Comment passer de la gestion de la sécurité à la Cyber-Résilience ?

Comment passer de la gestion de la sécurité à la Cyber-Résilience ?
par POST & EBRC 22/10/2021
Santé et Sciences de la Vie

Faux sites, phishing, logiciels malveillants, arnaques : la multiplication des cyber-attaques depuis le début de la crise sanitaire a rappelé une évidence que beaucoup semblaient avoir oubliée. La cyber-sécurité parfaite n’existe pas et la cyber-résilience est devenue plus que jamais une nécessité impérieuse. Mais comment devient-on une organisation cyber-résiliente ? Pour y répondre, EBRC a organisé, dans le cadre de la Cybersecurity Week Luxembourg qui se tenait du 18 au 28 octobre derniers, une session de témoignage client en ligne en compagnie d’Aline Moyret, Governance, Risk, Compliance (GRC) – Pratice Lead chez EBRC, et de Jacques Federspiel, Chief Information Security Officer aux Hôpitaux Robert Schuman.  

Le choix d’un groupe hospitalier pour parler de cyber-résilience n’est pas dû au hasard. Les hôpitaux représentent une cible privilégiée pour les cybercriminels, en particulier depuis le début de la pandémie. C’est également un environnement complexe. Nés en 2014 de la fusion entre la Clinique Bohler, l’Hôpital Kirchberg, la ZithaKlinik et la Clinique Sainte-Marie, les Hôpitaux Robert Schuman comptent plus de 306 médecins sous statut libéral et quelque 2.500 salariés répartis sur sept pôles d’activité. « Un hôpital, c’est un peu comme une ville », explique Jacques Federspiel. « Plusieurs corps de métier s’y côtoient régulièrement dans un seul et même but : assurer aux patients une prise en charge de haute qualité et un service personnalisé à forte composante humaine. Les moyens technologiques sont impressionnants. La partie biomédicale, à elle seule, comprend près de 10.000 appareils. La logistique joue également un rôle important. Pour donner un simple exemple : sans eau, il n’est pas possible d’effectuer une dialyse sur un patient atteint d’insuffisance rénale. »    

Des objectifs concrets et essentiels

Pour gérer la cyber-sécurité de cet univers particulier, Jacques Federspiel a dû pratiquement partir de zéro. «  Lorsque j’ai pris mes fonctions il y a cinq ans, la maturité de l’hôpital en matière de gouvernance de la sécurité informatique était très faible. Avant mon arrivée, le poste de Chief Information Security Officer n’existait même pas. Il fallait donc au plus vite relever ce niveau de maturité. C’est pourquoi je me suis mis à la recherche d’un partenaire fiable, ayant une certaine expérience dans le secteur de la santé, doté d’une approche pragmatique et muni d’une expertise aussi bien dans le domaine technique que dans celui de l’audit. Mon choix s’est rapidement porté sur EBRC. »

« Étant donné que nos premiers interlocuteurs émanaient du service IT, nous avons axé notre audit sous un angle plus technique », poursuit Alice Moyret. « En clair, nous avons appliqué les 20 contrôles de sécurité critiques du CIS (Center for Internet Security). Ces contrôles, qui visent à prévenir les attaques les plus répandues et les plus dangereuses, nous ont permis de dégager des objectifs concrets et essentiels sur lesquels travailler avec le département informatique. »

Par la suite, la collaboration entre EBRC et les Hôpitaux Robert Schuman a évolué. « De la cyber-sécurité, nous nous sommes progressivement tournés vers la cyber-résilience », précise Jacques Federspiel. « Deux facteurs importants ont entraîné cette évolution. Le premier concerne la transposition dans la loi luxembourgeoise de la directive européenne NIS qui impose de nouvelles exigences réglementaires pour les opérateurs de systèmes essentielles (OSE) avec l’obligation de mise en place de mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne (loi du 28 mai 2019»). Les exigences imposées aux OSE sont, la mise en œuvre de mesures de sécurité (prévention des incidents et la continuité de service), la notification/gestion des incidents et la gestion des risques. Le deuxième a trait au fait que les Hôpitaux Robert Schuman sont désignés comme infrastructure critique par le règlement grand-ducal du 21 février 2018 déterminant les modalités du recensement et de la désignation des infrastructures critiques ; et du règlement grand-ducal du 21 février 2018 fixant la structure des plans de sécurité et de continuité de l’activité des infrastructures critiques. Le Haut-Commissariat à la protection nationale (HCPN) désigné comme autorité nationale chargée de la coordination des questions liées à la protection de l’infrastructure critique, a comme attribution d'initier, de coordonner et de veiller à l'exécution des activités et mesures relatives au recensement, à la désignation et à la protection des infrastructures critiques, qu'elles soient publiques ou privées. En outre, le HCPN adresse au propriétaire ou à l'opérateur d'une infrastructure critique des recommandations au sujet des mesures de sécurité qui permettent d'en assurer la protection, d'en améliorer la résilience et de faciliter la gestion d'une crise. Nous nous sommes ainsi rendu compte que la sécurité de l’information ne concernait pas seulement les informaticiens, mais l’ensemble des acteurs du groupe hospitalier et qu’une gouvernance de la sécurité des systèmes d’information devait être mise en place par la direction, et non pas par le seul département IT. »  

Utiliser le bon langage pour faire avancer les choses

« Pour accompagner la démarche de cyber-résilience de notre client, nous avons modifié notre approche d’audit en utilisant les normes ISO 27001 (gestion de la sécurité de l’information) et ISO 22301 (gestion de la continuité d’activité) avec, à chaque fois, un accent sur des thématiques spécifiques soit par des tests d’intrusion ciblés, soit par une évaluation de tout ce qui concerne le plan de reprise d’activité. Notre objectif était d’avoir une vue globale et d’utiliser, en fonction de ce que nous découvrions, les bonnes ressources de manière efficace sur des domaines plus ciblés et ainsi avoir des résultats tangibles sur les thèmes les plus sensibles. »  

« Ce que nous avons particulièrement apprécié chez EBRC, c’est sa capacité à avoir pu utiliser le bon langage pour faire avancer les choses », conclut Jacques Federspiel. « Dans le même ordre d’idées, nous devrions d’ailleurs dans un futur proche créer un comité pluridisciplinaire de compliance sur la sécurité et la protection des données. Il devrait être composé de représentants de juristes, du délégué à la protection des données, du risk manager et du Chief Information Security Officer. L’objectif est de parler d’une seule et même voix vis-à-vis de toutes les parties prenantes. »

Vous pouvez visionner l’intégralité de cet entretien ci-dessus ou nous contacter si vous voulez en savoir plus sur nos solutions.