Cybersécurité dans le secteur de la santé : Découvrez le guide CISA pour contrer les cybermenaces

Guide de la CISA pour lutter contre les cybermenaces dans le secteur de la santé

La Cybersecurity and Infrastructure Security Agency (CISA) américaine a publié un guide de mitigation de 25 pages pour le secteur des soins de santé et de la santé publique (HPH). Le guide du secteur des soins de santé de la CISA a pour objectif d'aider à lutter contre les cybermenaces répandues dans l'industrie de la santé.

Ce guide est un complément à l'évaluation des risques cyber du secteur HPH, publiée par la CISA le 19 juillet 2023. Il détaille comment les objectifs de performance en cybersécurité (CPGs) de la CISA correspondent aux pratiques de cybersécurité de l'industrie de la santé (HCIP) du 405(d), ligne directrice qui vise à gérer les menaces et protéger les patients. Cette ligne directrice a été conjointement publiée par le département de la Santé et des Services Humains (HHS) et le Conseil de coordination du secteur de la santé (HSCC).

La CISA a découvert dans l'industrie des soins de santé et de la santé publique, des vulnérabilités et des configurations non sécurisées qui devraient être corrigées avant que des acteurs malveillants n'en profitent. Les vulnérabilités les plus courantes dans l'industrie des HPH sont celles liées aux applications web, aux failles de chiffrement, aux logiciels non pris en charge et aux systèmes d'exploitation Windows, aux vulnérabilités connues et exploitées, et aux services non sécurisés.

Ces failles entraînent souvent des atteintes à la protection des données et sont fréquemment utilisées dans les attaques de ransomware, de phishing, et de déni de service. Le guide de la CISA inclut des meilleures pratiques de cybersécurité et des recommandations pour la gestion de la sécurité des actifs, de l'identité et des dispositifs, ainsi que pour la gestion des vulnérabilités, des correctifs et de la configuration.

Il met en avant trois stratégies pour renforcer la défense contre les vecteurs d'attaque les plus courants : la compréhension des ressources sur le réseau de l'entreprise, la concentration sur la protection de tous les actifs, et l'utilisation de firewalls et de zones démilitarisées (DMZs) pour protéger les actifs contre un accès illégal. En outre, le guide fournit également des suggestions pour l'atténuation de la sécurité des actifs, la segmentation du réseau, et la protection des services exploitables et vulnérables.

Enfin, des politiques efficaces de gestion de l'identité et de la sécurité des dispositifs sont essentielles pour garantir la sécurité appropriée des dispositifs et des comptes numériques, tandis que l'industrie des soins de santé continue de passer des systèmes sur site aux systèmes en ligne. Le guide de la CISA recommande plusieurs domaines d'accent, tels que les réglementations sur les mots de passe, le contrôle d'accès, la sécurité des e-mails et la prévention du phishing, les techniques de protection et de prévention de la perte de données, et l'enregistrement et la surveillance pour détecter un accès illégal.

Développer la sécurité des actifs numériques dans le secteur de la santé

L'un des points soulignés par le rapport de la CISA se porte sur la sécurité des actifs numériques. Tandis que de plus en plus d'hôpitaux et de centres de soin migrent leurs systèmes d'information vers des solutions en ligne, la nécessité de protéger ces actifs contre d'éventuelles attaques ou intrusion est devenue vitale. De la sécurisation des données des patients à la mise à jour régulière des logiciels et des systèmes d'exploitation en passant par la protection des réseaux internes, la sécurisation des actifs numériques dans le monde de la santé est un défi majeur.

Le rapport de la CISA propose une série de recommandations pour répondre à ce défi. Parmi celles-ci, on retrouve l'utilisation de firewalls de nouvelle génération, la mise-en-place de zones démilitarisées (DMZs) pour protéger les réseaux internes, un suivi régulier des vulnérabilités connues, et une attention particulière portée à la sécurisation des applications web. Au-delà des simples recommandations techniques, le rapport insiste également sur l'importance d'avoir une vraie politique de gestion et de formation à la cybersécurité, pour renforcer la prise de conscience et la protection contre les attaques.

Renforcer la gestion de l'identité et la sécurité des dispositifs

Un autre aspect crucial mis en avant par le rapport de la CISA est la gestion de l'identité et la sécurité des dispositifs. Dans un environnement où les données des patients sont de plus en plus dématérialisées, la question de qui peut accéder à quoi devient essentielle. Outre la mise en place de régulations sur les mots de passe (force, cycle de renouvellement, ...), le rapport recommande l'implémentation de contrôles d'accès stricts, une surveillance constante des comptes numériques pour détecter d'éventuels accès illégaux, et une attention particulière aux emails et aux techniques de phishing.

La sécurisation des dispositifs est un autre point central. Avec la multitude d'appareils connectés utilisés dans le secteur de la santé, du simple ordinateur au scanner médical en passant par les tablettes et smartphones, maintenir un niveau de sécurité adéquat sur tous ces dispositifs est un défi de taille. Le rapport recommande un contrôle strict des mises à jour des dispositifs, une attention particulière aux vulnérabilités connues, une gestion centralisée des actifs pour uniformiser les règles de sécurité, et des efforts de sensibilisation auprès des utilisateurs pour minimiser les erreurs humaines.

Conclusion

La cybersécurité dans le secteur de la santé est un enjeu majeur qui nécessite une attention constante. La guerre contre les cybermenaces est loin d'être gagnée, mais chaque effort, chaque avancée est une étape vers un environnement plus sûr, où les soins aux patients peuvent être prodigués sans que la sécurité de leurs données personnelles ne soit compromise. Il est vital que tous les acteurs impliqués, des gestionnaires de réseau aux soignants, en passant par les patients eux-mêmes, soient conscients des risques et s'impliquent dans la protection de leurs données. Le guide de la CISA est une base solide pour renforcer la cybersécurité dans le secteur de la santé, mais l'effort ne doit pas s'arrêter là. Continuons à apprendre, à nous former, et à mettre en œuvre les meilleures pratiques pour garantir un environnement de santé sécurisé.