Les cyberattaques sont une réalité qui envahit de plus en plus l’univers médical et peu nombreux sont ceux qui pourraient y résister. La seule question pertinente à se poser n’est pas de savoir si une attaque est possible, mais de savoir quand elle sur­viendra, comment et quelles en seront les conséquences

Le règlement européen relatif à l’ENISA (Agence européenne pour la cybersécurité) et à la certification de cybersécurité(1)
récemment voté, le souligne dès son introduction :

« La cybersécurité n’est pas qu’une question liée à la technologie, mais une question pour laquelle le comportement humain est tout aussi important. C’est pourquoi il convient d’encourager vivement les citoyens, les organisations et les entreprises à adopter une « hygiène informatique », à savoir des mesures simples, de routine qui, lorsqu’ils les mettent en œuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cyber­menaces ».


Le risque Cybersécurité en santé : une question de vie ou de mort ?

Avec l’avènement de la Médecine Numérique(2), c’est la vie des patients qui est le seul véritable « enjeu ». En effet, la cybersécurité en santé ne se réduit pas à la sécurité ou à l’intégrité d’appareils ou de logiciels sur un poste informatique. Des dispositifs médicaux à l’e-santé, de la télémédecine aux systèmes numériques robotisés, il est indispensable de protéger les patients des vulnérabilités technologiques auxquelles le progrès technique l’expose… auxquels les progrès de la Médecine Numérique les exposent.

Désormais une responsabilité sans cesse croissante de cyber­sécurité incombe aux professionnels de santé et certainement aux patients eux-mêmes. C’est cette réalité qui doit inciter chaque acteur à une prise de conscience, chaque responsable, à s’interroger sur nouvelle « approche » de la cybersécurité en santé pour qu’au final chacun soit partie prenante, à son niveau, de la démarche de sécurité du (et autour) du patient.

L’avènement des Pathologies Bio Numériques (ou Cyber Initiées)

WannaCry(3) le ransomware encore présent dans tous les esprits, fut une attaque peu sophistiquée qui n’avait pas pour objectifs de compromettre des données médicales.

Mais il est impératif d’anticiper des cas de figure ou la finalité d’une cyberattaque ne serait pas les données(4) !
Dans ces différents cas de figure les « attaquants » tenteraient d’avoir accès aux dossiers médicaux non pas pour chiffrer les données afin de les vendre ou d’obtenir une rançon, mais plutôt pour saboter une recherche, commettre une fraude à l’assurance, un meurtre ou même un acte de terrorisme….

Voici concrètement deux illustrations des « cyberattaques de demain ».

1. Injection/suppression de pixels dans les images

Des chercheurs israéliens ont montré qu’il était possible et assez simple, de falsifier(5) la présence d’un cancer du poumon sur des scanners. Pour parvenir à ce résultat, ils ont utilisé l’apprentissage en profondeur (Intelligence artificielle) afin d’intercepter et modifier certaines modalités présentes dans un réseau hospitalier actif en l’infiltrant de manière dissimulée. Les modifications des clichés n’ont pris que quelques millisecondes et elles se sont avérées suffisamment « crédibles » pour leurrer trois radiologues expéri­mentés et une intelligence artificielle d’apprentissage en profondeur à la pointe de la technologie.

Aucun n’a su déceler les falsifications et chacun a rendu des diagnostics erronés.

2. Attaque ciblée sur des Dispositifs Médicaux

Un exploit décrit dès 2017 prouvait que les dispositifs médicaux implantés tels que les stimulateurs cardiaques étaient piratables(6) c’est-à-dire qu’un tiers non autorisé pouvait avec des équipements « disponibles dans le commerce » modifier la programmation des appareils pour contrôler la stimulation ou vider les piles. La même année, la Food and Drug Administration (FDA) avait déjà publié un avertissement(7) similaire à l’égard des stimulateurs cardiaques implantables qui pourrait être utilisé pour administrer une stimulation ou des chocs inappropriés. Depuis les risques n’ont cessé de croître.

