Hôpitaux : une année 2018 ‘chaude’ en matière de cybersécurité

07 décembre 2017

L’année 2018 sera clairement ‘chaude’, notamment en raison de la poursuite du réchauffement climatique. Mais un domaine où l’année sera sans doute plus ‘chaude’, c’est celui de la sécurité dans les hôpitaux. Et à ce niveau, le risque est plus grand encore.

L’expert en sécurité Kaspersky Lab n’en fait pas un mystère : les vols de données et les perturbations importantes dans le fonctionnement quotidien des soins de santé en général, et des hôpitaux en particulier, constituent le message clé des prévisions 2018 en matière de cybersécurité. Au niveau des perturbations, le rançongiciel constitue l’essentiel des attaques, sachant que les hôpitaux représentent une cible privilégiée. Et non, il ne s’agit pas là d’une volonté de susciter un vent de panique pour prêcher pour sa paroisse, comme l’ont d’ailleurs déjà prouvé les nombreuses attaques de ces dernières années.

En effet, dès cette année, Kaspersky Lab a démontré que de simples requêtes lancées sur l’internet permettent déjà de détecter des vulnérabilités connues dans des équipements médicaux au sens large, qu’il s’agisse de dossiers patients, de systèmes d’information hospitalières et de PACS/DICOM.

Vols et perturbations

David Makrushin, chercheur auprès de Kaspersky Lab, met en lumière le nombre croissant d’interconnexions entre les systèmes d’information du secteur médical – y compris des équipements médicaux spécialisés et des vêtements intelligents ( ! ) –, lesquels représentent les maillons faibles au départ desquels des vols et attaques sont possibles. « Pour des pirates, une simple connexion internet externe suffit pour s’introduire et diffuser un malware. » Et il n’est pas rare que les experts en sécurité internes ne soient même pas au courant de telles connexions (le risque de ‘shadow ICT’, entendez des systèmes qui ne sont pas achetés selon les procédures prévues, mais bel et bien connectées sur le réseau). Par ailleurs, Makrushin fait référence au fait que les échanges de données sensibles ne sont pas cryptés au sein des organisations et avec l’extérieur. A ce niveau également, l’avenir se s’annonce pas encourageant, compte tenu de l’émergence d’appareils ‘internet of things’ (comme les vêtements dotés de capteurs, les thermomètres intelligents, etc.) qui sont souvent très mal pourvus en termes de sécurité.

Compte tenu de la valeur des données médicales, Makrushin insiste également sur les risques accrus de vols ciblés de données via ces connexions, mais sans doute aussi les risques de violation de l’intégrité des données (injection de données fausses). Par ailleurs, les évolutions au niveau des instruments médicaux implantables (pompes à insuline, pacemakers, systèmes de monitoring, etc.) ainsi que des prothèses intelligentes notamment « ouvrent de nouvelles perspectives d’attaques pour les pirates créatifs. » Attaques qui peuvent se révéler mortelles pour les personnes.

Que faire dans ces conditions ? Evidemment, les hôpitaux doivent continuer à investir dans les solutions de sécurité classiques comme les parefeux, antivirus et autres. Mais, « le concept de périmètre d’entreprise claire ment défini continue à s’éroder dans les institutions médicales », relève Makrushin, ce qui oblige à prévoir d’autres mesures.

Guy Kindermans