Les données personnelles de patients et les résultats de recherche suscitent la convoitise des cybercriminels. Mais les hôpitaux organisent leurs lignes de défense.
Le secteur de la santé et les hôpitaux sont devenus une cible privilégiée des cybercriminels. Les tentatives d’effraction ont même pris l’ascenseur lors de la crise du Covid-19, profitant de la fébrilité du secteur. En Suisse, les annonces d’attaques reçues par le Centre national suisse pour la cybercriminalité (NCSC), tous secteurs confondus, ont triplé pendant la période de semi-confinement, levant le voile sur un phénomène encore tabou bien qu’en constante augmentation depuis cinq ans : la santé est aujourd’hui dans le top dix des secteurs les plus visés par les criminels numériques.
La santé, un secteur lucratif
Vol d’identité, revente d’informations cliniques utiles à la recherche ou encore cyberespionnage étatique : les données liées à la santé affichent un prix inestimable dans les canaux obscurs du web et attirent un nombre grandissant de personnes malintentionnées. Le NCSC rapportait qu’en 2019 les données volées de plusieurs millions de patients figuraient sur Internet sans aucune protection, notamment des examens d’imagerie comportant des informations sur l’identité des patients et leurs traitements. « Ce type d’attaque a principalement lieu aux États-Unis, en raison du précieux numéro de sécurité sociale qui figure dans les données médicales », précise Isabelle Udriot, responsable de la Sécurité des systèmes d’information (SI) du CHUV.
La possibilité de paralyser des hôpitaux contre des demandes de rançons par leurs systèmes d’information ou leurs équipements connectés constitue un autre type de méfait lucratif. Le 15 novembre 2019, par exemple, l’hôpital français de Rouen subissait une attaque massive de ce type, créant une paralysie de son système informatique et un ralentissement d’activité pendant plusieurs jours. « La demande moyenne de rançon est d’environ 50’000 francs, le temps d’arrêt moyen des systèmes à la suite d’une attaque est estimé à dix jours et les coûts moyens de récupération à 6 millions de francs », précise Stéphane Duguin, directeur exécutif du Cyberpeace Institute basé à Genève.
Comme l’ont confirmé les diverses attaques recensées pendant la crise sanitaire, c’est bien tout le secteur de la santé – départements d’État, ONG, hôpitaux et fabricants d’appareils médicaux – qui est pris pour cible. Selon Stéphane Duguin, les hôpitaux sont « de véritables incubateurs de toutes les vulnérabilités ». Le spécialiste explique qu’ils ne peuvent pas cesser une seconde d’être opérationnels, mettant les attaquants en position de force. La complexité de leurs chaînes logistiques composées d’appareillages ultramodernes comme usagés provoque des failles de mises à jour. Enfin, le personnel travaille souvent en sous-effectif, sous stress, n’est pas formé à la cybercriminalité et adopte de mauvais réflexes.
Stratégies de défense
Les hôpitaux suisses ont créé des départements dédiés et investissent dans la sécurité des SI pour prendre toute la mesure de la menace. En 2020, le CHUV a entre autres renforcé ses équipes de sécurité et mis sur pied un programme dédié aux nouvelles technologies et menaces. La sécurité fait partie intégrante de tous les projets touchant les systèmes d’information, pour garantir l’application rigoureuse des bonnes pratiques de protection.
Leur stratégie s’axe sur la prévention, la détection et le traitement des attaques. « C’est bien d’avoir une porte coupe-feu lors d’un incendie, mais il faut aussi un système de détection, une surveillance et un moyen d’extinction », précise Isabelle Udriot. La responsable travaille main dans la main avec les hôpitaux, les fournisseurs et les fabricants d’appareils médicaux. Ces derniers peuvent introduire des vulnérabilités et font l’objet d’une attention particulière : « Des solutions sont mises en place pour gérer ces risques avec, notamment, la segmentation du réseau ou l’isolement des équipements. »
Pour gagner en efficacité, un centre de sécurité doit s’étendre à tous les niveaux de l’hôpital afin de coordonner les équipes et sensibiliser les collaborateurs de tous les secteurs. « L’employé est le premier rempart, car il a accès aux réseaux sociaux professionnels comme privés. Sa rapidité d’annonce et de détection est déterminante. »
_______
Une version de cet article réalisé par Large Network est parue dans In Vivo magazine (no 21).
Pour vous abonner à In Vivo au prix de seulement CHF 20.- (dès 20 euros) pour 6 numéros, rendez-vous sur invivomagazine.com.