Close
  • Français
  • English

03/12/2018Sécurité globale des systèmes critiques de santé : s’unir pour protéger, le projet européen SAFECARE (par Philippe TOURRON)

Lors des analyses de risques préalables à une protection de systèmes il est nécessaire d’identifier les biens les plus critiques à protéger.
Mais quel est le bien le plus précieux que toute personne cherche à protéger ? … LA SANTE.

Protéger les patients, leurs données, les personnels est un impératif et une évidence pour tous les systèmes de santé que ce soit un hôpital ou une organisation de veille sanitaire.
Pour limiter les menaces, des actions aujourd’hui classiques, sont souvent mises en place que ce soit par des protections physiques (contrôle des accès, vidéo protection, courant secouru, protection incendie…) ou des protections numériques (authentification, antivirus, filtrage de menaces cyber…). Mais les menaces évoluent vite, deviennent de plus en plus complexes et se combinent.
Alors comment prendre en compte tous les événements qui peuvent être précurseurs à un incident lorsqu’ils viennent de composants aussi divers qu’il y a de matériels médicaux et d’entrées dans un hôpital ?

Le projet SAFECARE (projet du programme H2020 financé par l’UE) a pour ambition de réunir des partenaires représentatifs de la diversité des composants des systèmes de santé physiques et numériques, pour proposer une approche et un système innovant apportant une réponse de « vigilance augmentée » afin d’anticiper la réaction ou d’aider à la décision de réaction lors du pilotage de crise.

Genèse du projet

Le projet SAFECARE est né du constat de l’évolution des attaques qui deviennent de plus en plus complexes, fréquentes et combinées et pouvant être physiques et cyber. Ce constat amène à réagir avec :

  • Une détection agile ;
  • Une réponse agile ;
  • Un partage des menaces identifiées ;
  • Un partage des parades ;
  • Une coordination (agile) des moyens de défense (interne/externes).

Ce projet européen du programme H2020, d’une durée de 3 ans, est piloté par l’AP-HM : Assistance Publique des Hôpitaux de Marseille (coordinateur). Il est composé d’un consortium de 21 partenaires de 10 pays européens et propose de renforcer la sécurité des infrastructures de santé critiques en cas d’attaque physique ou de cyber attaque. SAFECARE visera à améliorer les capacités de prévention, de détection et de réponse contre ces menaces.

Fig. 1 les Clefs du projet SAFECARE

Les systèmes de santé : un univers complexe et étendu

Cet univers est avant tout composé de personnes qui sont le véritable enjeux et objet de la protection, les patients bien sûr et tous les personnels qui sont à la fois à protéger et ceux qui permettent le soin et la protection des patients.
Les sources de risques sont multiples tant physiques, avec malheureusement des actes de violences trop souvent constatés et redoutés, que cyber avec des attaques parfois ciblées aux données de santé ou aux dispositifs médicaux avec des objectifs visés de paralyser le fonctionnement et donc le soin.
Un site hospitalier doit concilier à la fois sa vocation d’accueil de tous et de facilité d’accès et la protection des personnes ce qui rend complexe la prévention, par ailleurs l’évolution des technologies conduit à intégrer de plus en plus et de plus en plus vite de nouveaux moyens pour faciliter l’usage d’outils performants pour les professionnels de santé.

Des périmètres complexes à protéger

Les personnes : les patients, les visiteurs, les personnels, les entreprises intervenant dans les locaux ou à distance sont autant de comportements à prendre en compte (accès, mobilité, localisation, …).

Les locaux : souvent étendus et ouverts sur la ville.

Les moyens de sécurité : des cohabitations de systèmes au rythme des installations peuvent rendre difficile leur interopérabilité de fonctionnement et de surveillance.

Les moyens techniques et logistiques : comportent diverses technologies de pilotages (SCADA) avec parfois une hétérogénéité d’âge et de conception. Les systèmes pilotés relèvent du domaine des systèmes industriels déclinés pour certains dans le monde santé (stockage de médicaments, de pièces opératoires…).

Les matériels médicaux : une grande diversité de constructeurs et de générations cohabitent souvent avec des systèmes peu tolérants aux mises à jour de sécurité, aux antivirus et autres systèmes de protection pouvant perturber les traitements ou la communication des données d’analyses ou d’interventions pour les patients. Aujourd’hui, les dispositifs médicaux vivent une révolution liée à l’IOT avec toutes les difficultés associées au compromis du « time to market » et de la sécurité.

