Cyberattaques: les hôpitaux romands vigilants
A l’heure où la pandémie joue les prolongations, des cybercriminels s’en prennent sans scrupules aux établissements de santé. Dans ce contexte sensible, l'hôpital de Bâle lance un appel d’offres pour la mise en place d’un SOC. En Suisse romande, les hôpitaux sont sur le qui-vive. Les explications du responsable sécurité IT des HUG et du CIO du CHUV.
Le centre hospitalier universitaire de Bâle vient de publier un appel d’offres pour la mise en place d’un Security Operations Center (SOC) hybride. L’établissement observe un «niveau croissant de menaces informatiques», lit-on sur le portail simap.ch. L’hôpital bâlois compte confier la gestion de la surveillance de son environnement informatique standard à un prestataire de services externe. En revanche, un SOC interne sera créé pour les systèmes spécifiques, tel que le matériel et les logiciels pour des applications médicales spéciales.
Les pirates n'épargnent pas les hôpitaux
Dans son appel d’offres, le centre hospitalier bâlois ne met pas explicitement en lien l’augmentation des attaques qu'il observe avec le contexte épidémique. Il n’en reste pas moins que depuis le début de la crise sanitaire, les cyberattaques sont globalement en augmentation. Et les hackers non éthiques n'épargnent hélas pas les hôpitaux ou laboratoires de recherche médicale. Microsoft a par exemple détecté ces derniers mois plusieurs cyberattaques contre des entreprises pharmaceutiques développant des vaccins anti-Covid, attaques attribuées à des groupes soutenus par des Etats.
Au mois de mars déjà, l’Assistance Publique-Hôpitaux de Paris a fait les frais d’une attaque par déni de service. Dès cet été, Interpol a alerté contre une recrudescence de ransomware ciblant les hôpitaux. Mi-septembre, ce type d’opérations malveillantes a touché l’hôpital de Düsseldorf. Une patiente est décédée mais un lien de cause à effet n’a au final pas pu être établi. Reste que les assauts de cybercriminels contre des hôpitaux peuvent évidemment avoir des conséquences dramatiques, en particulier à l’heure où certaines unités sont débordées par les hospitalisations liées au Covid. Fin octobre, les agences fédérales américaines ont alerté sur une menace croissante. Une campagne de ransomware agressive prenait alors pour cible des hôpitaux américains et canadiens.
Vigilance accrue aux HUG et au CHUV
Les hôpitaux suisses romands observent-ils également une augmentation des attaques à leur encontre? Que font-ils pour y faire face ou pour l’anticiper? Du côté des Hôpitaux Universitaires de Genève (HUG), la crise pandémique n’a pas vraiment changé la donne. Joint par la rédaction, le responsable de la sécurité IT Franck Calcavecchia confie que tous les indicateurs de mesure de la menace (blocages firewall, blocages WAF, antispam, Antivirus, alertes SOC…) sont stables et conformes au niveau courant. Compte tenu du contexte, la surveillance est toutefois renforcée. Les HUG disposent d’un SOC externalisé chez un spécialiste suisse, précise Franck Calcavecchia. A ses yeux, la mise en place d’un SOC interne est trop coûteuse et nécessite des compétences extrêmes qu’il faut continuellement développer, ce qu’un hôpital ne peut pas s’offrir et encore moins conserver (fort turnover des spécialistes dans le domaine). «De plus le SOC ne remonte que des alertes qu’il faut ensuite traiter en interne (investigation, remédiation, amélioration continue…), avec à la fois un besoin d’expertise technologique et de connaissance précise du contexte et des enjeux», explique le responsable de la sécurité IT des HUG.
Le Centre hospitalier universitaire vaudois (CHUV) dispose également de services de SOC, confie à la rédaction son CIO Pierre-Francois Regamey: «Leur mise en place ainsi que le suivi opérationnel fait l’objet d’une collaboration entre une société externe suisse et les spécialistes sécurité du CHUV.» Le nombre de tentatives de cyberattaques lancées contre l'établissement de santé croît régulièrement, mais la crise du Covid-19 n’a pas provoqué d’augmentation brutale ou très massive. Le CHUV a néanmoins augmenté son niveau de vigilance au niveau du monitoring et pris diverses mesures techniques de protection anticipée, sur la base des recommandations du Centre national pour la cybersécurité (NCSC, ex-Melani), explique le CIO du CHUV.