La transformation numérique touche tous les secteurs, toutes les organisations, tant publiques que privées. Les établissements de santé ne font pas exception, et notamment en terme de cyber security. D’autant qu’aujourd’hui dans les hôpitaux, les objets connectés sont partout et les données confidentielles des patients de plus en plus souvent numérisées. Si le développement rapide de l’usage des technologies constitue un facteur d’amélioration de la qualité des soins, il s’accompagne d’un accroissement significatif des menaces et des risques d’atteinte aux informations de l’hôpital comme de ses patients.
De plus en plus, le quotidien des centres hospitaliers est rythmé par le numérique. De nombreux équipements (pacemakers, pompes à insulines, etc) sont connectés. Ils peuvent communiquer des informations sur leur état de fonctionnement, sur le patient ou encore être paramétrés à distance. En 2016, 114 000 patients d’un laboratoire pharmaceutique ont été contactés suite à la détection d’une faille de cyber security sur un modèle de pompe à insuline. Le boîtier de contrôle présentait une vulnérabilité qui, si elle avait été exploitée, aurait pu permettre d’injecter une dose d’insuline potentiellement mortelle au patient.
Des environnements informatiques trop souvent obsolètes
Les postes de travail sont également connectés pour accéder aux mails, ainsi que certains outils comme les scanners ou les IRM. Selon McAfee, de nombreux établissements fonctionnent encore sous un environnement informatique obsolète. Une étude menée par Deloitte, concernant la cyber security auprès de 24 hôpitaux dans 9 pays (EMEA), a également montré que plus de la moitié des hôpitaux interrogés utilisaient des mots de passe standards (paramètres par défaut) pour sécuriser leurs équipements. De plus, seul un cinquième des hôpitaux interrogés a déclaré que la majorité de leurs appareils utilisaient des connexions réseau sécurisées pour assurer la fiabilité et la confidentialité des données.
Des données qui valent de l’or
Si les pirates informatiques ciblent de plus en plus ces établissements, c’est principalement pour la valeur des informations qu’ils peuvent dérober. En effet, les informations détenues par les hôpitaux (dossiers médicaux, numéros de sécurité sociale, etc) valent de l’or pour les hackers. Sur le marché noir, elles se revendent autour de 50 dollars, soit 50 fois plus qu’un numéro de carte de crédit selon Symantec.
C’est donc la valeur de ces données qui explique la multiplication des attaques ciblant les hôpitaux. Et les exemples ne manquent pas. En mai 2017, une cyberattaque mondiale a bloqué des milliers d’ordinateurs. Le responsable ? Le ransomware WannaCry. Le système de santé britannique NHS fait partie des principales victimes de cette attaque. Des milliers de consultations, examens et interventions chirurgicales ont du être annulés dans plus de 40 établissements en raison du blocage des terminaux. Dans le cas du NHS, la mise à jour de Windows qui évite l’installation de WannaCry n’avait pas été installée. Et plusieurs centaines de milliers d’ordinateurs utilisent encore Windows XP, qui est aujourd’hui pointé du doigt pour ses nombreuses failles de sécurité.
Des attaques qui peuvent coûter cher
En mars 2016, le virus Locky a bloqué l’accès à près de 10 000 fichiers (soit près de 3% du contenu du SI de l’établissement) d’un hôpital de Boulogne-sur-Mer. En février de la même année, un hôpital californien a payé l’équivalent de 17 000 dollars en bitcoins pour avoir, de nouveau accès à son système informatique. MedStar Health, un système informatique qui gère une dizaine d’hôpitaux dans le Maryland (États-Unis), a également été contraint de désactiver son réseau suite à une attaque informatique. Et la liste des établissements de santé victimes d’une cyberattaque ne cesse de prendre de l’ampleur.
Au 2ème trimestre 2016, les hôpitaux représentaient 88% des attaques par ransomware, rapporte une étude de l’éditeur de solutions de sécurité NTTSecurity.
Importance d’une politique de sécurité : vers une prise de conscience généralisée ?
Les hôpitaux consacrent encore très peu de ressources financières et physiques à leur sécurité informatique : à peine 6% de leur budget en 2016, contre 16% en moyenne pour l’industrie, explique Symantec. Mais les cyberattaques à répétition leur ont fait prendre conscience de l’urgence d’agir pour protéger leur système d’information et les données de leurs patients, en mettant en place une politique de sécurité. D’après l’Atlas des Systèmes d’information hospitaliers publié tous les ans depuis 2013 par la direction générale de l’offre de soins (DGOS), 91% des établissements de santé se sont dotés d’une politique de cyber security. A noter que le programme Hôpital Numérique vise les 100% au 1er janvier 2018.
En savoir +
Oodrive, éditeur de logiciel spécialiste de la gestion des données sensibles, propose des solutions de sauvegarde en ligne qui permettent de récupérer les données après une cyberattaque, ainsi que des solutions collaboratives certifiées qui sont utilisées par les entreprises les plus exigeantes en termes de sécurité.
Ransomwares : la sauvegarde en ligne pour lutter contre une menace omniprésente
Entreprises, pourquoi sauvegarder vos données sensibles dans le Cloud ?