Passer au contenu principal

Santé-Piratage du système de santé par l'ISAC 11/20/2015

Cette semaine, le podcast Hacking Healthcare® de Health-ISAC® analyse un projet de loi récemment déposé au Royaume-Uni visant à moderniser la réglementation relative à la sécurité des réseaux et de l'information (NIS). Rejoignez-nous pour découvrir les objectifs du gouvernement britannique et son impact potentiel sur le secteur de la santé.

Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).

 

Version PDF: 

 

Version texte :

Bienvenue à Hacking Healthcare®.

Réforme de la réglementation britannique sur la sécurité des réseaux et de l'information (NIS) présentée au Parlement 

Aperçu

Avant le retrait du Royaume-Uni de l'Union européenne (UE), comme tous les États membres, le Royaume-Uni avait transposé en droit national les réglementations et directives européennes, telles que le Règlement général sur la protection des données (RGPD). Toutefois, depuis sa sortie de l'UE en 2020, il n'est plus lié par les orientations politiques de l'UE et a dû définir sa propre stratégie sur des questions comme la cybersécurité et la protection de la vie privée. Cette rupture a conduit le Royaume-Uni à moderniser progressivement sa législation et sa réglementation héritées de l'UE, s'inspirant souvent des évolutions réglementaires de l'Union, avec un certain retard.

Parmi les réglementations britanniques les plus importantes en matière de cybersécurité, héritées de l'UE, figure le Règlement de 2018 sur les réseaux et les systèmes d'information (NIS). Comme on pouvait s'y attendre, l'adoption du NIS par le Royaume-Uni a été très similaire à celle des autres États membres de l'UE. Ce règlement visait à « [fournir] des mesures juridiques pour renforcer le niveau global de sécurité (tant cybernétique que physique) des réseaux et des systèmes d'information essentiels à la fourniture de services numériques (places de marché en ligne, moteurs de recherche, services de cloud computing) et de services indispensables (transports, énergie, eau, santé et services d'infrastructure numérique) ».[I]

Alors que l'UE a accéléré la mise à jour de sa NIS il y a des années, sa mise en œuvre complète étant toujours en cours et en retard sur le calendrier prévu, le Royaume-Uni ne s'attaque que maintenant à la mise à jour de sa NIS, le développement le plus récent étant l'introduction du projet de loi sur la cybersécurité et la résilience (CSRB) au Parlement.[Ii] Ce projet de loi remanierait le NIS original afin de mieux prendre en compte les évolutions technologiques, l'évolution du contexte des menaces et de remédier à certaines des lacunes de la première version.

 

Pourquoi la mise à jour ?

Comme indiqué précédemment, beaucoup de choses ont changé depuis 2018. Les évolutions technologiques, l'évolution du contexte des menaces, les lacunes de la première version du NIS et la liberté d'élaborer une politique spécifique au Royaume-Uni ont motivé cette mise à jour. Plus précisément, cette mise à jour portera sur :

  • Évolutions technologiques : Les évolutions technologiques telles que la criticité croissante des centres de données, des fournisseurs de services gérés et des contrôleurs de charge importants ont incité à réviser la portée de la réglementation NIS pour couvrir les nouvelles technologies.[iii]
  • Évolution du contexte des menaces : Dans son résumé du projet de loi, le ministère des Sciences, de l'Innovation et de la Technologie (DSIT) a expliqué que « l'année dernière, le Royaume-Uni était le pays le plus ciblé en Europe » et a cité des statistiques selon lesquelles « 95 % des organisations d'infrastructures nationales critiques du Royaume-Uni ont subi une violation de données en 2024 ».[Iv] De plus, le DSIT a déclaré que « face à une menace devenue plus intense, plus fréquente et plus sophistiquée, nos défenses se sont comparativement affaiblies ».[V]
  • Lacunes du NIS : Deux examens post-mise en œuvre (EPM) de la réglementation du NIS ont été menés en 2020[Vi] et 2022,[Vii] commanditées par le gouvernement britannique, ces analyses ont mis en évidence plusieurs lacunes dans la réglementation NIS, notamment le constat que « bien que les organisations prennent des mesures pour garantir la sécurité de leurs réseaux et systèmes d’information, le rythme des améliorations doit être accéléré » et que la NIS « ne fonctionne pas comme prévu dans plusieurs domaines clés, tels que la portée de la réglementation et le faible nombre de rapports d’incidents soumis ».[Viii]

 

Comment le CSRB compte-t-il aborder ces questions ?

Nous n'aborderons pas l'ensemble des révisions proposées dans les 100 pages du CSRB, d'autant plus que nombre d'entre elles ne s'appliqueront pas nécessairement au secteur de la santé. Toutefois, de manière plus générale, le DSIT décrit le CSRB comme étant structuré autour de trois piliers :

  • Portée élargieLe CSRB élargirait le champ d'application des NIS afin de mieux englober les « services si essentiels que leur interruption affecterait notre vie quotidienne ». Outre les centres de données, les fournisseurs de services gérés et les contrôleurs de charge importants, l'ajout le plus intéressant concerne les « fournisseurs critiques désignés », que nous aborderons plus loin.
  • Régulateurs efficacesLe CSRB fournirait aux autorités de réglementation des outils plus performants pour garantir l'adoption et l'application de la nouvelle réglementation NIS. Ces outils comprendraient un nouveau système de déclaration des incidents, de nouveaux mécanismes de partage d'informations et de protection, ainsi que de nouvelles sanctions en cas de non-conformité.
  • Activer la résilienceLe CSRB comprendrait des outils permettant au gouvernement britannique de s'adapter plus rapidement à l'évolution des menaces et aux nouvelles lacunes. En particulier, le CSRB autoriserait l'adoption d'une législation secondaire susceptible d'étendre son champ d'application à davantage de secteurs, ou de mettre à jour et d'introduire de nouvelles exigences en matière de sécurité et de résilience, et conférerait au gouvernement de nouveaux pouvoirs lui permettant d'enjoindre aux organismes de réglementation ou aux entités réglementées de prendre des mesures ciblées et proportionnées face aux menaces imminentes qui mettent en péril la sécurité nationale du Royaume-Uni.[Ix]

 

La voie à suivre 

Le CSRB vient tout juste d'être présenté à la Chambre des communes et il reste encore du chemin à parcourir avant qu'il ne soit promulgué.

 

Action et analyse
**Inclus avec l'adhésion à Health-ISAC**

 

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Les contrôleurs de charges importantes sont définis comme « les organisations qui contrôlent une charge électrique de 300 MW ou plus pour contrôler à distance les appareils des consommateurs ».

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Les entités réglementées dans ce contexte incluraient les fournisseurs critiques désignés conformément à la DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] Les notes explicatives du CSRB fournissent des exemples d’incidents de prépositionnement et de ransomware.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

Vous devez innover car les cybercriminels innovent constamment.
Les autorités fédérales et l'AHA mettent en garde une nouvelle fois le secteur de la santé contre l'évolution de la menace Akira.