Règlements NIS : une nouvelle ère de cybersécurité pour le secteur de la santé en Angleterre

Lorsque l’on pense aux défis auxquels est confronté le National Health Service, on peut penser à des éléments tels qu’un manque de financement et de personnel, de longues listes d’attente, une population croissante et des besoins en constante évolution des patients. 

Pourtant, une seule cyberattaque a le pouvoir de mettre hors ligne tous les systèmes de communication d'informations critiques du NHS, ce qui rend plus difficile pour les médecins et les infirmières de première ligne de faire leur travail et, en fin de compte, de sauver des vies. La tristement célèbre cyberattaque WannaCry, menée par des hackers nord-coréens, infecté ordinateurs dans 595 cabinets médicaux en Angleterre et perturbé le fonctionnement d'un tiers des fiducies hospitalières anglaises du NHS. 

En plus d’avoir un impact sur les opérations quotidiennes des cabinets médicaux et des hôpitaux à travers le pays, les cyberattaques contre le NHS peuvent également entraîner la fuite de données de santé sensibles. En juin, The Independent rapporté que des cybercriminels ont volé les données personnelles de 1.1 million de patients du NHS dans 200 hôpitaux après avoir lancé une attaque de ransomware contre l'Université de Manchester. On pense que ces données divulguées incluaient les numéros NHS des patients et une partie de leurs codes postaux. 

Cherchant à prévenir de futures cyberattaques et fuites de données affectant le NHS, la Joint Cyber ​​​​Unit a publié nouvelle orientation concernant le déploiement de la réglementation des réseaux et des systèmes d'information (NIS) dans les organismes de santé en Angleterre. Cette décision suggère que les régulateurs considèrent désormais les données de santé comme une infrastructure nationale critique (CNI). Alors, pourquoi est-ce le cas et que signifient les nouvelles directives pour les prestataires de soins de santé en Angleterre ?

Que sont les réglementations NIS ?

La réglementation NIS, entrée en vigueur en mai 2018, vise à renforcer la posture de cybersécurité des opérateurs de services essentiels (OES). Ces organisations fournissent des services essentiels au bon fonctionnement de la société et de l’économie, notamment les transports, l’eau, l’électricité et désormais les soins de santé.

Dans de nouvelles directives, les responsables gouvernementaux décrivent les soins de santé comme « un service essentiel en vertu de la réglementation NIS ». Il classe les fiducies du NHS, les fondations, les conseils de soins intégrés (ICB) et certains prestataires indépendants comme des « OES pour les services de santé », ce qui signifie qu'ils doivent prendre les mesures appropriées pour se conformer à la réglementation NIS.

Selon ces règles, les établissements de santé doivent être capables de gérer toute menace de cybersécurité impactant les réseaux et les systèmes d'information qu'ils utilisent pour fournir des services essentiels. Il s’agit de prévenir et minimiser les effets des cyberattaques sur les réseaux et systèmes d’information de santé tout en « assurant la continuité de ces services ». 

La réglementation du NIS signifie que les prestataires de soins de santé doivent adopter des « pratiques globales de gestion des risques », selon Jack Porter, spécialiste du secteur public chez Logpoint. Ces mesures comprennent « l’évaluation des risques potentiels, la mise en œuvre de mesures de sécurité et leur révision régulière pour protéger les données des patients ».  

Les prestataires de soins de santé doivent également mettre en œuvre « davantage de politiques liées à la sécurité de la chaîne d’approvisionnement » pour se conformer à la réglementation NIS. Porter déclare : « Cela signifie s'assurer que les partenaires et les fournisseurs adhèrent à des normes de sécurité strictes pour les prestataires de soins de santé, en particulier lors du traitement des données des patients ou de la fourniture de services critiques. »

Lorsqu'il s'agit d'atténuer les risques de cybersécurité et, à terme, de se conformer à la réglementation NIS, Porter recommande aux prestataires de soins de santé d'adopter un système de gestion de la sécurité de l'information (ISMS). Il ajoute que la mise en œuvre d'un système de gestion des événements de sécurité et des incidents (SIEM) permettrait aux organismes de santé de « détecter et répondre aux incidents » et de se conformer aux normes industrielles comme ISO 27001. 

Les technologies émergentes telles que la blockchain pourraient également aider les prestataires de soins de santé à protéger leurs systèmes cruciaux contre les cyberattaques et les fuites de données. Simon Bain, expert en IA et PDG d'OmniIndex, explique que la technologie décentralisée « offre une sécurité, une confidentialité et une transparence améliorées par rapport aux infrastructures existantes ». 

Il poursuit : « En effet, il est crypté de bout en bout, ne dispose d'aucun emplacement central permettant à un criminel d'attaquer et utilise l'IA pour authentifier et autoriser l'accès en permanence afin de garantir que seuls ceux qui ont l'autorisation de consulter certaines données puissent les consulter. De plus, les données stockées sont immuables. Cela signifie que même si une attaque réussit, les données ne peuvent pas être cryptées par un attaquant ni demandées une rançon.

