Des fabricants aux opérateurs d’appareils biomédicaux, la cybersécurité gagne du terrain

Les établissements de santé, en proie aux attaques informatiques, déploient des efforts soutenus pour sécuriser leurs réseaux et venir à bout des failles avant qu’elles ne soient exploitées. Le responsable sécurité du système d’information (RSSI) est le premier de cordée dans ce combat. Il n’a pourtant pas toujours la pleine maîtrise des équipements biomédicaux connectés, multiples et hétérogènes. 

Nicolas Terrade fait partie de ceux qui ont repensé entièrement leur stratégie cyber après avoir subi une attaque d’ampleur au centre hospitalier de Dax en février 2021, où il occupait déjà à l’époque le poste de RSSI. Toute la sécurité de l’hôpital a été rehaussée d’un cran, parc biomédical compris. La DSI et le service biomédical, d’ordinaire séparés, ont travaillé de concert au CH de Dax pour “garder la maîtrise des équipements qui se connectent au réseau” évoque Nicolas Terrade. Pour les équipements obsolètes et non pris en charge par la DSI, “nous essayons de les cloisonner dans des sous réseaux étanches, pour ne laisser passer que le flux minimum nécessaire à l’activité” précise le responsable. Une cartographie des flux est réalisée au niveau des équipements connectés vers l’extérieur (IRM, scanners, etc.). “Des outils de gestion de mise à jour sont utilisés pour scanner l’intégralité de notre parc et indiquer l’écart entre les dernières mises à jour et ce qui apparaît sur notre SI”, note Nicolas Terrade.

Plongée dans un hôpital en crise

Nicolas Terrade n’a pas oublié les circonstances de la cyberattaque : “La nuit où cela s’est produit, j’ai été interpellé par la personne du service informatique d’astreinte, qui n’arrivait plus à se connecter à distance. Nous avons trouvé la présence d’un fichier contenant les trois lettres “RYK”, les initiales du rançongiciel Ryuk. Les dégâts étaient déjà d’envergure quand nous sommes intervenus, car la quasi-totalité de nos serveurs étaient impactés, de même que les sauvegardes sur disque”. Pourtant, deux ans après l’incident, “le vecteur d’infection n’a toujours pas été validé à 100%” constate le RSSI. Il n’exclut pas la possibilité d’infection via des appareils en fonctionnement. Pour Nicolas Terrade, il ne fait aucun doute que la reconstruction d’une nouvelle infrastructure après l’attaque a permis de se débarrasser des mauvaises habitudes : “On nous demande d’implémenter de nouveaux systèmes dans le SI de manière plus ou moins urgente, sans nécessairement prendre en considération l’aspect technique de la solution choisie. Aujourd’hui, ce n’est plus le cas. Nous nous sommes même séparés de solutions qui ne répondaient pas à nos exigences de sécurité ou parce que l’éditeur de la solution n’était pas en mesure de nous fournir les informations qui correspondaient à notre ligne de sécurité. Par la suite, nous avons ajouté des briques de sécurité, pour la plupart gratuites”.

Si le CH de Dax montre l’exemple avec ce virage stratégique, les contraintes budgétaires et techniques forcent souvent les hôpitaux à composer avec l’existant en matière de cybersécurité. Certains établissements mettent en place des tests d’intrusion pour contrôler le niveau de protection de leurs appareils en fonctionnement. Au printemps dernier, les Hospices Civils de Lyon (HCL) ont réalisé leur premier “pentest” sur les équipements biomédicaux. La stratégie consiste à “tester l’équipement en production pour savoir s’il est à jour, s’il y a des failles et, le cas échéant, renvoyer l’information au fournisseur” décrit Benoît Fondeur, ingénieur rattaché à l’équipe biomédicale des HCL. Il note que “les quelques défauts révélés grâce à ces tests ont été communiqués aux constructeurs”. Un établissement peut aussi recourir à un programme de bug bounty, “plus agressif” par nature, note Benoît Fondeur, puisque “le matériel est volontairement livré aux chercheurs-hackers, qui tentent alors d’en prendre le contrôle”.

Vers un cahier des charges uniformisé

Au stade de l’achat, le niveau d’exigence en matière de cybersécurité se reflète dans les clauses contractuelles. Benoît Fondeur, qui travaille sur les questions cyber pour l’Association française des ingénieurs biomédicaux (AFIB), observe “un trou dans la raquette” à ce niveau. Il juge ces clauses contractuelles souvent “faibles et inégales sur le plan informatique” chez les acteurs impliqués. 

