Schneider Electric : Créer un écosystème pour lutter contre la cybercriminalité visant...

En février dernier, les hôpitaux de Dax et de Villefranche-sur-Saône étaient victimes d'un rançongiciel. Cette information qui a fait la Une des journaux n'est pourtant que la partie émergée de l'iceberg puisque, depuis le début de l'année en France, pas moins d'une cyberattaque est recensée chaque semaine dans les hôpitaux. Une situation dont l'Etat a pris la mesure en consacrant 350 millions d'euros au renforcement de la cybersécurité des établissements de santé et médico-sociaux, et dont je propose de débattre avec Emmanuel Le Bohec, directeur commercial EMEA[1] de Claroty.

Fabrice Broutin - Pouvez-vous présenter Claroty en quelques mots ?

Emmanuel Le Bohec - Groupe employant 250 collaborateurs, Claroty a été créé en 2015 aux Etats-Unis. Il est spécialiste de la cybersécurité industrielle et éditeur d'une plateforme pour sécuriser les environnements de technologie de l'information (IT) et de technologie opérationnelle (OT). Grâce à cette solution, les entreprises peuvent ainsi limiter les risques liés à l'augmentation des connexions entre les réseaux IT et OT. J'ajoute que Claroty a pour partenaires trois fabricants de solutions d'automatisation et de sécurisation industrielles, en particulier Schneider Electric.

[Verbatim] « Notre objectif, en tant que spécialiste de la gestion de l'énergie et de la sécurité électrique, est de sécuriser le process hospitalier et d'avoir une longueur d'avance sur les manœuvres des cyberattaquants. En constituant un écosystème avec notre partenaire Claroty, nous proposons des offres complémentaires pour mieux détecter, analyser les vecteurs d'infections et, surtout, y remédier ! » Fabrice Broutin, Directeur Santé chez Schneider Electric

FB - Quelle vision portez-vous aujourd'hui sur l'hôpital et ses vulnérabilités face aux dangers cyber ?

ELB - En s'ouvrant sur son environnement, l'hôpital vit aujourd'hui ce qu'a connu avant lui l'industrie 4.0. Avant, hôpitaux et usines évoluaient en vase clos. Désormais, tout comme les usines, les établissements de santé se décloisonnent et se numérisent. Le marché français des équipements médicaux explose en effet, atteignant 4 milliards d'euros en 2020. Avec le digital, les hôpitaux informatisent les dossiers patients, déploient les téléconsultations, pilotent la continuité des soins et des parcours, gèrent les accès, assurent la maintenance prédictive des installations critiques, connectent les dispositifs médicaux aux systèmes d'information de santé… Mais alors qu'il passe au tout digital, l'environnement hospitalier n'a pas prévu la sécurité nécessaire et devient ainsi un terrain propice aux cyberattaques. Il y a seulement 5 ans, la mise en place de solutions de cybersécurité n'était pas systématique. Aujourd'hui pour les bâtiments neufs, c'est dans tous les cahiers des charges. Les normes aussi ont évolué, avec par exemple la Loi de Programmation Militaire (LPM), qui conseille - et impose même parfois - aux secteurs d'activité d'importance vitale de se protéger.

Comme la quasi-totalité de leurs activités, le médical repose désormais sur le numérique, pas uniquement l'informatique interne, ce que l'on appelle l'IT. Je conseille donc aux acteurs de l'hôpital de ne pas faire l'erreur de ne penser qu'à la sécurité bureautique. Celle des infrastructures, des bâtiments, des machines est sans doute plus importante. C'est même une question de vie ou de mort. Imaginez : il y a quelques années, un hacker avait entrepris de pirater les défibrillateurs connectés, en libre-service dans la rue. Plus récemment, un cyberattaquant a neutralisé des robots de stérilisation et des pompes à insuline dans un hôpital. Or aujourd'hui, le secteur hospitalier, déjà sous pression avec la crise sanitaire, a investi sur la sécurité, principalement en matière de bureautique, de wifi patient et de sensibilisation du personnel de santé. C'est bien… mais il convient maintenant de cibler un meilleur contrôle des tiers et des accès distants, comme des ressources centrales, assimilables à des ressources industrielles. Mettre une porte blindée n'a jamais empêché un voleur de passer par les fenêtres ! Il faut donc aussi sécuriser les ascenseurs et monte-charges, les dispositifs d'imagerie médicale, les appareils de stérilisation et tout autre équipement connecté dans l'hôpital.

