Cybersécurité santé : les hôpitaux en danger ?

<![CDATA[Sur notre site, nous vous expliquons régulièrement que la sécurité informatique concerne tous les types de structures. Les intrusions dans votre système, les pannes de matériel, la suspension temporaire de l’activité ou encore le vol des données utilisateurs ont, bien entendu, des répercussions très grave sur le fonctionnement des entreprises ou encore sur leur image de marque. Mais pour certaines structures, cela pourrait être même plus grave.
On pourrait presque dire que des vies humaines sont directement en jeu. C’est par exemple le cas de structures telles que les hôpitaux.
Il se trouve que ces dernières années les établissements de santé ont commencé à être pris en cible par les pirates informatiques. Pour les pirates, ce sont en effet des cibles faciles. En effet, d’un côté, les enjeux financier et humains sont très importants, et de l’autre, ces établissements ne sont malheureusement pas les mieux équipés en matière de système d’information et à fortiori, de sécurité informatique.
Les hôpitaux sont-ils en danger en matière de cybersécurité ? Dans cet article nous allons tâcher de vous présenter un bilan de la situation, basé sur des études récentes.

Cybersécurité : les hôpitaux sont-ils la cible des pirates ?

Oui, les hôpitaux sont régulièrement la cible des pirates ! Il n’est pas difficile de répondre à cette question.
Depuis de nombreuses années, et notamment avec la prolifération des ransomwares, les hôpitaux ont de plus en plus visés par les menaces informatique.
Ce n’est pas forcément une bonne publicité pour eux, mais certains cas d’hôpitaux attaqués ont été mis à jours dans les médias, comme par exemple le cas en 2016 de piratages tels que : le piratage d’un hôpital de Boulogne, visé par le virus Locky, ou encore, le cas d’un hôpital californien, qui avait payé une rançon pour retrouver l’accès à son système informatique, ou enfin le cas d’un réseau d’hôpitaux dans le Maryland, contraint de désactiver son système pour résoudre une attaque.
Pour résumer, selon une étude réalisée par l’éditeur de solutions de sécurité NTTSecurity, au 2e trimestre 2016, les hôpitaux représentaient 88% des attaques par ransomware.

Les hôpitaux sont-ils conscients des risques ?

Effectivement, il semble que les hôpitaux soient de plus en plus conscients des risques. Pour preuve, depuis 2 ans, la situation s’améliore.
Des informations intéressantes nous parviennent d’une étude réalisée par Le Club de la sécurité de l’information français (le Clusif) et portant sur les menaces et pratiques de sécurité informatique en France. En effet, dans cette étude, une cible de 127 hôpitaux et 24 structures d’hébergement médicalisé de plus de 100 lits ont été interrogés de manière spécifique.
Les résultats tendent à montrer une belle progression en matière de prise en compte de la sécurité informatique pour les hôpitaux.
Selon cette étude, en 2014, seuls 60% des hôpitaux disposaient d’un responsable de la sécurité informatique. Désormais, ce chiffre est monté à 90%. Si l’on en croit le contexte actuel, il est vital que tous les hôpitaux disposent d’un responsable, ou à défaut, d’une sécurité informatique déléguée, afin de prendre en charge les incidents de sécurité qui peuvent se produire à tout moment.

Les progrès des hôpitaux en matière de sécurité informatique sont-ils suffisants ?

Malheureusement non, les progrès des hôpitaux en matière de cybersécurité ne semblent pas à l’heure actuelle suffisants.
Pour cette assertion, nous nous basons sur l’Atlas des SI hospitaliers publié cette année par le ministère de la santé. En effet :

• L’objectif prévu par le programme Hôpital Numérique (que tous les hôpitaux français, quel que soit leur statut ou leur taille, disposent d’une politique de sécurité informatique au 1er janvier 2018…) n’a pas été atteint.
• On constate que la sécurité informatique “by design”, c’est à dire, au moment de la conception du système d’information de l’hôpital, n’est que peu pratiquée
• Les hôpitaux ne disposent pas toujours d’une cartographie des risques informatiques.
• 20% des établissements ne réalisent pas de sauvegarde au moins une fois par an, ce qui montre un véritable risque de perte de données en cas d’incident majeur.

Ainsi, les informations que nous avons recueillies démontrent un vrai retard en matière de sécurité informatique du côté des hôpitaux, et notamment du côté des hôpitaux français. Avec l’obligation pour toutes les structures publiques d’adopter de façon stricte le nouveau Règlement sur la Protection des Données Personnelles (RGPD), et ses dispositions en matière de protection des données, espérons que les hôpitaux français sauront rattraper ce retard, de façon à se protéger de tout éventuel incident majeur à venir.