Les fabricants de dispositifs médicaux et la FDA ont parfaitement pris conscience des défis liés à la cybersécurité dans les soins de santé : c’est pourquoi la FDA a déjà défini des directives sur la manière dont les fabricants de dispositifs médicaux doivent gérer les risques liés à la sécurité avant et après la mise sur le marché de leurs produits. Un groupe de fabricants de dispositifs médicaux (dont Abbott, Philips et Medtronic) se sont engagés à collaborer avec des spécialistes informatiques et des chercheurs en sécurité sur les vulnérabilités de leurs dispositifs et d’y remédier(8).

En France, l’ANSM a lancé en juillet 2019 une consultation publique(9) sur un projet de recommandations pour la cybersécurité des dispositifs médicaux.

Ne pas tenter de transformer les médecins en experts informatiques(10)

Sans passer en revue toutes les mesures à prendre, un pas de géant à faible coût serait réalisé en « accroissant la sensibilisation des professionnels de santé à la (cyber)sécurité »(11).

Il existe une forme de cloisonnement entre les experts de la cybersécurité qui sécurise les systèmes d’information santé et les professionnels de santé qui défendent leurs prérogatives sur les soins prodigués aux patients. Mais il est vital que les seconds cernent l’importance de la cybersécurité et l’intègre dans leur quotidien médical, car ils sont en contact immédiat avec les patients directement exposés par les systèmes insuffisamment protégés.

Une approche orientée « Médecine Numérique » permettrait d’intégrer nativement la cybersécurité dans les cursus de formation des « professions de santé » afin qu’elle anticipe les menaces et ainsi respecte ses obligations déontologiques(12).

Comment sensibiliser les acteurs de santé aux réalités, aux enjeux des cybermenaces ? Une solution parfaitement adaptée au monde de la santé pourrait passer par les Serious Game !

Le serious game a un potentiel pédagogique et stratégique éprouvé. Il permet de positionner des joueurs (les apprenants) au sein d’un scénario fictif mais guidé, pour qu’une fois mis en situation, ils puissent tirer des enseignements bien réels sur les thématiques au cœur du jeu.

Afin de sensibiliser voire de former les professionnels de santé et, plus globalement les intervenants du monde de la santé aux fondamentaux de la cybersécurité, il conviendrait de transposer à l’aide d’un Serious Game les principes d’une cybersécurité « santé/médicale ».

Qu’est-ce qu’un serious game ?

Le serious game est fréquemment associé aux outils de réalité virtuelle et de réalité augmentée qui permettent de se placer dans l’immersion, souvent très opérationnelle, d’une situation. Ces outils sont des moyens qui servent d’entraînement, comme
par exemple monter le long d’un pilier à haute tension afin de le
réparer, intervenir sur une catastrophe ou mettre au point une opération tactique. Les serious game en général et le wargaming en particulier englobent à la fois les jeux vidéo et les jeux de plateaux. Ces derniers, très largement utilisés dans les pays anglo-saxons, ont l’avantage d’être faciles à déployer et à moindre coût, tout en ayant une certaine agilité au niveau des règles et des supports. Ils ont surtout la grande vertu de mettre face à face de vraies personnes et de leur donner l’occasion de mieux comprendre les réactions et comportements humains, dans une mise en situation choisie. En pratique, à la sortie d’une séance de jeu arbitré, les participants repartent avec plus de questions qu’ils n’en avaient au départ, parce qu’ils ont réussi à approfondir le sujet et à découvrir de nouvelles perspectives.

Quelle différence avec le wargaming ?

Le wargaming a bien entendu une origine militaire. Les wargames cherchent à tester, imaginer ou jouer une opération militaire, en préparation de cette opération ou pour mieux comprendre comment elle s’est déroulée. Suivant les différents échelons d’intervention, ils agissent au niveau stratégique, opérationnel ou tactique. Le domaine du business wargaming, qui s’inspire des wargames, offre actuellement un large champ d’exploration.

