Chronique NIS V2 - Episode 2
Introduction : Pourquoi NIS V2 change la donne pour les ETI de la santé ?
L’année 2024 marque un tournant décisif pour la cybersécurité dans les secteurs critiques, en particulier pour la santé. Avec l’entrée en vigueur de la directive NIS 2 le 17 octobre 2024, les entreprises, notamment les ETI (Entreprises de Taille Intermédiaire) opérant dans le domaine de la santé, devront répondre à de nouvelles exigences de sécurité et de gestion des risques.
Les entreprises de ce secteur sont responsables de données extrêmement sensibles : dossiers médicaux, résultats de tests cliniques, ainsi que des systèmes critiques qui assurent la continuité des services de santé et la production pharmaceutique. Alors que la menace des cyberattaques s’accroît, il est essentiel de garantir la résilience de ces systèmes.
Comme mentionné dans l'Article 1 de cette chronique NIS V2, en 2023, 581 incidents de cybersécurité ont été signalés dans le secteur de la santé, et 50 % de ces incidents étaient d’origine malveillante. Ces chiffres soulignent la vulnérabilité des infrastructures critiques. La directive NIS 2 vise à renforcer la sécurité de ces infrastructures en imposant des mesures plus strictes aux entreprises, y compris aux ETI.
Exigences spécifiques pour la santé et notamment l'industrie pharmaceutique
Les entreprises du secteur de la santé et de la pharma doivent non seulement protéger les systèmes critiques comme les systèmes de production pharmaceutique, mais aussi garantir la sécurité des données sensibles qu'elles manipulent.
Un enjeu majeur réside dans la sécurisation des systèmes industriels (OT). Ces systèmes, qui assurent des fonctions essentielles à la production de médicaments et à la gestion des infrastructures médicales, sont de plus en plus interconnectés avec les systèmes IT. Ce couplage IT-OT, tout en offrant des gains d'efficacité, expose les systèmes OT à des cybermenaces plus larges.
Par ailleurs, les données de santé, telles que les dossiers médicaux ou les résultats d’essais cliniques, ainsi que la propriété intellectuelle (comme les formules de médicaments ou les brevets), sont devenues des cibles privilégiées des cybercriminels. La fuite ou le vol de ces informations pourrait compromettre non seulement la sécurité des patients, mais aussi la compétitivité de l’entreprise.
La chaîne d'approvisionnement constitue un autre point critique. Dans le domaine pharmaceutique, les entreprises dépendent de nombreux sous-traitants, qui peuvent constituer des failles dans le dispositif de sécurité global. Assurer la conformité des partenaires est donc indispensable pour protéger l’ensemble de la chaîne.
Menaces spécifiques à l'industrie pharmaceutique et à la santé
Les attaques ciblant les systèmes OT
Les systèmes OT dans les entreprises pharmaceutiques et les infrastructures médicales jouent un rôle fondamental. Ces systèmes assurent la production de médicaments, la gestion des équipements de diagnostic, et même la logistique hospitalière. Cependant, leur interconnexion croissante avec les systèmes IT en fait une cible privilégiée pour les cyberattaques.
Une attaque typique sur un système OT pourrait viser à saboter la production de médicaments en altérant les paramètres des machines ou en perturbant les lignes de production. Dans certains cas, cela peut entraîner des pertes financières importantes, des retards dans la chaîne d'approvisionnement ou, pire encore, la distribution de produits compromis, mettant en danger la santé publique.
Les cybercriminels utilisent aussi les failles dans les réseaux OT pour pénétrer les systèmes critiques. Contrairement aux systèmes IT, les environnements OT sont souvent plus anciens et moins régulièrement mis à jour, ce qui les rend plus vulnérables. Par exemple, une attaque par ransomware sur une usine pharmaceutique pourrait non seulement interrompre la production, mais aussi exiger une rançon importante pour restaurer les systèmes, ce qui pourrait paralyser l’entreprise pendant plusieurs jours.
Vol de données sensibles et de propriété intellectuelle
Dans le secteur de la pharma, la protection des données sensibles et de la propriété intellectuelle est primordiale. Les entreprises manipulent des informations critiques comme les formules de médicaments, les résultats d’essais cliniques ou les données de patients. Le vol ou la fuite de ces données pourrait avoir des conséquences désastreuses, tant sur le plan économique que sur celui de la réputation.
Les cybercriminels exploitent ces données à des fins de chantage, de revente ou d’espionnage industriel.
