La révision de la directive européenne visant à accroître la cybersécurité des infrastructures critiques (NIS2) a mis la question de la cybersécurité encore plus au centre de l'attention dans de nombreux établissements de santé. Parce qu’ils sont considérés comme particulièrement dignes de protection.
La confidentialité, l'intégrité et la disponibilité des données sont d'une importance capitale dans le secteur de la santé. C'est ici que sont documentés l'ensemble des processus de santé et des diagnostics, y compris les plans thérapeutiques. Étant donné que toute faille de sécurité comporte le risque que les plans de médicaments soient manipulés ou que les informations tombent entre les mains de tiers, la cybersécurité est essentielle. Les données sensibles constituent une cible extrêmement prisée des criminels, comme l’a montré la récente attaque contre un hôpital de Soest. Le défi de l'industrie : en raison des progrès de la numérisation, les dispositifs médicaux sont désormais de plus en plus mis en réseau et les données sont de plus en plus stockées et transmises par voie électronique. Cela augmente la surface d’attaque potentielle des cybercriminels. Le législateur répond à cette évolution à travers NIS2 en augmentant les exigences en matière de cybersécurité dans les entreprises. Ingoschulenberg, responsable des ventes – Opérations spéciales OT et sécurité informatique chez Axians IT-Security, donne quatre conseils sur la manière dont les établissements de santé concernés par la directive doivent procéder.
Évaluation de la cybersécurité
Le parc d’équipements des hôpitaux s’est souvent enrichi au fil du temps et est de plus en plus interconnecté. Afin d'augmenter efficacement la sécurité informatique, une évaluation des mesures de sécurité existantes constitue un point de départ optimal. Ici, les experts vérifient la sécurité de l'environnement installé, identifient les vulnérabilités sur les appareils existants et les exigences de sécurité pour les nouveaux appareils. Il est également crucial de déterminer quels domaines de l’entreprise doivent communiquer entre eux. Dans les établissements de santé en particulier, il existe souvent des machines et des appareils importants qui, par exemple, ne doivent pas tous être connectés au même réseau. Lors de l'évaluation de la cybersécurité, les organisations déterminent quels actifs sont particulièrement critiques et méritent d'être protégés afin de les hiérarchiser dans leur stratégie de sécurité et de les sécuriser de manière appropriée. Lors de l'évaluation de la sécurité, des prestataires de services TIC expérimentés tels qu'Axians peuvent vous aider à évaluer correctement le niveau de sécurité de l'infrastructure informatique et à élaborer ensuite une stratégie de sécurité globale.
Formation en cybersécurité
Le plus grand risque pour la sécurité dans le secteur de la santé, comme dans d’autres secteurs, concerne les personnes. Cela reste une cible privilégiée des pirates informatiques. Grâce à des attaques de phishing bien conçues, les cybercriminels peuvent inciter les employés à divulguer leurs informations de connexion ou à télécharger des logiciels malveillants depuis Internet. Une volonté d'aider malavisée - par exemple lorsque les employés connectent des clés USB à leur ordinateur de travail pour en connaître le propriétaire - entraîne souvent des dommages importants. Charger des téléphones portables privés sur des appareils médicaux dotés d’un port USB présente également un risque potentiel pour les établissements de santé en raison d’appareils compromis. Les entreprises devraient éviter cela en formant tous leurs employés afin qu'ils puissent développer une meilleure perception des risques de sécurité. Ceci est important car les employés des établissements de santé travaillent souvent sous pression et ont une charge de travail élevée. Afin de ne pas être victime d'attaques de phishing ciblées dans un quotidien stressant, une formation régulière en matière de sécurité et de sensibilisation est essentielle.
Bonnes pratiques en matière de cybersécurité
Afin de mettre en place une cybersécurité efficace, les institutions doivent d’abord commencer par mettre en œuvre les bases techniques. Dans le secteur de la santé, cela inclut la segmentation du réseau avec des pare-feu internes. La segmentation du réseau permet de séparer les dispositifs médicaux du réseau principal. Les machines et les appareils disposent souvent de systèmes d'exploitation plus anciens dont les vulnérabilités ne peuvent pas être corrigées, sinon ils perdraient leur approbation. Si la recertification n'est pas une option, ces appareils peuvent être verrouillés dans des segments de réseau sécurisés et la communication avec ces appareils peut être régulée et surveillée via IPS. La protection de base peut ensuite être continuellement étendue selon le principe modulaire dans les limites du budget. Le paysage des menaces étant de plus en plus complexe, les mesures préventives doivent être continuellement affinées.
Développez les bases avec SOC et ISMS
Les menaces doivent être identifiées 24 heures sur 24 et en temps réel afin de pouvoir réagir immédiatement en cas d'urgence. Pour cette raison, il est conseillé aux établissements de santé tels que les hôpitaux de mettre en place un Security Operations Center (SOC). Tous les thèmes de la cybersécurité sont regroupés dans le SOC : c'est ici que l'infrastructure de sécurité informatique de l'hôpital est surveillée 24 heures sur 24 par des spécialistes utilisant les technologies les plus récentes, que les attaques sont rapidement identifiées et que la défense est lancée. L'expérience acquise permet d'adapter en permanence la stratégie de défense. Les établissements de santé ne sont pas obligés de gérer eux-mêmes un SOC, mais peuvent bénéficier du soutien d'un fournisseur de services gérés.
En plus des bases de sécurité, il est recommandé d'établir un système de gestion de la sécurité de l'information (ISMS). Il ne s'agit pas d'un système physique, mais plutôt d'une procédure définie par des lignes directrices qui définissent, contrôlent, contrôlent, maintiennent et améliorent en permanence la sécurité des informations dans une entreprise. Un SMSI est mis en œuvre et mis en œuvre individuellement pour une entreprise.
Augmenter progressivement la sécurité
Pour protéger avec succès les entreprises et les institutions du secteur de la santé contre les cyberattaques, il ne suffit pas d’investir dans du matériel et des logiciels. L’objectif doit être une stratégie globale de cybersécurité pouvant être mise en œuvre étape par étape. Les organisations peuvent commencer par réaliser des audits de sécurité, puis, sur cette base, introduire des solutions techniques telles que des pare-feu internes et externes, la prévention des intrusions, la segmentation du réseau, les ISMS et les SOC. Dans le même temps, les formations de sensibilisation destinées à sensibiliser les collaborateurs s’avèrent payantes. Tant que les entreprises suivent ces bonnes pratiques, elles augmentent continuellement la sécurité de leurs systèmes et donc des données des patients. La collaboration avec des partenaires externes et l'utilisation de services gérés peuvent contribuer à éviter d'imposer une pression supplémentaire aux services informatiques des établissements de santé.
Plus d’informations sur Axians.com
À propos d’Axiens
Le groupe d'entreprises Axians en Allemagne fait partie du réseau mondial de marques de solutions TIC de VINCI Energies. Avec un portefeuille TIC global, le groupe accompagne les entreprises, les municipalités et les institutions publiques, les opérateurs de réseaux et les prestataires de services dans la modernisation de leurs infrastructures et solutions numériques.
Articles liés au sujet