Début

Cybersécurité : décryptage du marché de la cybercriminalité en santé (contexte, enjeux, stratégies)

Paris - Publié le vendredi 6 mai 2022 à 14 h 19 - n° 14517 [ANALYSE] Le coût moyen de l’impact cyber sur un établissement de soins peut être estimé à environ 8 000 euros par lit, le coût humain restant le plus fort, ce qui corrobore avec la nécessité d’avoir les bonnes compétences et en nombre suffisant au niveau des directions techniques et informatiques.

Depuis le mars 2020 (début de la pandémie de Covid-19), le secteur de la santé dans son ensemble, de l’industriel au patient, n’a cessé de réaliser combien la technologie n’était non pas un renfort à la pratique de la médecine mais un maillon indissociable de la chaîne des praticiens, du biologiste au médecin en passant par la pharmacopée et l’équipementier. En face, le patient découvre combien sa donnée de santé peut changer sa liberté de mouvement, son indépendance et son libre arbitre via le buzz des applications StopCovid et TousAntiCovid ou encore DoctolibDoctolibDoctolib, devenu le fédérateur national de la relation patient-praticien dans le cadre de la pandémie au point de devenir un sous-traitant malgré lui d’une fonction régalienne mal anticipée par l’État

Démonstration faite du rôle vital que portent la technologie et les systèmes de données, le Ségur de la Santé n’aura pourtant pas imposé dès 2020 une obligation de sécurité sur les programmes traitant la donnée du patient.

Ce sujet arrive en 2022 et 2023 avec des règlements imposant des audits vérifiés et depuis 2020 oblige à certaines règles d’hébergement (HDSHDShébergement de données de santé) ou de sous-traitance limitées. Mais cette prise de conscience portée par l’Agence du numérique en santé (ANS)Agence du numérique en santé (ex Asip Santé)Agence du numérique en santé (ex Asip Santé) et le ministère en charge de la SantéMinistère des Solidarités et de la SantéMinistère des Solidarités et de la Santé, avec le soutien de la CnilCommission Nationale de l’Informatique et des Libertés, ne concerne que les systèmes futurs et non passés.

La donnée à un prix, sa sûreté aussi


Afin de mieux comprendre les enjeux du marché en plein essor de la cybercriminalité en santé, H&TI décrypte le sujet en 5 parties :

la réglementation au secours de la donnée :
> le législateur s’empare du sujet technique en définissant des nouveaux critères de sûreté ;
> une prise de conscience en partie liée à la pandémie et à la crise hospitalière ;
> constat fait que la donnée d’un patient a de la valeur, pouvant aller jusqu’à 2 dollars pour une donnée complète et 1 dollar pour une donnée anonymisée, le secteur se devait d’agir. Action première : réglementer pour imposer les fournisseurs à améliorer la résilience des systèmes mais dans une certaine limite, la sécurité by design n’ayant pas été rendue obligatoire ;

la donnée à un prix, sa sûreté aussi :
> les « datavors » de la santé sont prêts à payer le prix fort pour obtenir des bases à jours, bien remplies et facilement exploitables ;
> une « guerre » sur la marché de la donnée de santé entre groupes pharma, assureurs, analystes, politiques et éditeurs ;

le vol de donnée, premier risque à traiter :
> problème : il existe des milliers de systèmes ayant plus de 10 ans d’âge, donc très exposés au risque cyber ;
> il existe quelques bons acteurs en France mais les solutions américaines et israéliennes restent incontournables ;

déterminer quoi et comment protéger son système de donnée, une responsabilité désormais inévitable :
> l’initiateur du traitement de la donnée doit prendre une part de responsabilité ;
> le coût de l’impact cyber estimé à environ 8 000 euros par lit ;

la cybercriminalité en bonne santé :
> les hackers savent qu’il est moins risqué de voler la donnée de santé plutôt que d’attaquer un établissement de soins via un ransomware (rançongiciels) ;
> la menace n’a jamais été aussi pesante et elle ne va pas cesser de croître ;
> l’investissement dans l’innovation s’accélère sans accompagner les systèmes empiriques, qui restent vulnérables et toujours en place.


