Formation cybersécurité à l’hopital

Cette formation à la cybersécurité à l’hopital s’adresse en priorité au management. Car le but est de l’aider à repenser sa stratégie de cyberdéfense et de résilience. Mais la formation contient aussi des recommandations pour former l’ensemble du personnel hospitalier à un ensemble de bonnes pratiques. Enfin, la formation donne des méthodes pour vérifier que la transformation sécuritaire se passe et détecte les personnes et les dispositifs qui constituent les maillons faibles du système. Afin d’éviter le scénario classique et désespérant de la cybersécurité non-stratégique: chercher une aiguille dans une botte de foin.

Les hopitaux sont une cible de choix pour les pirates. Et l’attaque la plus courante consiste à s’introduire dans les systèmes pour tout bloquer, crypter les données et exiger une rançon. Dès lors, la raison pour laquelle les hopitaux sont visés est triple : (1) on entre dans un hopital comme dans un moulin puisque c’est un espace ouvert au public. (2) l’enjeu est majeur (la survie des patients) donc le chantage fonctionne et (3) les hopitaux n’ont pas beaucoup investi dans la cybersécurité à ce jour, leurs infrastructures sont faiblement protégées.

Blocage du centre hospitalier de Corbeil Essonnes

Le blocage du Centre Hospitalier de Corbeil Essonnes est resté dans les mémoires comme un épisode particulièrement douloureux de la vague de piratages qui affecte le système hospitalier depuis quelques années. En effet, il a fallu transporter 450 patients vers l’hopital le plus proche. Les pirates ont exigé une rançon et l’hopital a mis plus d’une semaine à retourner à un mode de fonctionnement normal.

Cette formation est construite comme une étude de cas. Et nous analysons les paramètres de cet hopital avant / pendant et / après l’incident et en tirons des leçons qui seront utiles pour tous les dirigeants de centres hospitaliers.

Mais comment prévoir le risque, comment anticiper les coups de l’adversaire? Et peut-on limiter la casse? Pourquoi former les employés à un comportement responsable? Ou encore comment mettre en place un système de détection des intrusions? Et comment garantir un mode de fonctionnement minimal (résilience)? Ce sont autant de questions auxquelles nous répondons méthodiquement afin de construire, en creux, un vade mecum de la cybersécurité en hopital.

Avant

Avant une intrusion et un blocage au ransomware, plusieurs actions peuvent être entreprises. Comme vérifier l’état du réseau. Et former le personnel. Mais aussi tirer les leçons des incidents qui sont apparus dans les autres hopitaux. Et créer avec eux des liens de solidarité. Ou distribuer l’information dans l’espace (géoprotection). Sans oublier de documenter les attaques. Identifier et profiler les attaquants. Ou analyser le modèle d’affaires des pirates (à travers le mode opératoire de la rançon). Se renseigner sur les normes de sécurité comme ISO 27001 et les implémenter. Et créer un dispositif juridique de protection des droits de propriété intellectuelle. Ou encore déposer les données chez un tiers de confiance pour créer des preuves de propriété et disposer d’un recours juridique crédible.

Pendant

Pendant une cyberattaque, il est possible de placer l’hopital en mode de secours ou mode dégradé. De la même façon qu’une lampe sur batterie s’allume dans les couloirs en cas de panne de courant, un système BIS peut être activé en quelques minutes avec une configuration de défense qui inclut un accès limité à internet.  Ainsi l’épisode d’attaque est également une occasion d’activer un protocole de traçage qui permettra ensuite de retrouver la trace des assaillants (data forensics).

Après

Après l’attaque, il faut évaluer la pertinence de payer une rançon. Donc pronostic négatif si une partie suffisante des données est préservée. Il faut consolider les données de traçabilité afin de démarrer la procédure judiciaire. Et il faut initier le processus de restauration en s’assurant qu’on ne laisse pas de porte ouverte (backdoor) aux pirates. Enfin, il convient de tirer le bilan de l’attaque à titre stratégique d’abord avec le management. Puis, dans une logique de prévention des futures attaques, avec l’ensemble du personnel.

Dans cette formation dédiée au management des hopitaux

Nous partons d’une étude de cas (l’attaque subie par le centre hospitalier de Corbeil Essonnes) pour construire avec le management de l’hopital une stratégie efficace et fluide qui consomme le minimum de ressources et de budget pour réorganiser les systèmes informatiques sur la base des risques réels et uniquement ceux-ci. Or la formation est certifiante et destinée à produire un groupe d’experts inter-hopital en mesure de prendre des décisions rationnelles avant, pendant et après une attaque.

Avec cette formation, nos clients commandent habituellement ces deux autres formations. D’une part Le blocage des systèmes informatiques et le ransomware et d’autre part Politique de mots de passe sécurisés.

Curriculum formation à la cybersécurité en hopital

Introduction

Section 1: Une étude de cas, le centre hospitalier de Corbeil Essonnes

• Avant
• Pendant
• Après

Section 2: Les points d’amélioration

• Ne pas changer une équipe qui marche
• Identifier les faiblesses
• Documenter les processus

Section 3: Un réseau de bonnes pratiques

• Apprendre de ses erreurs
• Fonctionner en temps réel
• Définir des priorités

Glossaire

Quiz