L’AFIB tente de faire face à ce problème. Accompagné par l’ANSSI, l’APSSIS et le SNITEM, le groupe d’étude cybersécurité de l’AFIB travaille à la création d’un cahier des charges plus exigeant d’un point de vue cyber, harmonisé au niveau national. Les parties prenantes s’engagent à diffuser gratuitement ce document le plus largement possible auprès des établissements de santé, des fabricants et des centrales d’achat concernés. Ce cahier des charges devrait voir le jour d’ici la fin de l’année. Parmi les nouvelles règles, le consortium obligera, par exemple, les fabricants à fournir aux DSI un contact en cas d’urgence.

Les centrales d’achat s’organisent

Concernant l’achat groupé, les centrales d’achat identifient les risques cyber selon des méthodes qui leur sont propres dès l’élaboration du marché. “Les critères cyber prennent désormais plus de poids dans nos marchés que par le passé”, confie Coffi Gnanguenon, directeur des achats du Resah à mind Health. Ce groupement d’intérêt public, basé à Paris, gère, entre autres, les achats biomédicaux dont les DM numériques connectés, ainsi que les besoins SI/télécom des établissements sanitaires. “Pour préparer leur cahier des charges, les acheteurs vont demander aux fournisseurs les aspects techniques des équipements et les risques que ces équipements peuvent avoir sur le réseau hospitalier. Un CRT (cadre de réponse technique, ndlr) est aussi mis en place, comprenant à la fois des questions ciblées SI et cybersécurité” détaille Coffi Gnanguenon. Le Resah ne fait pas cavalier seul. En effet, il utilise depuis quelques années le questionnaire technique délivré par l’AFIB pour évaluer la maturité des candidats sur la cybersécurité, précise le directeur des achats.

Les critères cyber prennent désormais plus de poids dans nos marchés que par le passé

Coffi Gnanguenon, directeur des achats du Resah

De son côté, Guillaume Deraedt, directeur de la transformation numérique de la C.A.I.H., assure que la cybersécurité est aussi un sujet pris très au sérieux en interne : “On peut voir le verre à moitié vide ou à moitié plein. UniHA est extrêmement active sur les risques cyber” dit-il. La Centrale d’Achat de l’Informatique Hospitalière est une spin-off d’UniHA, spécialisée dans le domaine de l’informatique et porteuse de l’offre de cybersécurité globale de la coopérative. Guillaume Deraedt, expert cyber qui occupe également en parallèle le poste de RSSI et DPO au GHT Côte d’Opale, constate “des échanges importants aujourd’hui entre les équipes biomédicales, les RSSI et nos tutelles”. UniHA est, dit-il, “à l’initiative de plusieurs actions sur la prise en compte du risque cyber, sous l’égide d’UniHA et de la C.A.I.H. et en lien avec les besoins du terrain.”

La stratégie à étages d’UniHA

UniHA s’organise en 16 filières d’achat et achète au total pour 6 Mds€ par an. Une filière est dédiée à l’achat informatique lié à la prise en charge médicale, portée par la filiale SDN (Santé Digitale et Numérique), tandis qu’une autre filiale, coordonnée par Bertrand Lepage, se concentre sur l’offre biomédicale. 

La plus grande coopérative d’acheteurs hospitaliers publics a dessiné une stratégie à plusieurs étages pour gérer les appareils biomédicaux. La première action du plan consiste à détecter les risques d’incidents de sécurité avant qu’ils se produisent. “Nous avons déjà travaillé, il y a plus de cinq ans déjà, avec le Club des RSSI sur une offre disruptive de sécurité opérée à 360°. Nous proposons aux établissements des technologies de détection des risques avant que l’incident ne se produise, qui permettent de monitorer toutes les traces remontées par les dispositifs de sécurité. Cette offre a été construite pour sécuriser le socle de base de l’informatique” déclare Guillaume Deraedt.

La deuxième étape du plan vise à éviter les attaques sur les dispositifs biomédicaux venant de sources informatiques, et vice versa. “Les attaquants appellent cela la latéralisation des attaques. L’idée est de sécuriser le parc des biomédicaux sous marquage CE, en filtrant les flux de données et les volumes de données, pour que seule l’information strictement nécessaire circule entre les équipements biomédicaux et l’informatique. Cela permet de ne pas transmettre les fragilités de l’un à l’autre” explique l’expert en cybersécurité.

