![\"large02052017.jpg\"](\"\/wp-content\/uploads\/112016\/large02052017.jpg\" "\\"large02052017.jpg\\"")
<\/p>\n<\/p>\n
Les banques, les supermarch\u00e9s et les particuliers sont r\u00e9guli\u00e8rement vis\u00e9s par des cyberattaques. On le sait moins, mais les h\u00f4pitaux aussi. Une \u00e9tude r\u00e9alis\u00e9e aux Etats-Unis par l\u2019Institut de recherche Ponemon<\/a> a montr\u00e9 que 90% des organisations de sant\u00e9 du pays avaient subi au moins une intrusion informatique en 2015. Les tentatives sont plus nombreuses encore. En Suisse, un h\u00f4pital universitaire va essuyer, en moyenne, 11\u2019000 tentatives d\u2019attaques informatiques de toutes sortes par jour, selon l\u2019association Ing\u00e9nieur H\u00f4pital Suisse<\/a>.<\/p>\n Si les h\u00f4pitaux sont devenus une cible attrayante pour les hackers, c\u2019est qu\u2019ils sont souvent tr\u00e8s mal prot\u00e9g\u00e9s. Martin Darms, un ing\u00e9nieur informatique qui dirige une PME dans le canton de Zoug, a d\u00e9velopp\u00e9 un index de vuln\u00e9rabilit\u00e9 des h\u00f4pitaux et s\u2019en est servi pour effectuer une analyse des serveurs de sept \u00e9tablissements suisses dans le cadre d\u2019une th\u00e8se de master. Quatre d\u2019entre eux pr\u00e9sentaient des vuln\u00e9rabilit\u00e9s plus ou moins importantes. Les pires manquements ont \u00e9t\u00e9 d\u00e9couverts sur leurs r\u00e9seaux internes: logiciels antiques, mots de passe standards ou serveurs de test non prot\u00e9g\u00e9s.<\/p>\n Efficacit\u00e9 au d\u00e9triment de la s\u00fbret\u00e9<\/strong><\/p>\n Les h\u00f4pitaux sont en retard, reconna\u00eet Franck Calcavecchia, charg\u00e9 de la s\u00e9curit\u00e9 informatique pour les H\u00f4pitaux universitaires de Gen\u00e8ve. \u00abSi la s\u00e9curit\u00e9 informatique a \u00e9t\u00e9 prise en compte tr\u00e8s t\u00f4t dans le monde financier, ce n\u2019est pas le cas dans celui de la sant\u00e9\u00bb, juge-t-il. Car ce n\u2019est pas son c\u0153ur de m\u00e9tier. \u00abPour les soignants, l\u2019urgence ce n\u2019est pas de savoir si les r\u00e9seaux sont bien prot\u00e9g\u00e9s, mais de s\u2019occuper des patients\u00bb, note Solange Ghernaouti, sp\u00e9cialiste de la cybercriminalit\u00e9 \u00e0 l\u2019Universit\u00e9 de Lausanne.<\/p>\n On privil\u00e9gie la rapidit\u00e9 et l\u2019efficacit\u00e9 des outils informatiques, au d\u00e9triment de leur s\u00fbret\u00e9. Et on omet les pr\u00e9cautions les plus basiques. \u00abCombien de fois me suis-je retrouv\u00e9e seule dans une salle de soins \u00e0 c\u00f4t\u00e9 d\u2019un ordinateur allum\u00e9?\u00bb interroge-t-elle.<\/p>\n L\u2019av\u00e8nement du dossier \u00e9lectronique du patient, des banques de donn\u00e9es g\u00e9n\u00e9tiques et des appareils m\u00e9dicaux qui enregistrent automatiquement les signes vitaux a \u00e9galement accru le nombre d\u2019informations stock\u00e9es par les h\u00f4pitaux, et donc de cibles pour des personnes malveillantes.<\/p>\n Autre \u00e9cueil, les appareils m\u00e9dicaux sont encore trop souvent d\u00e9pourvus de toute protection contre les virus et autres malwares, alors qu\u2019ils sont d\u00e9sormais connect\u00e9s \u00e0 des r\u00e9seaux informatiques. \u00abLes fournisseurs de ces \u00e9quipements ont pris beaucoup de temps \u00e0 r\u00e9agir pour les rendre r\u00e9sistants aux cyberattaques\u00bb, rel\u00e8ve Daniel Gougerot, responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information au CHUV.