📌 Cette analyse a été rédigée par Frans Imbert-VierFrans Imbert-VierFrans Imbert-Vier, président d’UBCOMUbcomUbcom. Expert en cybersécurité, il rejoint l'équipe de contributeurs H&TI pour une série d’articles (analyses) centrés sur la cybersécurité en santé.
© H&TI - Care Insight
© H&TI - Care Insight

H&T Research / Cybersécurité : les stratégies d'équipement des GHT face aux ransomwares (replay)

Pour la majorité des établissements de santé publics qui envisagent d’augmenter la part de leurs dépenses IT dédiée à la cybersécurité, une augmentation de 10 % serait prévue pour 7 établissements sur 10. C’est l’un des enseignements clés qui ressort de notre enquête menée auprès de 30 DSI/RSSI…
Actualité n° 14435 • 21/04/22 à 15:57

Fuite de données : la Cnil condamne Dedalus à 1,5 M€ d’amende pour la faille révélée en 2021

La Cnil met en cause la société Dedalus Biologie ex-Netika du groupe Dedalus, spécialisée dans les solutions de gestion de laboratoire d’analyse médicale. Elle accuse la solution Megabus - dont la « fin de vie » a été atteinte en septembre 2019 selon la société -, qui a informé ses clients en 2018…
Sélection n° 14437 • 21/04/22 à 14:14

Stratégie nationale cybersécurité : le Cyber Campus inauguré à La Défense rassemblera 160 acteurs

« Favoriser la réalisation de projets de recherche et de développement » ainsi que « l’éclosion des licornes cyber de demain ». C’est l’objectif du « Campus Cyber » inauguré le 15 février 2022 à La Défense par les ministres Bruno Le Maire (Économie) et Frédérique Vidal (Recherche) ainsi que le…
Actualité n° 14062 • 16/02/22 à 16:54

Cybersécurité : les mesures de la stratégie nationale d’accompagnement des établissements détaillées

« La stratégie ministérielle pour la cybersécurité en santé se voit renforcée en 2021 », souligne le ministère des Solidarités et de la Santé dans un dossier d’information finalisé le 11 juin 2021. Cette stratégie s’appuie sur la stratégie nationale pour la cybersécurité (1 Md€) présentée par le…
Actualité n° 12965 • 25/06/21 à 09:36

Stratégie nationale de cybersécurité : 350M€ du Ségur et un observatoire permanent pour la santé

« 1 milliard d’euros dont 720 millions d’euros de financements publics » : c’est le montant affecté à la « stratégie nationale de cybersécurité », présentée le 18 février 2021 par Emmanuel Macron à l’occasion d’une visioconférence avec les acteurs des centres hospitaliers de Dax (Landes…
Actualité n° 12296 • 18/02/21 à 17:54

La réglementation au secours de la donnée

Le législateur s’empare du sujet technique en définissant des nouveaux critères de sûreté

Il aurait été lucide d’imposer à l’occasion du Ségur de la santé, ne serait-ce qu’auprès des éditeurs de solutions de traitement de la donnée du patient, une obligation de mise en conformité, a minima aligné avec le RGPDRGPDRèglement Général relatif à la Protection des Données et son article 32, qui interdit toute dette technique sur un système d’information traitant une donnée nominative.

L’année 2022 tire donc le trait d’un avant et d’un après de la sécurité de la donnée du patient puisque le législateur s’empare désormais du sujet technique en définissant des nouveaux critères de sûreté issue de l’expertise bienveillante de l’AnssiAgence nationale de la sécurité des systèmes d’information.

Une prise de conscience en partie liée à la pandémie et à la crise hospitalière

  • Mais pourquoi tant d’acharnement soudain à vouloir protéger la donnée et les organisations de la santé quand ces dernières ont été littéralement ignorées de leurs faiblesses et vulnérabilités depuis le début de l’histoire numérique ?

Avec un peu de recul, il apparaît que la prise de conscience politique est arrivée au moment où le choix de MicrosoftMicrosoft pour porter les données du Health Data HubHealth Data Hub a été rendu public (voir article H&TI ici). Ce n’était pas un scandale sanitaire mais sous l’égide du ministère des Solidarités et de la Santé, cela en avait tout l’air. Le Ségur arrivant, l’ANS en profite pour défendre son rôle et sa mission, avec le soutien actif de la Cnil qui se trouve un allié. Cet alignement des événements et la pandémie conjuguée à la crise hospitalière obligent l’acteur politique à formater une norme de sûreté sur l’information de santé, réalisant subitement que ce rôle régalien représente avant tout une manne financière sidérante et donc un risque proportionnel.

