Découvrez l’approche de Clinisys en matière de cybersécurité!
Lorsqu’un établissement de santé est à la recherche d’un nouveau système d’information de laboratoire (SIL), le service informatique de l’établissement étudiera à un moment ou l’autre les risques en matière de cybersécurité.
La cybersécurité c’est d’ailleurs LE sujet qui hante les directeurs des systèmes d’information (DSI) et leurs équipes.
Nos spécialistes, Shay Hassidim, Directeur de la technologie, et Jacques Le Roux, DSI/CISO, ont échangé sur la stratégie de Clinisys en matière de cybersécurité et la stratégie développée pour les futurs systèmes hébergés dans le cloud et SaaS.
Un environnement peuplé de menaces
Selon vous, quelles sont les principales préoccupations des établissements de santé en matière de cybersécurité ?
Jacques Le Roux : Le secteur de la santé est devenu une cible extrêmement tentante pour les cybercriminels : les risques de cybersécurité sont désormais pris très au sérieux par les établissements de santé. La cybersécurité et les stratégies à mettre en place pour limiter les risques d’intrusion, c’est ce qui tient les DSI et leurs équipes en alerte! Et leur inquiétude est justifiée puisque des articles récents confirment que 60 % des cyberattaques ciblent le secteur de la santé.
Shay Hassidim : C’est le cas aux États-Unis mais ailleurs aussi, et on le sait, un dossier médical a désormais plus de valeur qu’un dossier bancaire dans certains cas sur le dark web. En même temps, les compétences en matière de sécurité et les ressources techniques dont vous avez besoin pour contrer les hackers sont très coûteuses. Ils ont tendance à aller dans la Silicon Valley et à Wall Street.
Jacques Le Roux : Par ailleurs, dans de nombreux établissements de santé, on constate qu’il y a toujours des outils informatiques vieillissants et cela peut représenter une part importante de l’infrastructure informatique. Des systèmes informatiques difficiles à renouveler (coût, infrastructures, ressources), des quantités massives de données patients, un vaste réseau d’appareils médicaux connectés (medical devices), cela impacte fortement la sécurité de l’établissement.
Et ce, particulièrement dans un contexte international, qui tend à toujours intégrer plus de données de santé, à les rendre toujours plus ouvertes, partageables et accessibles. C’est pourquoi de nombreux pays ont mis en place des mesures réglementaires pour protéger les données de santé et les établissements contre les cyber-attaques.
Conformité réglementaire
Selon vous, qu’attendent les DSI de la HealthTech ?
Shay : La première chose qu’ils recherchent c’est que la solution soit en conformité avec une certification reconnue.
Jacques : En Europe et au Royaume-Uni, ce sont les certifications Data Security and Protection Toolkit (DSPT), Cyber Essentials Plus et ISO27001 qui sont utilisées pour évaluer les fournisseurs. C’est d’ailleurs la stratégie « cybersécurité » remontée par le NHS England : sécuriser la chaîne d’approvisionnement et veiller à ce que les fournisseurs respectent les normes de cybersécurité.
Shay : Aux États-Unis, l’accent est toujours mis sur le respect des exigences des normes HIPAA et HITECH, même si je dirais qu’elles sont en train de devenir obsolètes. Les fournisseurs se tournent de plus en plus vers de nouvelles normes telles que HITRUST, qui est beaucoup plus axée sur le cloud mais aussi plus complète.
Jacques : Cela montre que le cadre réglementaire est en permanente évolution. En Europe, la directive sur la sécurité des réseaux et de l’information (NIS2) entrera en vigueur dans le courant de l’année, et le gouvernement britannique a déjà annoncé son intention de mettre à jour les réglementations 2018 sur les réseaux et les systèmes d’information (NIS Regulations). Chez Clinisys, nous évoluons et avançons avec ces changements, tout en travaillant en permanence en conformité avec les exigences des règlementations des pays dans lesquels nous sommes présents.
Conformité technique
D’autres actions sont-elles à prendre ?
