2023-05-22
Les installations techniques des établissements de santé au défi de la sécurité numérique et de la cybersécurité
Si la protection des données personnelles des patients est un enjeu désormais bien identifié, la menace cyber qui pèse sur les installations techniques est croissante. Face à ces menaces toujours plus prégnantes, c’est l’intégrité de la capacité opérationnelle des établissements qui est en jeu. Décryptage avec deux experts d’Equans Digital, David Moulin (automation, intégration des systèmes et data) et Léo Thierry (cybersécurité).
Quels sont les enjeux actuels du secteur de la santé en matière de sécurité numérique et de cybersécurité ?
En raison du secret médical, les dossiers des patients et toutes les informations personnelles qu’ils contiennent sont évidemment particulièrement sensibles. Tout comme l’industrie, les opérateurs d’importance vitale (OIV) sont confrontés à une évolution des menaces sécuritaires. Hier exposés aux attaques physiques de types cambriolages ou sabotages, les actes de malveillance deviennent aujourd’hui immatériels, notamment dans le domaine cyber. La sécurité numérique est un enjeu collectif : la simple ouverture de pièces jointes dans un mail ou l’utilisation de clés USB infectées sont autant de portes d’entrée pour les hackers. Plus généralement, chaque prise ou point d’accès au système informatique est une faille potentielle si la sécurité numérique est insuffisante. Les installations techniques étant davantage digitalisées, leur fonctionnement nécessite la collecte, le traitement, la valorisation et l’échange de données toujours plus nombreuses. Mais l’ancienneté des protocoles rendent ces lots techniques vulnérables car non cybersécurisés depuis des années. Cela implique donc une évolution des mentalités en profondeur qui se traduit par un passage du maintien en conditions opérationnelles des équipements à un maintien en conditions sécuritaires. L’objectif est d’assurer le bon fonctionnement du bâtiment et de ses installations pour pouvoir apporter les soins nécessaires aux patients. Dans un hôpital, le système informatique est la colonne vertébrale aussi bien sur le plan médical que sur le plan technique. Les conséquences concrètes d’une mauvaise protection d’un établissement sont innombrables : en pénétrant dans le système, il est possible de gérer les accès aux serrures des chambres ou des blocs, de neutraliser le fonctionnement d’une salle d’opération, d’arrêter le chauffage en plein hiver ou la climatisation en période de canicule… En clair, il est possible de bloquer l’activité d’un hôpital ou d’une clinique et ainsi d’entraver l’exercice de soin des médecins et du personnel soignant.
Quelles expertises mobiliser pour protéger les installations de l’hôpital ?
Un établissement de santé doit être protégé dans sa structure et au niveau de ses équipements. Les lots techniques sont de plus en plus complexes dans leur conception. Chaque partie embarque potentiellement de l’intelligence, donc des données à capter et à traiter, ce qui en fait un élément vulnérable. Le développement de l’IoT – internet des objets – accélère cette évolution qui permet d’avoir des équipements performants mais aussi exposés aux actes de malveillance. Cette tendance se retrouve aussi dans la maintenance prédictive qui implique de mélanger des systèmes d’information entre eux. La conséquence est une multiplication de la nature des vulnérabilités qui sont à la fois intrinsèques aux équipements, liées aux systèmes d’hypervision et accentuées par le volume et le stockage des données. Concrètement, une attaque du système de traitement d’air dans un bloc chirurgical le rend inopérant. L’infrastructure digitale doit donc être sécurisée dès sa conception via des processus de sécurité cyber by design. L’intégration de systèmes hétérogènes pour optimiser leur efficacité implique aussi le recours à des produits et solutions sécurisées certifiés par l’ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. La présence d’Equans sur l’ensemble de la chaine nous permet d’apporter une réponse optimale en assurant la sécurité numérique et l’intégrité des systèmes et équipements que nous faisons interagir entre eux. Nous combinons ainsi notre expérience cyber et notre expérience dans le domaine de la santé.
L’augmentation du niveau de risque menace-t-elle le concept de smart hôpital ?
La performance opérationnelle d’un établissement de santé, comme celle de tout OIV, est une priorité absolue. C’est un enjeu vital, au sens propre du terme. Cela implique aussi d’avoir un temps d’avance en matière de performance énergétique. En effet, l’actualité internationale nous rappelle les incertitudes sur la souveraineté énergétique, de la sécurisation des approvisionnements à la question des coûts. Il est donc stratégique pour tous les OIV de se doter d’équipements performants à tous niveaux, y compris en matière d’efficacité énergétique. Le smart hôpital propose aussi une offre de services évolutive aux soignants, aux patients et aux accompagnants. Cela se traduit par exemple avec le développement de l’hôpital de jour qui implique un partage d’informations sensibles en temps réel entre le domicile du patient, les ambulanciers, la médecine de ville et les hôpitaux. La qualité de service et des soins passe aussi par la traçabilité des équipements mobiles avec des lits, des respirateurs ou des électrocardiogrammes connectés. Les perspectives d’amélioration des soins, pour les patients et les soignants, ouvertes par l’hôpital intelligent sont immenses. Equans étant leader des lots techniques et Equans Digital apportant toutes les expertises digitales et en cybersécurité, nous pouvons aujourd’hui garantir des installations opérationnelles et performantes. Si la santé est une cible privilégiée par les cybercriminels, elle peut compter sur la mobilisation des professionnels pour lui permettre de remplir sa mission irremplaçable, celle de soigner les populations.
Retrouvez-nous au salon SantExpo du 23 au 25 mai Paris, Porte de Versailles (Stand Q32) Agora - jeudi 25 mai à 13h15 sur le thème : « Cybersécurité appliquée aux lots techniques du bâtiment »
