Tribune Jean-Pierre Blum

Cybersécurité américaine en santé, « in God we trust no more »

Publié le 16/03/2023

Le ministère fédéral de la Santé et des Services sociaux américain (H&HS - Health and Human Service) et le Conseil de coordination du secteur de la santé (HSCC - Health Sector Coordinating Council) éditent un guide - unitaire et mis à jour - pour aider les entités du secteur de la santé à mettre en œuvre le cadre de cybersécurité (CSF - CyberSecurity Framework) de l’Institut national des normes et de la technologie (NIST - National Institute of Standards and Technology). Le but de cette nouvelle boîte à outils du HHS et du HSCC est d’aider le secteur à mieux gérer les risques par enrichissement de la courbe d’expérience.

Voici un pas important pour contraindre les organismes de santé à aligner leurs programmes de sécurité sur le Cybersecurity Framework, modèle en cinq étapes, géré par le National Institute of Standards and Technology qui est ce qui se rapproche le plus d'une norme nationale commune en matière de cybersécurité aux États-Unis. Le ministère de la Santé et des Services sociaux et le conseil de coordination du secteur de la santé ont publié mercredi un guide permettant au secteur de la santé de comprendre et d'utiliser ce cadre.

« Les cyberattaques dans le secteur de la santé sont l'une des formes de cybercriminalité qui se développent le plus rapidement. Elles mettent en péril les soins aux patients, portent atteinte à l'intégrité des systèmes de santé et menacent l'économie américaine », a déclaré Dawn O'Connell, secrétaire générale adjointe du ministère de la Santé et des Services sociaux chargée de la préparation et de l'intervention.

Le cadre divise les activités de cybersécurité en cinq fonctions : identifier, protéger, détecter, répondre et récupérer. Il propose des contrôles de cybersécurité que les organisations peuvent appliquer pour réaliser les cinq fonctions, ainsi qu'un ensemble de quatre niveaux - allant de « partiel » à « adaptatif » - dont les organisations peuvent évaluer leur adoption du cadre.

Le NIST a dévoilé le cadre en 2014 après un long processus de consultation avec l'industrie, consolidant ainsi l'approche de Washington à l'égard du secteur privé en tant qu'engagement volontaire en dehors des industries déjà réglementées. Ce consensus est sous pression, notamment en raison de la vague soutenue d'attaques par ransomware qui frappe les infrastructures critiques. Toute entité de soins de santé qui touche à des informations de santé protégées est déjà régie par la règle de sécurité HIPAA et d'autres documents existent pour coordonner la mise en œuvre de la règle avec le cadre. En 2022, le NIST a publié un projet de directives visant à mettre à jour le document de concordance. Mais toutes les entités de soins de santé ne sont pas soumises à la règle et, en tout état de cause, les initiés du secteur pensent que le respect du cadre permet d'obtenir de meilleurs résultats en matière de sécurité.

La cinquième colonne

« L'un des plus grands problèmes auxquels les organisations sont confrontées est de savoir comment fournir des garanties significatives sur leurs programmes de cybersécurité aux parties prenantes internes et externes, en particulier aux autorités de réglementation. Le cadre de cybersécurité du NIST permet aux organisations de communiquer sur la manière dont elles atteignent des objectifs de cybersécurité spécifiques d'une manière standardisée », a déclaré Robert Booker, directeur de la stratégie de HITRUST.

« Une exécution plus cohérente des performances de toutes les entreprises par rapport aux objectifs de cybersécurité du cadre de cybersécurité du NIST améliorera la position globale du secteur des soins de santé dans son ensemble », a déclaré Robert Booker. Selon lui, « l'état d'avancement de l'adoption du cadre est encore très perfectible. Les plus grandes lacunes en matière d'adoption concernent les petites et moyennes entités, mais, hélas, pas que ».

Outre la nouvelle boîte à outils du cadre de cybersécurité du NIST, le Conseil de coordination du secteur de la santé et le ministère de la Santé et des Services sociaux sont également sur le point de terminer la mise à jour d'une publication commune de 2019, intitulée Health Industry Cybersecurity Practices (Pratiques de cybersécurité dans l'industrie de la santé).

« Je ne sais pas ce que le gouvernement peut décider au sujet des mandats proposés, mais l'industrie soutient certainement le NIST et le HICP », a déclaré Greg Garcia, directeur exécutif du groupe de travail sur la cybersécurité du HSCC.

Ici c’est « locacyber » et parfois même « locacybébert »

Si on lit bien entre les lignes, on percevra qu’on se dirige vers une obligation métrique comparative de l’état de fragilité des infrastructures qui corrobore l’orientation française et européenne vers le « cyberscoring » et la loi éponyme (député Latombe et sénateur Lafon) qui entrera dans le cadre législatif au 1er octobre 2023. Déjà les assureurs (Coface, Sham, etc.), les commissaires aux comptes, les banquiers, l’Etat (Banque de France) ont adopté ce genre d’audits de contrôle par mesure de notation. Pour la santé, ce n’est qu’une question de temps. Les assureurs se frottent les mains. Mais peut-être est-ce le seul chemin pour arrêter de parler et, enfin, de faire ? L’intérêt de la démarche juridique américaine consiste dans l’unicité du chemin et de la trajectoire. L’Etat fédéral et ses agences se sont rangées sous une seule et même bannière. On peut la critiquer mais au moins elle est coordonnée, elle débouche sur le déclenchement de pénalités lourdes effectives. On peut sourciller à propos des motivations sous-jacentes, mais au moins le mensonge et le faux-semblant mettent en grave danger ceux qui les pratiquent. « I Trust But I Check » est le « livemotive ». En France c’est plutôt « Aie trust and Aie do not check, Aie, Aie, Aie ». Comme disait Philippe Cirre, ex numéro 2 et discret responsable adjoint de la Délégation à la sécurité des systèmes d’information en santé du ministère de la Santé, « il ne faut pas être trop ambitieux ». On comprend pourquoi ses troupes se débandaient.

C’est bien connu « pour vouloir il faut pouvoir mais pour pouvoir il faut savoir ». La logique est irréfutable. C’est d’autant plus désespérant quand on documente chaque jour que ceux qui veulent affronter la vérité et remédier aux points de faiblesse ne sont pas légion (Analyse OSSINT des surfaces d’attaques). Que serait-ce si nous n’étions pas les meilleurs et les plus valeureux. Nous laisserons la conclusion au journal Le Monde qui titrait récemment : « Dans une forêt de chênes aussi grands que brillants il est normal qu’ils poussent des glands ». Mais ce doit être une réflexion de perroquet approximatif un peu « Neuneu » ou « l’archétype d’une buse » (Luc Ferry, LCI, 5 mars 2023). Allez les gars on retourne au charbon, on a des patients à respecter et des ressources publiques à gérer.


Source : lequotidiendumedecin.fr