FB - Comment les établissements hospitaliers peuvent-ils se prémunir des attaques ?

ELB - Les Directeurs et les services techniques des hôpitaux doivent aborder leur système d'informations dans la globalité. Quand ils nous sollicitent, leur préoccupation est de faire un état des lieux du réseau de l'établissement. Nous arrivons généralement quand les machines sont déjà en place mais aucun référentiel précis, ni à jour, n'existe vraiment dans la quasi-totalité des cas. Vouloir avoir une visibilité exhaustive, c'est donc un bon réflexe. L'objectif est de savoir ce qu'il y a en place, ce qu'il faut protéger, pour pouvoir effectivement le sécuriser. Ensuite, nous essayons également de tenir compte de ce qui est en place - firewall, antivirus… - afin de compléter la sécurité déjà en place sans tout complexifier.

Au niveau du SoC, le centre névralgique de supervision de la sécurité, là où tous les événements liés à la sécurité sont centralisés, les techniciens ont déjà trop d'alertes. Il convient donc de structurer les défenses du réseau pour qu'elles ne se fassent pas déborder. Notre première action est de recenser les équipements existants, et de considérer à la fois chaque élément du réseau (postes de travail, serveurs, équipements médicaux, télémaintenance, pilotage du confort dans les chambres des patients…) isolément qu'il faut connaître pour le protéger, mais également comme un chaînon au sein d'un maillage global, pour détecter des schémas d'attaques plus structurées, pouvant rentrer à la fois via la bureautique ou via les accès distants des tiers-mainteneurs. Il ne faut pas négliger également des alertes liées à des erreurs humaines. Nous ne sommes pas seuls à faire face aux menaces. Nous collaborons avec d'autres professionnels, puisque l'objectif est de devancer en permanence les manœuvres des cyberattaquants. Prenons l'exemple de Schneider Electric, spécialiste de la gestion de l'énergie et de la sécurité électrique. Nous ne sommes pas, mais en travaillant ensemble, les défenses contre les cyber-risques sont plus efficaces. J'ajoute qu'en tant qu'industriel, le groupe est parfaitement légitime quand il propose des prestations complètes de sécurisation de l'architecture OT du réseau d'informations d'un hôpital.

Notre partenariat permet aux différentes solutions déjà en place de communiquer avec les protections que nous ajoutons : un véritable écosystème pour détecter les attaques, analyser les vecteurs d'infection, et y remédier.

Entre ces solutions, il convient d'établir des règles de contrôle en temps réel du point de vue opérationnel. On peut, par exemple, exploiter les sauvegardes des machines pour interagir. Nous installons des sondes sur le réseau, au niveau des interconnexions (des switches en cœur de réseau en général). Ces sondes nous renseignent en temps réel sur les menaces du réseau, que nous communiquons au SoC. Nos chercheurs en vulnérabilités eux, identifient des menaces inconnues (des ″Zero Days″) et les communiquent au Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT). Au second semestre 2020, le nombre de vulnérabilités au sein des systèmes industriels déclarés au CERT a explosé, notamment celles concernant les accès non autorisés, comme le montre une étude réalisée par Claroty : + 33 %. Nous sommes particulièrement performants sur cette recherche de vulnérabilité, puisque sur les cas remontés dans le monde en 2020 sur les solutions industrielles, un tiers a été identifié par nos équipes !