...
Imaginez la scène. Vous êtes le directeur général d'un hôpital de 500 lits. Chacun de ces lits a un point d'alimentation en oxygène. Un matin, vous recevez une alerte indiquant que le flux d'oxygène vers chacun des lits a été coupé. Cela met la vie des patients en danger. En désespoir de cause, le personnel médical essaie de déplacer les patients vers d'autres étages où ils pensent que l'oxygène est encore disponible. Mais ils constatent que les ascenseurs ont cessé de fonctionner, entraînant un embouteillage dans les couloirs. Ensuite, vous recevez un autre message. Le système de climatisation du bâtiment est en panne. Ce qui provoque une augmentation rapide de la température dans les services de soins intensifs et les blocs opératoires, mettant davantage en danger des vies et forçant la suspension des procédures médicales en cours. Résultat? L'hôpital est paralysé. C'est alors que vous recevez un message des cybercriminels dont l'attaque a provoqué le chaos. Ils sont sur le point de nommer leurs conditions pour permettre à vos opérations de redémarrer. Ce n'est pas une fiction. Les systèmes de ventilation, les systèmes d'approvisionnement en eau et en oxygène, les ascenseurs, les portes électriques, l'éclairage font partie des systèmes OT qui sont essentiels au fonctionnement de l'hôpital. PwC estime cependant que les équipes informatiques et de cybersécurité négligent les risques associés aux systèmes OT. "Les efforts actuels sont axés sur la protection des technologies de l'information (IT). C'est d'ailleurs compréhensible: au cours des derniers mois et années, de nombreux systèmes informatiques d'hôpitaux ont subi des attaques."Le danger d'axer sa stratégie de cyberdéfense sur les IT est d'oublier les systèmes OT, prévient PwC. "Les appareils low-tech qui font partie des systèmes de gestion du bâtiment jouent un rôle vital mais largement méconnus dans la préservation et le sauvetage de vies. Il s'agit d'un véritable angle mort pour les hôpitaux.""Les défenses informatiques modernes donnent de plus en plus de fil à retordre à ceux qui tentent de les percer, si bien que les hackers cherchent d'autres points d'accès. Les systèmes OT constituent donc de plus en plus un risque potentiel", ajoute Vito Rallo, Director Threat & Response Management chez PwC Belgique. " Même si ce risque ne paraît pas élevé, les cybercriminels cherchent toujours le point d'entrée le plus facile. D'où la nécessité absolue d'inclure les systèmes OT dans l'inventaire des risques. La violation d'un système OT peut d'ailleurs faciliter l'accès aux systèmes informatiques et aux données. Un exemple: lors d'une récente attaque, les hackers ont activement ciblé la technologie qui transfère les données entre l'infrastructure IT et l'infrastructure OT, en l'occurrence, les données d'imagerie brutes passant des scanners au traitement informatique ultérieur." Comment en est-on arrivé là? " Les systèmes OT sont souvent mis à niveau de manière fragmentée et non intégrée", répond Vito Rallo. "Néanmoins, et comme c'est le cas pour les systèmes récents de gestion des bâtiments, ils sont entrés dans l'ère numérique et offrent une connectivité Internet ainsi que des capacités de contrôle et de surveillance à distance. Bien souvent, la mise à niveau de la technologie ne s'est pas accompagnée d'une prise de conscience des faiblesses accrues en matière de cybersécurité que font naître ces fonctionnalités." Autre raison: dans la majorité des cas, les responsables de la sécurité des systèmes d'information (RSSI) sont responsables des éléments informatiques qui couvrent les données et les systèmes informatiques, mais pas des technologies opérationnelles telles que la mise en place de systèmes de gestion des bâtiments et/ou les dispositifs médicaux connectés. Autre problème potentiel et encore plus préoccupant: de hôpitaux de plus petite envergure ne comptent pas de RSSI dans leur personnel. Pour résoudre ce problème, PwC estime que les hôpitaux doivent réfléchir à instaurer une culture de la "cyberhygiène" qui fasse écho aux efforts d'hygiène physique répandus dans le secteur des soins de santé. Les hôpitaux devraient également mettre en place une approche globale qui mêle la technologie, les processus et les individus. Pour être véritablement efficace, le système doit aller au-delà des moments d'évaluation isolés et reposer sur une évaluation continue liée à l'évolution du paysage des menaces. Les solutions typiques mises en place en réponse aux incidents de cybersécurité ne sont généralement pas adaptées à l'environnement de la technologie opérationnelle. "La mise en oeuvre d'une intervention dans le domaine des technologies opérationnelles nécessite des compétences et des considérations spécifiques. Les modèles classiques ne sont pas adaptés, pas plus que l'approche scientifique traditionnelle de l'urgence", estime Vito Rallo. " Les priorités OT sont différentes. Dans le cadre de la réponse à un cyberincident au niveau des technologies opérationnelles, la priorité est accordée à la sécurité, à la continuité des opérations et aux exigences réglementaires. L'objectif est de revenir au plus vite aux opérations normales en toute sécurité, sans dommages et de préférence sans impact humain, tout en préservant la conformité aux réglementations."Pour intégrer la sécurité OT dans la planification de la cybersécurité, il faut avant tout admettre l'existence d'un risque potentiel et s'assurer que tout le monde en a conscience, et pas uniquement au niveau opérationnel ; un engagement considérable de la part du management est également nécessaire. " Notre expérience des services de sécurité gérés dans le secteur hospitalier révèle une prise de conscience croissante. Nous constatons un intérêt grandissant des RSSI pour les tests permettant de mettre au jour les faiblesses causées par les fonctionnalités, les configurations ou les politiques des systèmes en place", précise Vito Rallo .Ce dernier point est d'ailleurs la première des quatre étapes de la feuille de route établie par PwC pour aider les hôpitaux à mettre une stratégie de cybersécurité en place: 1. Le point de départ est de comprendre et de reconnaître qu'il existe des risques potentiellement critiques dans les systèmes OT (pas seulement l'informatique) et sensibiliser et rallier le Conseil d'administration au fait que ces risques doivent être traités. 2 La direction doit effectuer une enquête préliminaire pour dresser un tableau des actifs OT et des risques associés. En parallèle, il est important d'acquérir une connaissance approfondie du niveau de maturité de l'organisation en matière de cybersécurité pour les systèmes OT. 3 La prochaine étape consiste pour la direction de l'hôpital à intégrer la sécurité OT dans la stratégie globale de cybersécurité. 4 Enfin, développer et déployer une feuille de route à long terme et une mise en oeuvre programme. Les actions doivent être hiérarchisées en fonction de l'échelle et de l'impact potentiel des risques atténués, de la vitesse à laquelle elles peuvent être mises en oeuvre et des coûts associés.