Shay : Il n’y a pas que la conformité réglementaire. Les DSI et les services techniques et de sécurité doivent trouver des partenaires ayant d’excellentes procédures de sécurité. Celles de Clinisys s’appuient sur le modèle FAN développé par Northrup Grumman et le NIST CSF.
Ce modèle envisage la cybersécurité comme des couches de contrôles qui s’étendent des actifs critiques aux données, applications, terminaux, réseaux et périmètres des cloud publics ou privés, tous contrôlés par de solides procédures et suivi qualité. Nous avons également choisi d’adopter l’approche « confiance zéro ».
Cette approche part du principe que les organisations ne doivent pas faire systématiquement confiance à un utilisateur, à un appareil ou à un réseau. On met l’accent sur une forte authentification, des autorisations et contrôles stricts. Nos clients le verront en action lorsque leurs équipes utiliseront un accès basé sur des rôles/droits utilisateurs : ils constateront qu’ils ne peuvent accéder qu’aux données dont ils ont besoin pour effectuer leur travail et qu’ils ne peuvent pas passer d’un segment de réseau à l’autre. L’objectif ? Limiter les dégâts qu’un hacker pourrait causer s’il accédait au système.
Nous utilisons également la surveillance en « temps réel » ce qui nous permet de mieux comprendre ce qui se passe et réduit considérablement le temps de réaction.
« Shift left » et gestion des risques « hors les murs »
Est-il possible d’intégrer la cybersécurité dès le départ ?
Jacques : Oui, et Clinisys adopte pour cela le principe du « shift left » dans ses méthodes de développement. Ce principe préconise l’intégration de mesures de sécurité le plus tôt possible dans le processus de développement.
Si la sécurité est une priorité dès la création du code et qu’elle fait partie intégrante de la conception, les problèmes peuvent être corrigés plus tôt dans le processus et l’application est forcément plus sûre.
Shay : Il faut également penser aux bibliothèques tierces et open source. Il faut s’assurer que la personne avec laquelle on travaille n’est pas un individu isolé, mais bien une entreprise solide et sérieuse, avec des référentiels logiciels bien établis. La procédure de gestion des risques « tiers » de Clinisys identifie, évalue et vise à limiter les risques associés aux bibliothèques de logiciels tiers, et veille à ce qu’elles n’introduisent pas de vulnérabilités et n’exposent pas les établissements à des risques potentiels.
La stratégie de Clinisys en matière de cybersécurité
Quels sont les objectifs de Clinisys?
Shay : Avec le passage au cloud, les choses évoluent vers une responsabilité plus partagée en matière de cybersécurité et les fournisseurs de cloud disposent également des compétences et des ressources dont nous avons parlé précédemment.
Ils peuvent donc construire, surveiller et protéger leurs systèmes avec seulement quelques personnes pour patcher et combler les trous. Dans cet environnement, nous aspirons à mener ce que j’appelle une opération de « conformité continue ».
Cela signifie que nous n’attendons pas d’être audités ou que nous n’effectuons pas de tests qu’une ou deux fois par mois. Nous utilisons des outils pour mettre en œuvre et corriger notre infrastructure en temps réel, et quotidiennement. Nous disposons également d’un système d’alerte qui nous permet de savoir si nous ne sommes pas en conformité. Nos nombreuses conversations avec des DSI, des directeurs techniques et des RSSI nous montrent que c’est cela qu’ils recherchent aujourd’hui, et on fait le nécessaire pour les rassurer.
Chez Clinisys, nous évoluons et avançons avec ces changements, tout en travaillant en permanence en conformité avec les exigences des règlementations des pays dans lesquels nous sommes présents.
Quelques mots sur NIS 2 :
NIS2 est une avancée significative pour la cybersécurité au niveau européen :
- en élargissant le champ des entités couvertes,
- en renforçant les exigences en matière de gestion des risques et de déclaration des incidents, –
- en favorisant une coopération et un partage d’informations accrus.
La conformité à la norme NIS2 exigera des entreprises qu’elles adoptent une approche proactive et globale de la cybersécurité.