Risques liés à la sous-traitance
Les sous-traitants jouent un rôle essentiel dans la chaîne d'approvisionnement pharmaceutique, mais ils constituent également des cibles vulnérables pour les cyberattaques. Une intrusion chez un fournisseur peut entraîner une cascade d'attaques dans toute la chaîne d'approvisionnement. Cela peut affecter la disponibilité des matières premières, perturber les processus de fabrication, et compromettre la livraison des produits finaux.
La réglementation impose désormais des normes plus strictes pour surveiller et sécuriser les relations avec les sous-traitants, et NIS V2 met un accent particulier sur cette problématique.
Stratégies de sécurité pour les ETI du secteur de la santé et de la pharma
Pour les ETI de ce secteur, l'adoption de mesures de cybersécurité spécifiques est essentielle pour répondre aux exigences de NIS V2. Le renforcement des systèmes IT et OT, ainsi que la protection des données, doivent être au cœur des priorités.
Renforcement de la sécurité des systèmes OT et IT
Les systèmes OT et IT, bien que différents dans leur fonctionnement, doivent être protégés de manière complémentaire. Les systèmes OT, qui gèrent les processus industriels, sont particulièrement vulnérables aux cyberattaques en raison de leur ancienneté et de leur interdépendance croissante avec les systèmes IT.
Une première stratégie consiste déjà à segmenter les réseaux OT et IT, afin de minimiser la propagation d’une attaque d’un environnement à l’autre. Cela permet de réduire la surface d'attaque et d'isoler les systèmes critiques.
De plus, il est essentiel de renforcer la surveillance des systèmes OT. Les infrastructures OT nécessitent une surveillance continue et des solutions spécifiques, car elles ne peuvent pas être perturbées par des analyses de sécurité intrusives. Les entreprises doivent également planifier rigoureusement les mises à jour et correctifs de ces systèmes pour minimiser les interruptions. De plus, la mise en oeuvre d’un système de contrôle d’accès robuste (politique de mot de passe robuste, MFA) si possible centralisé, respectant les principes du moindre privilège et du besoin d’en connaitre, est à imposer absolument
Protection des données sensibles
Les données médicales et pharmaceutiques étant des cibles de choix, les ETI doivent garantir que leurs politiques de protection des données sont conformes aux normes les plus strictes. Cela inclut une gestion rigoureuse des accès et une traçabilité complète des opérations. La certification HDS:2024 impose notamment des exigences accrues en matière de traçabilité et de gestion des accès, ce qui renforce la protection des données critiques.
Chaîne d'approvisionnement, le maillon faible
La protection de la chaîne d'approvisionnement est un autre enjeu majeur. Il est nécessaire d’assurer une conformité stricte de tous les sous-traitants avec les exigences de cybersécurité. Cela implique des audits réguliers, l’insertion de clauses de sécurité dans les contrats, et la mise en place de mécanismes de surveillance des fournisseurs.
Eunoia Security Hub pour faciliter la conformité avec NIS V2
Se conformer à NIS V2 peut sembler complexe, surtout pour les entreprises de taille intermédiaire (ETI). Cependant, Eunoia Security Hub simplifie cette tâche en automatisant plusieurs étapes clés de conformité.
Eunoia Security Hub centralise la gestion de la gouvernance, des risques et de la conformité. Son interface intuitive permet de modéliser les stratégies de sécurité, d’identifier et suivre les risques via des tableaux de bord interactifs. La surveillance continue des actifs IT et OT, couplée à l’automatisation des exigences NIS V2, allège la charge des équipes IT/OT.
Un autre atout majeur est le mapping des standards : si l’entreprise est déjà conforme à des normes comme ISO 27001, Eunoia Security Hub évite de ré-auditer les contrôles déjà effectués, se concentrant uniquement sur les éléments spécifiques à NIS V2. Ceci permet d’optimiser le processus et de gagner du temps.
En résumé, Eunoia Security Hub offre une solution flexible et automatisée, idéale pour assurer la conformité avec NIS V2 tout en simplifiant la gestion des risques.
Conclusion
NIS V2 représente une occasion unique pour les ETI du secteur de la santé et de la pharma de moderniser leurs pratiques de cybersécurité. Plus qu'une simple obligation légale, cette directive permet de renforcer la résilience des infrastructures critiques et de mieux protéger les données sensibles.
En adoptant des stratégies de cybersécurité proactives, en renforçant la protection des systèmes IT et OT, et en s’appuyant sur une solution intégrée comme Eunoia Security Hub, les entreprises peuvent non seulement se conformer aux exigences de NIS V2, mais aussi transformer cette conformité en un avantage compétitif.
Comments