Injonction formelle de la Division Cybersécurité du FBI (Federal Bureau of Investigation) à l’endroit des organisations de santé américaines (hôpitaux, centres de santé, laboratoires d’analyses, pharmacies, etc.). « La préparation et l’entraînement réguliers en réponse aux cyberattaques ne sont plus une éventualité mais une absolue nécessité. » Que les dirigeants des établissements de santé français en prennent de la graine.
Nombreux sont ceux qui alertent se démènent, secouent, écrivent, pestent, enragent sur le manque de prise en considération stratégique des cyber-ignorances, négligences, malveillances- depuis des lustres (le lustre, du latin lustrum, définit une durée de cinq ans). Nicolas Boileau, auteur de la citation « Vingt fois sur le métier remettez votre ouvrage », précisait « sans perdre courage ». Lors d’une discussion sur le sujet avec un très haut fonctionnaire et alors que nous nous désespérions de devoir attendre une catastrophe pour réagir concrètement, il nous fut répondu que pour agir, il en faudrait plusieurs. Dans le meilleur des cas !
Aux armes « cybertoyens »
Pour les autorités fédérales, les plans doivent mettre l'accent sur la répétition des scénarios de piratages et de brèches. Il faut absolument partager les risques et les menaces au motif qu’en règle générale et concomitamment les mêmes causes produisent souvent les mêmes effets. La nature est feignante.
Sur la base d’une préparation dûment répétée, il est essentiel d’agir rapidement et efficacement à partir d’un plan concerté pour prévenir les cyberattaques, atténuer, limiter et remédier aux conséquences, alors que les attaques liées aux ransomwares se multiplient dans le secteur de la santé.
Nous sommes défaillants quant à la gestion des risques que nous pourrions traiter comme c’est le cas pour le risque incendie. Il faudra sans doute, d’une manière ou d’une autre, mais sans doute juridiquement coercitive, contraindre, auditer les établissements et sanctionner – effectivement - les défaillants. Reste à réfléchir aux compétences, aux organisations et aux moyens pérennes en termes de services plus qu’en termes d’investissements. Enfin, sujet délicat, au management, c’est-à-dire à la gouvernance du cadre de la cybersécurité.
Renforcer la courbe d’expérience par le partage d’information
Les incidents de piratage constituent la plus grande menace pour la confidentialité et la sécurité des données des patients, d'autant plus que les cybercriminels ont bien compris que le caractère sensible et urgent de l'accès ininterrompu aux données des patients fait des prestataires de soins médicaux des cibles de choix pour l'extorsion. « Il est plus important que jamais que les entités du secteur de la santé et leurs fournisseurs disposent de plans d'intervention en cas d'incident, qu’ils soient complets, documentés, bien rodés, prêts à être exécutés en temps utile et que tous partagent leurs expériences, surtout leurs défaillances », indique l'OCR (Office for Civil Rights) du ministère de la Santé et des Services sociaux (HHS) dans un guide publié fin octobre. Il ajoute, mezzo voce, mais un brin railleur « en évitant les manuels de type y a qu’à, faut qu’on » hors sol, imaginés par des ingénieurs et/ou des fonctionnaires « jargoniciens » du HHS, de Harvard ou du MIT » (Traduction libre de l’auteur de l’article). On se croirait en France.
Un investissement générateur d’efficacité
« La formation à la réponse aux violations doit pouvoir éviter aux entités de soins de santé de nouvelles mesures coercitives d'application de la loi par le HHS lui-même », indique le FBI. Et de poursuivre : « Si la faiblesse de la réponse aux incidents a joué un rôle dans la perte d'informations personnelles sur la santé, le bureau inflige des amendes. » Comme la Cnil, en théorie. Mais, au pays de Molière, les ARS remboursent les frais lors d’attaques (Cf. Retex CH Dax). En juillet dernier, le Center for Health Sciences de l'université d'État de l'Oklahoma a payé une amende de 875 000 dollars pour régler un incident impliquant près de 280 000 personnes. L'enquête de l'agence a révélé diverses violations potentielles de l'HIPAA (Health Insurance Portability and Accountability Act), notamment des utilisations et des divulgations non autorisées de PHI (Protected Health Information), des manquements à la mise en œuvre de contrôles d'audit, à la réponse aux incidents de sécurité et à l'établissement de rapports, ainsi qu'un manquement à l'obligation de notifier en temps utile les violations aux personnes concernées et à l'HHS OCR. Chez nous, pas d’audit, « chez les alités, pas de pénalités ». Et hop, passez muscade.
« Un plan de réponse aux incidents de sécurité bien conçu et bien testé fait partie intégrante de la garantie de la confidentialité, de l'intégrité et de la disponibilité des PHI d'une entité réglementée », assène le HHS OCR.