Action première : réglementer pour imposer les fournisseurs à améliorer la résilience des systèmes

Constat fait que la donnée d’un patient a de la valeur, pouvant aller jusqu’à 2 dollars pour une donnée complète et 1 dollar pour une donnée anonymisée, le secteur se devait d’agir. L’action première est de réglementer pour imposer les fournisseurs de solution à améliorer la résilience des systèmes mais dans une certaine limite, la sécurité by design n’ayant pas été rendue obligatoire. C’est regrettable car une sécurité by design est beaucoup plus rentable en exploitation et génère énormément d’effet de bord comme la valorisation d’une marque, le crédit de confiance du patient et surtout une diminution conséquente du risque cyber.

La donnée à un prix, sa sûreté aussi

Les « datavors » de la santé sont prêts à payer le prix fort pour obtenir des bases à jours, bien remplies et facilement exploitables

La donnée santé vaut donc cher, et l’éditeur DedalusDedalus l’a bien compris avec l’amende record (1,5 M€) infligée par la Cnil pour son défaut de sécurité sur l’une de ses applications (voir article H&TI ici). Il y a une forme de proportionnalité dans le montant de cette amende. Ce prix expose donc tous les acteurs à la cybermenace, et elle n’est pas que courtoise. Les « datavors » de la santé sont prêts à payer le prix fort pour obtenir des bases à jours, bien remplies et facilement exploitables.

Une « guerre » sur la marché de la donnée de santé entre groupes pharma, assureurs, analystes, politiques et éditeurs

Cet engouement peut s’expliquer par la « guerre » en cours sur le marché de la donnée de santé, qui intéresse la pharmacopée, les assureurs, les analystes, les prévisionnistes, les politiques et surtout les sociétés d’édition de solutions d’intelligence artificielle qui ont un eldorado à offrir aux praticiens et services cliniques :

  • Dans le premier cas les solutions de résultats et prescriptions augmentées fleurissent ;
  • dans le second, des outils de lean management pour optimiser les coûts et les marges avec une efficacité inégalée à ce jour.

On trouvera dans le secteur de la biologie un autre avantage, celui de pouvoir effectuer une veille des pathologies et une meilleure statistique des prescriptions et leurs efficacités.

Le vol de donnée, premier risque à traiter

Des milliers de systèmes ayant plus de 10 ans d’âge, très exposés au risque cyber

Pour se préserver de cette menace cyber qui se traduit avant tout par un risque de data leaks (aspiration de la donnée), les établissements, praticiens et sous-traitants vont devoir repenser leurs systèmes de défense.

En effet, si les nouvelles solutions vont répondre nativement à des exigences de sûreté suffisantes, il reste néanmoins des milliers de systèmes ayant plus de 10 ans d’âge et qui sont donc très exposés au risque cyber. Car un système en dette technique, c’est-à-dire qui n’est plus maintenu par l’éditeur et qui s’appuie sur un système d’exploitation lui aussi obsolète, est très fortement exposé, pour ne pas dire totalement.

Quelques acteurs en France mais les solutions américaines et israéliennes restent incontournables

La bonne nouvelle c’est qu’il existe désormais des technologies bienveillantes, accessibles et efficaces pour protéger ces vieux systèmes tout en permettant de maintenir l’interface de données avec les nouveaux systèmes pour que la transition soit applicable. En France, il existe quelques acteurs capables de traiter la menace aussi bien sur un système de donnée qu’un automate de traitement. Les solutions américaines et israéliennes (comme Check Point) restent cependant incontournables à grande échelle.

L’autre bonne nouvelle est qu’un budget de 350 millions d’euros, issu des 2 milliards du Ségur de la santé consacrés au numérique, a été alloué au renforcement de la sécurité des systèmes d’information de santé (SIS) impliqués dans les échanges de données du parcours de soins. Le plan permet aux établissements de se faire accompagner dès aujourd’hui pour évaluer leurs risques et la mise en conformité de leurs systèmes.