Pourquoi la cybersécurité dans le domaine de la santé peut-elle avoir recours aux serious game ?

Les serious game ont des valeurs pédagogiques éprouvées. Ainsi, une heure de session de jeu peut en apprendre autant, voir beaucoup plus, que trois heures de Powerpoint ! Ce temps, conçu pour se poser et mieux réfléchir, donne l’expérience de la décision. Il est notamment possible d’insérer un serious game dans un exercice cyberattaque servant, entre autres, à tester la rapidité de décision et les flux d’informations contradictoires afin d’éprouver la coopération face à des scénarii catastrophes. En santé, les plus gros problèmes de cybersécurité résident moins dans les failles de sécurité des systèmes que dans l’émergence d’environnements hybrides et complexes dans lequel l’«Humain» est prépondérant.

Bien entendu la valeur des données de santé à caractère personnel, fait des organisations de soins de santé, une cible de choix. Mais cet aspect est secondaire. C’est pourquoi il ne faut pas se focaliser sur la valeur des données, ni mêmes sur les problèmes liés au rétablissement des systèmes après une cyberattaque, le groupe Ramsay Générale de santé a rapidement bloqué une cyberattaque obligeant à basculer en mode dégradé pendant plus d’une semaine(13).

Le jeu est une bulle qui permet de tester tous ces paramètres, dans un environnement clos et sans conséquences extérieures.

Comment le jeu s’adapte-t-il aux différents scénarii dans la santé ?

Il faut d’abord partir de la question posée et de l’objectif péda­gogique attendu, pour trouver le moteur de jeu correspondant
aux profils et au nombre de participants, à la durée et au format voulu. Parmi la diversité des choix possibles, il suffit d’adapter le
moteur de jeu et de l’adosser, avec des experts du domaine, à un scénario.

L’intérêt particulier des serious game pour sensibiliser les profes­sionnels de santé réside également dans leurs capacités à rendre concret des concepts de cyber-attaques et de cybersécurité. En effet, si les acteurs de la santé ne sont pas formés à comprendre
ce qu’est la kill-chain, la défense en profondeur ou les mouvements latéraux, tout le monde sait ce que c’est dans un jeu de prendre un pion, lancer des dés, tirer des cartes… En transposant les principes de cyber attaques en mécanismes de jeu bien connus, on rend accessible et compréhensible un domaine dans lequel les joueurs n’ont pas de connaissances particulières.

Les données enregistrées, telles que les décisions et les réactions des joueurs, constituent une source de renseignements précieuse pour affiner le scénario.

Découvrez nos offres d'accompagnement CyberSécurité Santé

LES AUTEURS

Didier Ambroise .

Associé fondateur de Doshas Consulting, cabinet spécialiste de la transformation numérique des acteurs de la santé. Il est également secrétaire général du Think Tank « Le Cercle de la Donnée » et copilote le Groupe de Travail « développement économique des entreprises en France et à l’International » du Conseil du Numérique en Santé (CNS).

Docteur Christophe Richard .

Médecin, expert en Médecine Numérique, spécialisé dans l’accompagnement de programmes numériques nationaux à forte valeur ajoutée médicale (DMP, Dossier Pharmaceutique, SI Samu...), ancien responsable pédagogique à CentraleSupélec Exed, Membre fondateur du Think Tank « Le Cercle de la Donnée ».

David Noury .

Consultant en cyber sécurité, membre de l’association Serious Game Network France, créateur du jeu « Hacklihood » pour sensibiliser et former les professionnels aux problématiques des risques dues à la digitalisation des métiers.

Patrick Ruestchmann .

Préside l’association Serious Games Network -France qui promeut l’utilisation des serious game dans les milieux professionnels et éducatifs. Organisateur du 1er Forum sur les serious game et le wargaming à l’École Militaire. Le 2e Forum a eu lieu le 27 janvier 2020 à l’École Militaire.

Relayez cet article sur vos réseaux sociaux.

À lire également

arrow-up2