« Scenarii » qui rira le dernier
« Un élément essentiel de la réponse aux incidents est le test de la réponse planifiée aux « scenarii » courants, y compris les ransomwares. Les entités doivent également disposer de plans testés pour répondre à l'exfiltration de données par des personnes internes malveillantes ou des acteurs externes malveillants, ainsi qu'aux attaques par déni de service distribué », indique le HHS OCR.
L'avocate spécialisée dans la protection de la vie privée, Iliana Peters, du cabinet d'avocats Polsinelli, est d'accord avec ce point de vue. D'après son expérience, « l'absence de réponse appropriée aux incidents de sécurité résulte d'un manque de gouvernance, d'expérience, de pratique et de responsabilité. Je vois le plus souvent des entités qui ont rédigé de bons plans de réponse aux incidents, mais qui ne se sont jamais entraînées à répondre à une cyberattaque majeure, comme un ransomware de grande ampleur », déplore-t-elle. Jusqu’au jour où on recherchera pénalement le responsable, c’est-à-dire le mandataire social de l’établissement. Cela pourrait passer par une plainte pour perte de chances d’un patient ou mieux une action de groupe. En France, on est assez tranquille de ce côté, tant sont nombreuses les embûches juridiques pour éviter à la fonction publique et hospitalière tout désagrément de cette nature.
C’est long comme lacune
Paige Peterson Sconzo, directrice des services de santé de la société de sécurité Redacted Inc, pointe le fait « qu'une dépendance excessive à l'égard de tiers tels que les fournisseurs de services Internet, de services de messagerie et les vendeurs est une autre erreur cruciale que commettent certaines entités de santé dans leur réponse aux incidents. Alors que de nombreuses entités ont externalisé la surveillance de leur réseau, tous les fournisseurs dans ce domaine ne prennent pas de mesures en fonction des alertes détectées, s'appuyant sur un personnel qui n'a peut-être pas l'expertise nécessaire pour saisir les nuances d'un acteur sophistiqué se déplaçant dans leur réseau. Assurez-vous que vous avez des experts qui surveillent 24 heures sur 24, 7 jours sur 7, 365 jours par an, qui peuvent enquêter sur l'activité en temps réel et prendre des mesures sur ces alertes. » Car, contrairement aux spécialistes des établissements et autres agences publiques, les attaquants ne commencent pas à travailler à 9 heures, ne finissent pas à 16 heures et ne connaissent ni les jours fériés ni les samedis ou les dimanches. Eux. Ils ne respectent rien ces mal élevés !
Toujours pour Peterson Sconzo, « les acteurs de la menace sont dans un réseau bien avant qu'ils ne cryptent le réseau et envoient un courriel de rançon. Il faut tout faire pour les attraper à temps. Assurez-vous d'avoir des sauvegardes immuables, testées régulièrement et inaccessibles via le réseau. »
Dave Bailey, vice-président des services de sécurité de la société de conseil Clearwater, indique, lui, que « d'autres faiblesses courantes dans la réponse aux incidents consistent à découvrir que les contrôles nécessaires ou attendus ne sont pas efficaces une fois l'attaque survenue. Cela peut concerner les sauvegardes de données, la récupération des systèmes, les communications ou l'implication des partenaires. Le principal piège ou la principale erreur consiste à ne pas tester suffisamment votre plan et à ne pas impliquer tous les décideurs stratégiques potentiels. »
Allez, à la prochaine
En somme, nous avons bien du pain sur la planche et ce n’est pas le dernier guide de recommandation « pour enfants » de l’ANSSI (octobre 2022) qui va faire la révolution. Depuis que notre dernière ministre de la Santé a publié, fièrement, – deux ans de travail pour ses équipes au HFDS (Haut Fonctionnaire de défense et de sécurité) quand même - une circulaire conseillant – mais bien vigoureusement – les établissements à se doter d’un antivirus dans les trois mois et d’un firewall dans les six mois, rien ou si peu.
D’obligation de PRA (Plan de reprise d’activité) pas de traces, de disjonction de la fonction de RSSI et de celle de DSI, point ; d’obligation de la prise en compte commune de la sécurité de la chaîne des matériels connectés, non plus ; de la mise en commun de l’expérience acquise, point du tout ; de la refonte totale de la gouvernance – pardon de la mise sur les fonts baptismaux – d’une cyber gouvernance, non plus.
« Ce n’est plus le maillon qui pêche, c’est la chaîne qui coule. » Comme disait un ami tombant d’un immeuble de trente étages et arrivant, en chute libre, au cinquième : « Jusqu’ici tout va bien. »
Violences sexistes et sexuelles
Comment s’enracinent les schémas de domination à l’hôpital
Préparation du système de santé aux Jeux Olympiques : Frédéric Valletoux affiche sa confiance
Accidents et usure au travail : les syndicats demandent plus de prévention
Aide à mourir : l'Ordre demande une meilleure protection juridique pour les médecins