Cyber-attaque : quel est le niveau de protection des hôpitaux ?

L'évaluation des données de mesure systématiquement collectées dans le cadre d'un travail de master de l'ingénieur électricien Martin Darms parle d'elle-même : seuls 84% des hôpitaux sont suffisamment armés contre les cyberattaques. Il existe même parfois de graves points faibles, comme le montre Darms dans son travail de diplôme "Gefährdung Schweizer Spitäler gegenüber Cyberangriffe" (Risque des hôpitaux suisses face aux cyberattaques).

L'étude utilise un indice de vulnérabilité spécialement développé à cet effet, le Hospital Vulnerability Index, abrégé en HVX. Cet indice permet de comparer facilement les différents hôpitaux entre eux. Les valeurs supérieures à 100 indiquent que l'hôpital en question est vulnérable aux attaques. Plus cette valeur est faible, plus l'hôpital est protégé contre les attaques externes et internes au réseau hospitalier.

Conséquences potentiellement graves

Une attaque contre un hôpital peut avoir des conséquences désastreuses : De la panne anodine de la page d'accueil de l'hôpital à la paralysie complète d'un établissement, tout est possible. Dans le pire des cas, avec une issue fatale pour les personnes nécessitant des soins. Il suffit de penser aux patients en urgence, qui sont par exemple reliés à des machines pulmonaires, ou au cas où des examens urgents devraient être effectués avec des appareils médicaux, mais que ces appareils ne sont pas disponibles. De ce fait, aucun diagnostic ou un diagnostic erroné peut être posé.

Avec quelques connaissances techniques et les bons outils disponibles sur Internet, il est possible de causer des dommages considérables, voire mortels, comme l'a récemment rapporté le Spiegel Online 33/2015 dans son article "Wehrlos 4.0". Lors d'un test, des respirateurs ont pu être mis hors service par une attaque DoS (Denial of Service). On soupçonnait depuis longtemps que cela était possible. Pour ces tests, il faut bien sûr pouvoir pénétrer dans le réseau de l'hôpital. Dans ce domaine, les hôpitaux suisses étudiés sont relativement bien protégés.

Différents niveaux de sécurité - un énorme flux de données

Martin Darms à propos des résultats de son étude : "Je travaille depuis plus de 20 ans dans des entreprises médicales et les tests internes ne m'étonnent donc pas. Je connais la situation des deux côtés. Ce qui m'a toutefois surpris, ce sont les niveaux de sécurité tout de même très différents. Il y a des différences de l'ordre de 10 fois" ! Cela signifie que certains hôpitaux sont dix fois moins bien protégés que d'autres.

Avec l'accord des responsables informatiques respectifs, Darms a examiné 523 systèmes (appareils médicaux, serveurs, clients) à la recherche de points faibles. Les données ont été collectées dans 7 des 278 hôpitaux et cliniques de Suisse, ce qui correspond à 2,5% de tous les hôpitaux suisses et à 4,1% de tous les jours de soins en Suisse. Pour une meilleure comparaison des résultats et à titre de référence, il a également inclus dans l'analyse une clinique en Allemagne, où des mesures ont été effectuées sur plus de 200 systèmes. De mi-février à début avril 2015, des scans ont été effectués pendant près de 90 heures au total, ce qui a donné lieu à plus de 5000 pages de rapports de scan, que l'étude évalue.

Relativement bien protégé de l'extérieur

L'évaluation montre que la plupart des hôpitaux sont bien protégés de l'extérieur. Il existe 0,53 point faible critique par hôte analysé. En d'autres termes, un système sur deux présentait une faille critique. Les points faibles importants étaient en moyenne au nombre de 6,21 par système. Cela signifie qu'il est relativement difficile pour un attaquant d'Internet d'accéder au réseau interne de l'hôpital. Cela correspond également aux conclusions du Swiss Vulnerability Report 2015, mais les attaques par ingénierie sociale ou hameçonnage n'y sont pas prises en compte.

De l'intérieur, "troué comme du gruyère".

Il en va tout autrement de la sécurité dans les réseaux internes des hôpitaux, où il existe de graves points faibles. Des systèmes d'exploitation fortement obsolètes et qui ne sont plus pris en charge, des mots de passe standard, des serveurs de test non protégés - voilà les portes d'entrée les plus fréquentes pour les pirates.

Les mesures effectuées en interne montrent qu'il existe 1,01 vulnérabilité grave par hôte analysé. En d'autres termes, il y a une vulnérabilité critique : En moyenne, il y avait une vulnérabilité critique sur chaque système. Les vulnérabilités importantes étaient en moyenne de 2,85 par système.

Il existe plus de 70 000 vulnérabilités dans les systèmes d'exploitation et les composants logiciels les plus divers, dont plus de 10 000 sont considérées comme critiques. La tendance des nouvelles vulnérabilités découvertes est en constante augmentation.

Il est également passionnant de savoir s'il y a déjà eu des attaques ciblées sur les infrastructures informatiques des hôpitaux. Aux États-Unis, la cause la plus fréquente de violation de la protection des données est la cyber-attaque, qui a augmenté de manière frappante au cours des cinq dernières années. Le travail de master ne se contente pas de collecter des données, il fournit également les meilleures pratiques pour se protéger efficacement contre les cyberattaques :

1. Définir des directives informatiques et aussi les faire appliquer, définir des processus et les suivre.
2. Former les collaborateurs (les sensibiliser aux attaques de phishing / social engineering).
3. Etablir un concept de sécurité avec différentes zones et différents droits

Parmi d'autres points, l'utilisation régulière d'outils de gestion des vulnérabilités contribue notamment à la sécurité d'un système informatique hospitalier.

Source : Martin Darms, mdarms@gmx.ch, thèse de fin d'études, études MBA, au Institut Johner pour les technologies de l'information dans le secteur de la santé