Les hôpitaux pourraient être plus vulnérables face à une cyberattaque de grande ampleur qu’ils ne le pensent, en particulier si des services essentiels comme l’approvisionnement en eau venaient à être perturbés. C’est la principale conclusion d’un exercice de simulation à grande échelle mené par Health-ISAC (H-ISAC), une organisation dédiée à la cybersécurité dans le secteur de la santé.
L’exercice « Hobby » de cette année, qui a intégré pour la première fois le secteur de l’eau, a révélé des failles importantes dans la préparation des établissements de santé. Les participants ont constaté que les plans de gestion de crise reposent souvent sur des hypothèses irréalistes concernant la stabilité des services publics et la rapidité de leur rétablissement en cas d’incident. « Les organisations du secteur de la santé ne sont peut-être pas pleinement conscientes de l’étendue et de la nature spécifique des opérations et des processus soutenus par des dépendances critiques », souligne le rapport.
L’étude met en évidence la nécessité de prendre en compte les effets en cascade d’une panne, comme une demande accrue sur les centres de données ou les interdépendances avec les fournisseurs externes. Peu d’équipes se sont déclarées certaines de disposer d’une cartographie complète de ces dépendances, ou de savoir comment les services publics prioriseraient la restauration en cas d’incident régional.
Une réponse efficace à une cyberattaque complexe exige une coordination étroite entre différents services au sein de l’hôpital : informatique et sécurité, équipes cliniques, ingénierie, services juridiques, ressources humaines et communication. Les équipes qui avaient clairement défini les rôles et pratiqué les transferts de responsabilité – par exemple, de l’équipe clinique ou d’ingénierie vers l’équipe de sécurité et informatique en cas de composante cybernétique – ont obtenu de meilleurs résultats lors de la simulation. « Réagir efficacement aux cyberincidents complexes nécessite un effort multipartite », est-il précisé dans le rapport.
La préparation passe par des exercices réguliers, des simulations et des réunions interservices. Les participants ont souligné qu’il est impossible d’établir des relations de travail efficaces entre les différents acteurs pendant une crise. « Il est impossible d’établir efficacement de véritables relations de travail entre les éléments de réponse aux incidents d’une organisation pendant la période stressante et limitée en temps d’un incident en cours », a affirmé un participant.
Au-delà des murs de l’hôpital, l’exercice a révélé un manque de clarté concernant la compréhension des fournisseurs essentiels de la dépendance des hôpitaux à leurs services, ainsi que les délais de rétablissement en cas d’événements généralisés. Des questions ont également été soulevées quant à la manière dont les agences gouvernementales (étatiques, locales et fédérales) donneraient la priorité aux efforts de restauration, et comment les évolutions politiques pourraient affecter leurs rôles. Le partage d’informations entre les différents secteurs reste crucial, alors que les acteurs malveillants ciblent de plus en plus les infrastructures critiques.
Health-ISAC recommande d’élargir la formation de ses membres sur les ressources disponibles et les cadres juridiques pour le partage d’informations. Les partenaires gouvernementaux devraient clarifier leurs offres, améliorer les flux de renseignements bidirectionnels et définir des priorités en cas d’incidents à grande échelle. Les fournisseurs, quant à eux, devraient inventorier leurs dépendances critiques, tester les systèmes de redondance et revoir leurs plans d’action pour faire face à des attaques multi-vecteurs.
Les principales recommandations sont les suivantes :
- Créer et maintenir une cartographie actualisée des dépendances critiques (eau, électricité, connectivité, refroidissement) et tester les procédures de basculement.
- Pré-autoriser les changements de rôle dans la gestion des incidents (clinique/ingénierie → Sécurité/TI) pour les événements utilitaires et cybernétiques qui se chevauchent ; pratiquer ces transferts.
- Établir des contacts et des canaux de communication avec les services publics et les principaux fournisseurs ; s’entendre sur ce que signifie une « restauration prioritaire » en cas d’incident régional.
- Organiser des tables rondes intersectorielles semestrielles avec les agences publiques et les fournisseurs ; documenter et mettre en œuvre les mises à jour des plans d’action.
- Sensibiliser les dirigeants et les conseillers aux règles autorisées en matière de partage d’informations sur la cybersécurité ; aligner les politiques sur les cadres juridiques et réglementaires existants.