La centrale d’achat délivre des informations sur le parc à ses ingénieurs biomédicaux et ses équipes cyber. “Les ingénieurs biomédicaux ont une expertise fonctionnelle et ils répondent aux besoins des professionnels de santé avec des solutions dont ils ne savent pas toujours exactement ce qu’ils renferment. Nous mettons à disposition une sonde qui va leur permettre de regarder toutes les informations qui circulent, les socles informatiques qui sont embarqués et les failles de sécurité existantes” résume Guillaume Deraedt. Lorsque des failles de sécurité sont détectées, “soit le constructeur apporte des correctifs de sécurité, ou alors une coopération s’engage entre le constructeur, le RSSI et le département informatique pour mettre sur pied des solutions de contournement, afin que la faille ne soit pas exploitée.”

Enfin, UniHA souhaite davantage intégrer les aspects sécuritaires à ses appels d’offres. À l’occasion du salon SantExpo, la centrale d’achat publique et le Club des RSSI ont signé un partenariat pour intégrer la cybersécurité dans les achats hospitaliers. La C.A.I.H. et UniHA s’engagent à intégrer dans les futurs appels d’offres un “clausier de conformité numérique”, que les candidats devront remplir pour sécuriser les établissements dès les phases d’achat. “Ce groupe de travail transversal permet d’avoir une vision claire et unifiée, de gagner du temps et d’éviter à des acteurs leaders du secteur de répondre à des clausiers différents” explique Guillaume Deraedt. Cette initiative n’empêche pas UniHA de soutenir aussi le cahier des charges commun sur lequel travaillent conjointement l’AFIB et l’ANSSI.

L’approche security by design de Siemens Healthineers

En amont de la chaîne, les principaux concernés par ces clauses sont les fabricants eux-mêmes, qui conçoivent et développent les dispositifs biomédicaux. S’ils garantissent avant tout la sûreté des produits en termes d’innocuité biologique et d’efficacité clinique, ils ont aussi un certain nombre d’exigences à respecter en matière de sécurité informatique. Une stratégie de cloisonnement est alors déployée afin de minimiser la surface d’attaque. Pour ce faire, les accès non autorisés doivent être pensés très tôt et le principe de moindre privilège doit être appliqué – qui consiste, selon l’ANSSI, à restreindre l’environnement d’exécution du composant aux ressources nécessaires à ces besoins. 

Siemens Healthineers assure faire de la cybersécurité sa priorité. Frédéric Pegaz Fiornet, responsable des divisions informatique, médicale et e-santé pour la zone francophone d’Europe et d’Afrique, a exposé à mind Health la stratégie cyber du groupe. Siemens Healthineers est issu de la scission de la branche médicale de Siemens en 2016. L’entreprise fournit des produits et services dans l’imagerie médicale, le diagnostic de laboratoire et des solutions informatiques dans la totalité des CHU français. Elle dispose d’un CERT (Computer Emergency Response Team) aux États-Unis, un groupe d’experts en sécurité au sein duquel des “hackers éthiques” testent la robustesse des solutions. Des responsables cyber sont nommés dans chaque marché. Frédéric Pegaz Fiornet, pour l’Hexagone, supervise 10 consultants cyber en lien avec les équipes terrains sur les aspects cyber des lignes de produits. Ces équipes sont sollicitées pour faire remonter des informations en cas d’attaque.

Parmi les actions mises en place, Siemens Healthineers augmente la fréquence de ses mises à jour, “de manière à intégrer des mises à jour de sécurité en plus des mises à jour logicielles et des correctifs”, explique Frédéric Pegaz Fiornet. L’entreprise surveille la sécurité des systèmes d’exploitation via son programme “Long Term Service”, qui couvre les vieux appareils. Ce programme consiste à introduire un support étendu au-delà du End-of-Support (EOS) annoncé par Microsoft. “Cela signifie que nous allons pouvoir déployer des mises à jour à plus long terme sur le système d’exploitation, afin de garder le système en production avec la version actuelle du système d’exploitation” précise Frédéric Pegaz Fiornet. Ce service est adapté aux systèmes dont les cycles de renouvellement sont longs. “Cette extension de sécurité évite de tout réinstaller ou d’acquérir un nouvel équipement” justifie Frédéric Pegaz Fiornet. 

Siemens Healthineers met enfin à disposition de ses clients la plateforme teamplay Fleet pour la gestion de leur parc. “Cet outil délivre de nombreuses informations de sécurité et laisse une trace de l’état du système et ce qui a été opéré dessus. Le RSSI peut ainsi vérifier que le système est conforme aux exigences” résume Frédéric Pegaz Fiornet. Il ajoute que la plateforme teamplay Fleet peut aussi servir de “canal de communication” avec les établissements de santé, pour savoir par exemple quels produits utilisent quel logiciel ou partager des informations sur les vulnérabilités. Cela permet au groupe de réagir rapidement face aux menaces, comme ce fut le cas en 2021 avec la faille découverte dans le composant logiciel Log4j.