Les supports du système d’information et les données de santé : informatique et téléphonie font aujourd’hui parties du dispositif de soin et de gestion sanitaire à l’échelle d’un hôpital comme d’un pays. Disponibilité, intégrité comme confidentialité contribuent aux soins et les impacts dans ces trois domaines peuvent engager la santé et la vie privée des personnes comme le rappelle le RGPD.

Et pourtant beaucoup d’informations sont déjà disponibles

Tous ces composants comportent souvent des systèmes de management et de supervision mais ils sont généralement gérés par des acteurs distincts par leurs métiers et leurs objectifs de protection avec plus ou moins de surveillance et de capacité d’alerte et très rarement de possibilité de consolidation ou de corrélation.
Fédérer les sources d’information est ainsi l’enjeu initial du projet SAFECARE pour construire les risques et pouvoir apprendre les prémices de leur origine.

Fig. 2 L’architecture et l’écosystème du projet SAFECARE

Objectif N°1 : Collecter les événements révélateurs de la sécurité des composants critiques

Tout d’abord il est indispensable d’identifier ces composants critiques puis de capter l’ensemble des événements donnant une vision de « leur état de santé » et des comportements de sources de risques potentielles pour l’ensemble du périmètre comportant : la gestion des bâtiments (énergie, climatisation, accès…), les dispositifs médicaux, les services IT, mais aussi la perception de situation à risque par les personnels (menaces physiques, verbales, individus au comportement suspect…).

Ensuite, il convient de disposer les capteurs pertinents à chaque situation. Un axe particulier du projet vise à fournir un modèle et des outils de détection de menaces sur les dispositifs médicaux.
Enfin, nous visons à faciliter la collecte et le format de ces données pour les intégrer à une base de connaissance et d’événements qui servira de cœur au système de détection et protection.

Objectif N°2 : Devenir agile face aux signaux faibles, aux menaces multiples et combinées physiques et cyber

La modélisation des risques (avec la méthode EBIOS Risque Manager développée par l’ANSSI) et le développement de l’ontologie permettant la modélisation de la propagation des impacts sont deux phases de conception majeures dans le projet. Les règles de propagation des impacts et de décisions seront intégrées à la base de données centrale et le développement d’outils de représentation des réseaux sémantiques traduisant ces scénarios facilitera l’apprentissage et l’aide à la décision. Les technologies d’intelligence artificielle permettront l’apprentissage des situations à risques notamment pour le périmètre cyber.

Objectif N°3 : Apporter une vision simple aux opérateurs de la sécurité

Il s’agit pour faciliter la détection et la prévention de fournir des alertes selon des modes de communication adaptés (messages vocaux, vidéos, signaux, graphes, utilisation des outils de mobilité, …) vers les acteurs de la sécurité pertinents face à la situation (gardiens, pompiers, police, SOC…).
Pour optimiser la détection et la protection, les solutions proposées permettront de communiquer, alerter et obtenir de l’aide rapidement et efficacement en accompagnant l’alerte des informations facilitant la levée de doute.

Objectif N°4 : Apporter une vision claire aux décideurs dans la gestion de crise

Fournir les états précis d’un sinistre et évaluer les scénarios de propagation est un enjeu capital pour l’imiter les impacts (par exemple : quels sont les sites menacés par une attaque possible ou réalisée sur un dispositif médical ?)

Objectif N°5 : Faciliter la communication et l’organisation des moyens

Au-delà des acteurs de la sécurité, la communication doit permettre aux professionnels de santé de connaître le niveau de fiabilité de leurs équipements médicaux et des locaux (peut-on utiliser en confiance les moyens ?). L’information de disponibilité des infrastructures de santé pourra aussi être beaucoup plus large dans le cadre de sinistres majeurs à l’échelle d’un hôpital, d’une région ou d’un pays.

Conclusion
S’unir pour protéger est la voie qui peut permettre de défendre les infrastructures de santé, leurs personnels et leurs patients. Le projet SAFECARE traduit ce partage nécessaire au niveau européen entre acteurs de la santé, de la sécurité opérationnelle (police, pompiers), de l’industrie et des universités et instituts scientifiques. S’entrainer et s’entraider est ensuite au-delà de SAFECARE, le chalenge à tenir par tous les acteurs de la sécurité au niveau de l’Europe et globalement pour maintenir une agilité de défense face à celle des menaces.

 

Philippe TOURRON est responsable de la Sécurité des Systèmes d’Information (RSSI) de l’AP-HM (Assistance publique-Hôpitaux de Marseille) et pilote du projet européen SAFECARE.