Signalement des cyber-incidents 

Si le réseau et les systèmes d'information d'un prestataire de soins sont impactés par un incident de cybersécurité affectant la continuité de ses services essentiels, celui-ci doit déposer un rapport en utilisant le Boîte à outils de sécurité et de protection des données (DSPT). 

Ils doivent signaler l'incident au moins 72 heures après l'avoir remarqué et inclure des informations sur le nombre d'utilisateurs touchés par une violation, sa durée et l'emplacement géographique concerné.

Porter dit que les règles du NIS sont similaires à RGPD en ce sens qu'ils visent à « élargir les exigences en matière de déclaration d'incidents au-delà de celles qui affectent la continuité du service. Il explique : « Les prestataires de soins doivent signaler les incidents significatifs affectant leur réseau et leurs systèmes d’information avec préconisation d’un audit de sécurité. »

Il affirme que l’adoption d’une plateforme SIEM permet aux gestionnaires de cas d’incidents de cybersécurité dans le secteur des soins de santé « d’accélérer les enquêtes et les réponses ». Ces systèmes fournissent des informations sur les menaces, donnant aux enquêteurs une « image complète de ce qui se passe » et leur permettant de « créer des rapports directement à partir de chaque cas ». 

Pourquoi le NIS est-il important pour les soins de santé ?

Plusieurs raisons peuvent expliquer la décision du gouvernement britannique de rendre la réglementation NIS applicable au secteur de la santé anglais. Le plus grand facteur de motivation réside peut-être dans le fait qu’une variété complexe de systèmes interconnectés jouent un rôle essentiel dans la prestation quotidienne de soins de santé modernes. 

Des dossiers de santé électroniques aux équipements de diagnostic connectés à Internet, les technologies de santé battent le cœur du NHS en 2023. Mais elles sont aussi une cible lucrative pour les cybercriminels et doivent être protégées pour éviter des cyberattaques catastrophiques qui pourraient affecter le système de santé anglais. 

Matt JD Aldridge, consultant principal en solutions chez OpenText Cybersecurity, affirme que la nature « extrêmement sensible » des données de santé et leur valeur pour les cybercriminels sont probablement des facteurs importants dans la décision du gouvernement d'appliquer la réglementation NIS au système de santé anglais. 

« Si une attaque devait perturber un établissement médical, elle entraînerait de graves risques pour les patients. C’est pourquoi l’industrie est au centre de l’attention et doit donc aborder la sécurité de plusieurs manières », dit-il.

« En outre, il y a eu de nombreuses attaques ou violations très médiatisées contre le NHS au cours des dernières années, ce qui pourrait avoir motivé ce réalignement pour assurer une meilleure protection et un meilleur encadrement des organismes de santé dans leur ensemble. »

La pandémie de coronavirus a mis en évidence l’importance du NHS lors d’une urgence de santé publique, on pourrait donc affirmer qu’un système de santé perturbé serait mauvais pour la sécurité nationale britannique. En améliorant la cyber-résilience du NHS, les États-nations ne seront pas en mesure de perturber la capacité de la Grande-Bretagne à fournir des soins intensifs lors de futures pandémies et autres crises de santé publique. 

Soumettre les prestataires de soins de santé aux réglementations NIS leur permettra de mettre en œuvre les meilleures pratiques en matière de cybersécurité pour atténuer les futures cyberattaques et violations de données, qui autrement mettraient les patients en danger, entraîneraient de lourdes amendes et nuiraient à leur réputation. La décision de l'Angleterre de renforcer ainsi la cybersécurité de son secteur de la santé incitera probablement d'autres pays à prendre des mesures similaires, augmentant ainsi l'influence de la Grande-Bretagne sur la scène mondiale. 

Faire fonctionner la réglementation NIS 

Malgré leurs avantages, les réglementations NIS peuvent présenter divers défis pour les organismes de santé en Angleterre. Les petits fournisseurs, en particulier, seront touchés par le fardeau financier lié à l’achat de systèmes de cybersécurité et à la mise à jour des systèmes informatiques existants. Faire ces choses nécessite également une expertise spécifique, que les petits prestataires de soins de santé ne possèdent peut-être pas en interne. Il faudra du temps pour former le personnel à l’identification et à la réponse aux cyberattaques. 

Dans l’ensemble, le déploiement de la réglementation NIS dans le secteur de la santé anglais le protégera contre les menaces de cybersécurité existantes et émergentes. Mais pour que cette transition réussisse, une collaboration étroite entre les gouvernements, les régulateurs, les prestataires de soins de santé et les experts en cybersécurité est fondamentale.