L’UE livre dix conseils pour protéger les hôpitaux des cyberattaques

Spread the love
L'UE livre dix conseils pour protéger les hôpitaux des cyberattaques

Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. D’autant plus depuis la crise sanitaire, qui place les réseaux hospitaliers et le marché de la santé en première ligne face aux risques grandissants de cyberattaques.

La taille des réseaux hospitaliers, l’importance vitale des flottes de PC sur ces réseaux qui restent opérationnels comme la façon dont une grande partie des systèmes informatiques liés aux soins de santé sont laissés en fonctionnement sur des systèmes d’exploitation non supportés implique qu’assurer la protection des hôpitaux contre les cyberattaques s’impose aujourd’hui comme une tâche de plus en plus compliquée.

Les pirates informatiques en profitent, soit pour distribuer des ransomwares, soit pour tenter de subtiliser des données personnelles sensibles sur les patients. Pour lutter contre ces menaces croissantes, l’ENISA, l’agence européenne de cybersécurité, a publié en début d’année une liste de recommandations à destination des responsables informatiques des centres hospitaliers. Bien que cette liste vise essentiellement le secteur de la santé, la plupart des recommandations émises par Bruxelles sont plus largement applicables.

“Protéger les patients et assurer la résilience de nos hôpitaux sont une partie essentielle du travail de l’agence pour rendre le secteur européen de la santé cyber-sécurisé”, y explique notamment Juhan Lepassaa, le directeur exécutif de l’ENISA. Le document intitulé “Procurement Guidelines For Cybersecurity in Hospitals” recommande dix bonnes pratiques pour rendre le secteur de la santé plus résistant aux cyberattaques.

publicité

Impliquer le département informatique dans la passation des marchés

Cela semble évident, mais l’implication du département informatique dans les achats dès le début garantit que la cybersécurité est prise en compte à chaque étape du processus d’achat de technologie. En procédant ainsi des recommandations peuvent être faites sur la manière dont les nouvelles technologies s’intègrent au réseau existant et sur les mesures de sécurité supplémentaires qui pourraient être nécessaires.

Mettre en œuvre un processus d’identification et de gestion des vulnérabilités

Nous vivons dans un monde imparfait et il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. La mise en place d’une stratégie pour gérer les vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de sécurité à garder le contrôle des problèmes de sécurité potentiels.

Développer une politique de mise à jour du matériel et des logiciels

Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, les réseaux informatiques des centres hospitaliers ont toujours été incapables de garantir l’application des correctifs – et c’est l’une des raisons pour lesquelles le logiciel de rançon WannaCry a eu un tel impact sur le NHS, le service public de la santé outre-Manche.

Le document émis par Bruxelles recommande par conséquent aux départements informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions de contournement pour les machines qui ne peuvent pas être corrigées, comme la segmentation.

Renforcer les contrôles de sécurité pour les communications sans fil

L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre de dispositifs connectés doit être surveillé et connu, de manière à identifier tout dispositif inattendu ou indésirable qui tenterait d’y accéder. Le document publié par les autorités européennes recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe des réseaux soient conçus pour être forts et difficiles à déchiffrer.

Établir des politiques de test plus rigoureuses

Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux – y compris des tests de pénétration une fois qu’ils sont ajoutés au réseau, afin de prendre en compte la manière dont les pirates pourraient tenter d’en abuser.

Établir des plans de continuité de l’activité

Des plans de continuité des activités doivent être établis chaque fois que la défaillance d’un système risque de perturber les services de base de l’hôpital – qui, dans ce cas, sont les soins aux patients – et le rôle du fournisseur dans ces cas doit être bien défini.

Prendre en compte les questions d’interopérabilité

La capacité des machines à transférer des informations et des données est essentielle au bon fonctionnement des hôpitaux – mais elle pourrait être compromise en cas de cyberattaque ou de temps d’arrêt. L’hôpital doit disposer de plans de secours au cas où cette opération serait compromise.

Permettre le test de tous les composants

Les systèmes doivent être régulièrement testés pour s’assurer qu’ils offrent une bonne sécurité, alliant facilité d’utilisation et sécurité – par exemple, le service informatique doit s’assurer que les utilisateurs n’ont pas changé des mots de passe complexes pour des mots de passe plus simples. Tout cela devrait être examiné lors des tests, explique le document fourni par l’ENISA.

Autoriser l’audit des réseaux informatiques

La tenue de journaux sur les tests et l’activité sur le réseau permet, en cas de compromission, de retracer plus facilement ce qui s’est passé et comment les attaquants ont eu accès au système, ainsi que d’évaluer quelles informations ont été compromises. “Garder les journaux en sécurité est l’une des tâches les plus importantes de la sécurité”, explique le document.

Source : ZDNet.com

Leave a Reply