La cybersécurité dans le secteur de la santé est un défi bien plus complexe que dans le domaine militaire, selon Christopher Plummer, architecte principal en cybersécurité chez Dartmouth Health. L’ancien expert en sécurité de la marine américaine alerte sur un manque de normes claires et un fossé croissant en matière de vulnérabilités, notamment concernant les dispositifs médicaux.
Après une décennie passée à sécuriser les systèmes de maintenance des sous-marins pour la marine américaine, Christopher Plummer a découvert une réalité surprenante en intégrant Dartmouth Health : « Il était plus facile de sécuriser les secrets nucléaires que de garantir les soins de santé », explique-t-il. Cette différence fondamentale réside dans le cadre réglementaire. Dans le secteur de la défense, des directives fédérales strictes encadrent chaque aspect de la sécurité. Or, dans le domaine de la santé, la loi HIPAA protège les informations sur les patients, mais de nombreux systèmes, appareils et opérations échappent à cette réglementation, laissant aux organisations le soin de gérer les risques selon leurs propres moyens.
Conséquence directe : plus de 6 000 hôpitaux aux États-Unis présentent des niveaux de maturité en cybersécurité très variables, certains n’ayant même pas d’employé dédié à la sécurité à temps plein. Christopher Plummer a débuté sa carrière dans le secteur de la santé en étant le seul expert en cybersécurité d’un petit hôpital, une expérience qui lui a permis de constater de visu l’isolement et le manque de ressources dont souffrent de nombreux professionnels de la sécurité.
La récente vulnérabilité React2Shell a mis en lumière un problème persistant : la recherche de composants compromis dans des environnements informatiques complexes reste un processus manuel et fastidieux. Plummer compare cette situation à la crise Log4J, soulignant que son équipe a découvert un autre système vulnérable à Log4J plusieurs mois après que cette faille ait été rendue publique. Bien que ce système ne représentât pas de menace immédiate en raison de sa position dans le réseau, sa persistance illustre la difficulté de détecter ces vulnérabilités au niveau des composants, en particulier pour les hôpitaux ruraux dépourvus d’équipe de sécurité dédiée.
Un des principaux obstacles à la résolution de ce problème est l’adoption limitée des SBOM (Software Bill of Materials), ou nomenclatures logicielles. Bien que le concept soit discuté depuis des années, sa mise en œuvre opérationnelle peine à se concrétiser. Les outils de sécurité actuels ne permettent pas d’identifier précisément les composants logiciels et leurs versions.
Pour les dispositifs médicaux, Christopher Plummer propose une approche alternative : une norme industrielle permettant aux appareils de s’auto-déclarer leurs composants et de transmettre ces informations à une plateforme centralisée. Les hôpitaux hésitent à effectuer des analyses de sécurité intrusives sur les ventilateurs, les appareils à rayons X et autres équipements connectés aux patients. Une installation légère sur l’appareil, fonctionnant mensuellement, pourrait fournir des données sur les composants et leurs versions sans compromettre la sécurité du dispositif. Cette approche s’inspirerait des normes existantes en matière de données de santé, telles que HL7 et FHIR, qui favorisent l’interopérabilité grâce à des accords partagés.
Le marché des fournisseurs de sécurité pour le secteur de la santé est en pleine consolidation, avec des entreprises qui cherchent à proposer des solutions intégrées. Si cette tendance peut être bénéfique pour les petites organisations aux ressources limitées, elle présente des risques pour les programmes de sécurité plus matures. Les fournisseurs qui cherchent à élargir leur offre diluent souvent leur expertise initiale. « Bien que j’apprécie cet effort pour proposer une solution regroupant plusieurs outils, n’oubliez pas ce que vous avez bien fait qui vous a permis de vous faire connaître », conseille Plummer. « Concentrez-vous sur vos forces. »
L’accumulation d’outils de sécurité indépendants crée un environnement opérationnel fragmenté, où les alertes proviennent de multiples sources, les actions de réponse nécessitent de manipuler plusieurs interfaces et les données de télémétrie manquent de cohérence. Plummer se montre plus ouvert à la consolidation des plateformes, à condition que les fournisseurs qui élargissent leur portefeuille de produits maintiennent la qualité de leurs capacités de base. Une intégration mal exécutée peut être aussi nuisible qu’utile.
La fatigue liée aux alertes constitue un défi supplémentaire. Chaque outil de sécurité génère un flux constant de notifications, et les équipes sous-effectifs ont du mal à distinguer les menaces réelles du bruit de fond. Plummer recommande de commencer par les alertes les plus fiables et les plus graves, puis de contextualiser les données de vulnérabilité. La simple présence d’un composant vulnérable dans un environnement ne suffit pas à déclencher une alerte sans comprendre les conditions spécifiques requises pour son exploitation. Dartmouth Health réalise une analyse d’impact sur l’entreprise pour classer les fonctions organisationnelles par criticité et prioriser les efforts de sécurité en conséquence.
L’intelligence artificielle (IA) est déjà utilisée par les attaquants, qui profitent de la qualité croissante des charges utiles de phishing, avec moins d’erreurs grammaticales et une ingénierie sociale plus sophistiquée. Plummer a lui-même découvert une vulnérabilité Gmail en juin 2023, exploitée par un attaquant qui a utilisé une faille dans la norme d’authentification BIMI pour envoyer des messages de phishing portant des marques de vérification légitimes. Cet incident a entraîné des changements d’infrastructure chez Google, Microsoft et d’autres géants technologiques.
Du côté défensif, l’IA est encore en phase de développement. Plummer, qui se classe parmi les 3 % des meilleurs utilisateurs de ChatGPT au monde, estime que les intégrations actuelles nécessitent une surveillance humaine importante. L’IA a tendance à adopter des recommandations prudentes et surprotectrices et peine à gérer les nuances organisationnelles nécessaires pour éliminer les faux positifs. Les problèmes profonds d’analyse des données comportementales que les équipes de sécurité souhaitent résoudre restent hors de portée pour le moment.
En conclusion, Christopher Plummer recommande de : rejoindre le Health ISAC ou une organisation régionale de partage d’informations ; réaliser une analyse d’impact sur l’entreprise ; évaluer soigneusement la consolidation des fournisseurs ; faire pression en faveur de normes industrielles concernant l’auto-déclaration des composants des dispositifs médicaux ; et donner la priorité à la contextualisation des vulnérabilités. « Nous n’avons pas besoin que l’IA soit une boîte à outils complète », conclut-il. « Nous avons juste besoin que ce soit un très bon outil qu’un humain vraiment intelligent puisse utiliser et avec lequel il peut faire un travail vraiment sérieux. »