Déterminer quoi et comment protéger son système de donnée, une responsabilité désormais inévitable

L’initiateur du traitement de la donnée doit prendre une part de responsabilité

Quoi qu’il en soit, l’initiateur du traitement de la donnée doit désormais prendre une part de responsabilité dans cette résilience et être capable de vérifier par lui-même que la promesse technique offerte par le constructeur ou l’éditeur est bien tenue.

Cela implique :

  • d’une part de reconsidérer le traitement de chaque donnée ;
  • et d’autres part de vérifier le bien-fondé de son exposition ou de son échange avec un système tiers.

Il va devoir surtout :

  • s’interdire de continuer à exploiter un système en dette ;
  • et initier dès aujourd’hui la mise en place d’un compensateur qui le protégera et lui permettra de poursuivre l’exploitation de son vieux système en attendant une mise à niveau du fabricant ou de l’éditeur.

En amont, son investissement sur les solutions de détections de la compromission devra :

  • non seulement être à jour ;
  • mais surtout être traité chaque jour, sans compromis. Ce dernier point est une faille critique pour les directions d’exploitations informatique car il implique des ressources et des compétences qui se font rares et sont donc chères.

Le coût de l’impact cyber estimé à environ 8000 euros par lit

Cet investissement est le plus court chemin pour traiter la donnée à moindre risque et contribuer à l’amélioration générale de la résilience d’un établissement, quel qu’il soit. Quand on sait se protéger d’un vol de donnée, on se protège aussi naturellement d’un ransomware (rançongiciel) qui coûte au bas mot 7,5 millions d’euros selon le retour d’expérience de l’hôpital de Dax (touché en février 2021 par une importante attaque informatique de type rançongiciel).

On peut ainsi ramener un coût de l’impact cyber à environ 8000 euros par lit. Le coût humain restant le plus fort, ce qui corrobore avec la nécessité d’avoir les bonnes compétences et en nombre suffisant au niveau des directions techniques et informatiques.

La cybercriminalité en bonne santé

Les hackers savent qu’il est moins risqué de voler la donnée de santé plutôt que d’attaquer un hôpital via un ransomware

Actuellement, la cybercriminalité mafieuse, très organisée et dotée de moyen humain et technique de niveau étatique, sait parfaitement industrialiser son activité en identifiant via une veille d’intelligence économique ses victimes. Elle sait que la santé, c’est de la donnée et c’est plus valorisant et moins risqué de la voler que d’attaquer un établissement avec un ransomware. Au détriment d’un fournisseur d’énergie, qui lui n’a pas de données ou peu mais une obligation de service sans alternative. Il paiera donc systématiquement la rançon.

La menace n’a jamais été aussi pesante et elle ne va pas cesser de croître

Le constat est in fine amer et la période peu favorable. La dette technique du secteur de la santé est énorme et si les solutions technologiques arrivent enfin à des prix raisonnables et avec une réelle efficacité, il faudra un cycle complet de renouvellement des systèmes pour imaginer un cycle de vie de la donnée patient traité en sécurité de bout en bout d’ici 10 ans au moins. Mais en même temps, la menace n’a jamais été aussi pesante et elle ne va pas cesser de croître compte tenu de l’offre technologique qui dématérialise de plus en plus le parcours de soin, à commencer par le DMP, un dispositif cette fois correctement conçu en termes de sécurité informatique.

L’investissement dans l’innovation s’accélère sans accompagner les systèmes empiriques, qui restent vulnérables

Le dernier dilemme c’est l’investissement dans l’innovation qui s’accélère sans accompagner les systèmes empiriques qui eux restent vulnérables et toujours en place. Il est important alors de savoir qu’une technologie fiable et résiliente dans un système d’information s’octroie naturellement la faiblesse du plus fragile interconnectée au même réseau. L’homogénéité de la résilience numérique se construit selon les mêmes principes qu’une protection de bâtiment. On met des alarmes à toutes les fenêtres ou on n’en met pas mais il suffit d’en oublier une pour vider toute la maison tout en croyant, jusqu’à maintenant, que tout va bien.

Fin
loader mask
1