée par l’établissement.

[encadre=150167]

Les principaux vecteurs d’attaques en 2021 et compromissions

[vue=150170]

Une démarche analytique des risques en cohérence avec les principaux points d’entrée des cybercriminels

Selon les DSI/RSSI interrogés dans le cadre de l'étude, les établissements de santé publics font face à une variété de vecteurs d’attaques malveillantes et non malveillantes, et ce de manière de plus en plus intensifiée et quotidienne.

Au regard de leur démarche analytique des risques encourus et de leur faible budget (mais en sensible augmentation pour les années à venir - voir plus loin), leurs efforts sont largement concentrés sur les terminaux, les réseaux et les emails, principaux points d’entrée des cybercriminels.

À l'ère de la cybercriminalité, adopter une stratégie de cyber-sécurisation des données est devenu prioritaire pour l'ensemble des GHT mais l’absence d’architecture commune SI effective à tous les GHT semble constituer un frein. 

Le budget de défense est comparable au temps consacré à l'ensemble des types d'attaques

Globalement, le budget de défense est comparable au temps consacré pour l’ensemble des types d’attaque et est prioritairement alloué aux ransomwares et phishing (plus de 50%).

[vue=150228]

La sensibilisation du personnel n'a pas encore eu lieu dans un tiers des établissements sondés

Face à la recrudescence des attaques informatiques malveillantes (phishing, ransomware) depuis la pandémie, il devient indispensable d'effectuer une sensibilisation et une formation du personnel des établissements de santé. Un tiers des établissements sondés déclarent pourtant que cette formation n'a pas encore eu lieu alors qu'un quart de ces derniers signalent une compromission sur les attaques internes involontaires.

[photo=150181]

63% des sondés déclarent posséder une cyber-assurance

La plupart des établissements de santé publics ont contracté une assurance cyber sans jamais l’avoir utilisé.

Le contexte expliquerait cette décision mais d'autres facteurs pourraient expliquer ce non recours ; notamment les clauses d’applications proposées par les assureurs qui ne seraient pas en phase aux situations de risques à gérer.

[photo=150182]

Une analyse des risques concentrée sur les points d'entrée 

L’analyse des risques du SI intègre avant tout les terminaux, les réseaux, les e-mails et les systèmes d’information cliniques. En revanche, les données financières et juridiques sont moins intégrées dans une démarche analytique du risque.

L’adoption future d’automatisation des bâtiments par les établissements dans leur démarche innovation par le numérique va certainement doper la croissance des éditeurs de solutions technologiques. Près de 4 DSI/RSSI sur 10 considèrent déjà cet aspect dans sa démarche analytique du risque.

[vue=150183]

🔴 Pour aller plus loin

Articles H&TI en lien avec le sujet : 

• Cybersécurité : 135 GH désignés opérateurs de services essentiels par l'Anssi en 2021 (rapport) ;
• Cybersécurité : décryptage du marché de la cybercriminalité en santé (contexte, enjeux, stratégies) ;
• SANTEXPO22 / Cybersécurité : les actions réalisées et les prochains chantiers (plan cyber, Ségur...).

Dans cette première partie de l'étude, l'intérêt s'est porté sur :
• l'architecture des systèmes d'information ;
• l'impact de la recrudescence des cybermenaces sur le budget consacré à la cybersécurité ;
• ainsi que le recours au cloud par les directions des systèmes d'information.

Une architecture SI commune encore insuffisamment effective qui impacte fortement la stratégie de sécurisation des données des SI

Dans le cadre de la politique de convergence SI des GHT ayant pour but d’améliorer la prise en charge des patients par un partage de l’information médicale entre tous les établissements du GHT, les GHT devaient finaliser leur architecture SI commune dès le 1er janvier 2018.

Il ressort de l’enquête que pour près de 4 GHT sur 10, l’architecture SI commune est effective, une part comparable à celle communiquée par la Direction générale de l’offre de soins (DGOS) dans son dernier « Atlas SIH des GHT 2021 » publié en 2022.

[photo=150157]

L’absence d’architecture SI commune effective pour 6 GHT sur 10 sondés impacte fortement, selon les DSI/RSSI, la mise en œuvre de la sécurisation des données.

Cette lenteur de mise en œuvre est d’autant plus à considérer que les exigences en matière de sécurité informatique pour l’ensemble des établissements supports des 135 GHT sont renforcées. D’ici mai 2022, les 135 GHT seront en effet intégrés à la liste des « opérateurs de service essentiels ». Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. L’Anssi sera chargée de contrôler le bon respect de ces règles. Les Agences régionales de santé accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations.

Montée en puissance des établissements de santé publics en matière de cybersécurité

Face à l’augmentation exponentielle des cyber-menaces, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé et les budgets alloués ont été trop peu élevés pour lutter efficacement. En effet, ces cyberattaques peuvent entrainer la suspension de certaines activités de soins, la paralysie des systèmes d’information et des coûts financiers engendrés très élevés pour les établissements victimes.

Dès février 2021, le gouvernement a acté des mesures phares : aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité.

D’après les DSI/RSSI interrogés sur le sujet, la part actuelle moyenne des investissements Cyber représente près de 13 % des dépenses globales IT, avec une augmentation prévisionnelle de plus de 10 % pour 7 établissements sur 10 qui envisagent une augmentation dans les années à venir. [photo=150158]

Si anticiper et gérer les risques cyber contribuent à la fois à une démarche globale de sécurisation des données sensibles (patients, financières, juridiques), à l’image et la réputation des établissements de santé, il n’en demeure pas moins qu’un quart des établissements encore consacrent actuellement moins de 5% des dépenses cyber à leur budget IT. 

Investissements et recours au cloud public

Les investissements consacrés au Cloud sont en moyenne limités à hauteur de 9% du budget IT total. Le recours au Cloud Public pour certaines applications concerne peu d’établissements, moins d’un cinquième des établissements interrogés. (Voir Image)[photo=150163]