<\/p>\n Phishing et vols internes<\/strong><\/p>\n Le mode d\u2019intrusion privil\u00e9gi\u00e9 des hackers est le phishing, soit l\u2019envoi d\u2019un e-mail qui contient un lien menant vers un faux site web. \u00abLe but est de faire installer un logiciel \u00e0 la victime, pour pouvoir instrumentaliser son ordinateur afin de mener l\u2019attaque\u00bb, d\u00e9taille le responsable du CHUV. Ces e-mails peuvent contenir des informations tr\u00e8s personnelles glan\u00e9es sur les r\u00e9seaux sociaux afin d\u2019endormir sa m\u00e9fiance.<\/p>\n Mais la m\u00e9thode utilis\u00e9e peut aussi \u00eatre plus terre-\u00e0-terre. Un rapport publi\u00e9 en 2014 a montr\u00e9 que 68% des vols de donn\u00e9es m\u00e9dicales effectu\u00e9s aux Etats-Unis depuis 2010 ont eu lieu suite \u00e0 la perte ou au vol d\u2019un laptop ou d\u2019un smartphone. Le cabinet Independant Security Evaluators<\/a>, bas\u00e9 \u00e0 Baltimore, est pour sa part parvenu \u00e0 acc\u00e9der au r\u00e9seau informatique d\u2019un h\u00f4pital en hackant un kiosque d\u2019information situ\u00e9 dans le hall d\u2019entr\u00e9e.<\/p>\n \u00abLes \u00e9tablissements de sant\u00e9 sont souvent assez bien prot\u00e9g\u00e9s contre les attaques venues de l\u2019ext\u00e9rieur, mais ils ont tendance \u00e0 n\u00e9gliger le risque interne, celui pos\u00e9 par un employ\u00e9 frustr\u00e9\u00bb, juge Tomas Bucher, le pr\u00e9sident de l\u2019association Ing\u00e9nieur H\u00f4pital Suisse. Une simple cl\u00e9 USB gliss\u00e9e dans un ordinateur suffit pour extraire des donn\u00e9es ou introduire un malware sur le r\u00e9seau hospitalier.<\/p>\n Revente de donn\u00e9es m\u00e9dicales<\/strong><\/p>\n Mais pourquoi s\u2019en prendre \u00e0 un lieu dont le but premier est de prodiguer des soins? \u00abLa menace principale \u00e0 laquelle nous avons affaire, ce sont les attaques par ransomware\u00bb, dit Daniel Gougerot. Dans ce genre d\u2019agression, une organisation criminelle va encrypter les donn\u00e9es d\u2019un h\u00f4pital, puis lui demander de lui verser de l\u2019argent — le plus souvent en bitcoins — pour r\u00e9cup\u00e9rer l\u2019acc\u00e8s \u00e0 ses syst\u00e8mes. \u00abCela peut aller tr\u00e8s loin: certains groupes ont mis sur pied des hotlines au cas o\u00f9 la victime ne saurait pas comment faire un versement en bitcoins\u00bb, d\u00e9taille-t-il. Le CHUV a v\u00e9cu sa premi\u00e8re attaque de ce type d\u00e9but 2015 et en a subi deux ou trois depuis. \u00abMais nous avons pu les stopper avant que nos donn\u00e9es ne soient prises en otage\u00bb, pr\u00e9cise-t-il.<\/p>\n Les hackers qui s\u2019en prennent aux h\u00f4pitaux sont aussi en qu\u00eate d\u2019informations. \u00abLes donn\u00e9es m\u00e9dicales ont beaucoup de valeur, souligne Frank Calcavecchia. Sur le dark web, elles se revendent dix fois plus cher que les num\u00e9ros de carte de cr\u00e9dit.\u00bb Ces donn\u00e9es peuvent servir \u00e0 usurper l\u2019identit\u00e9 de quelqu\u2019un pour obtenir des m\u00e9dicaments, d\u00e9poser des demandes de remboursement abusives aupr\u00e8s de l\u2019assurance maladie ou \u00e0 r\u00e9colter des prestations sociales indues. \u00abEn France, une femme s\u2019est servie de donn\u00e9es de sant\u00e9 usurp\u00e9es pour recevoir des aides sociales au nom de 19 paires de jumeaux\u00bb, raconte Solange Ghernaouti.<\/p>\n Ces informations ont d\u2019autant plus de valeur qu\u2019elles touchent \u00e0 des questions tr\u00e8s \u00e9motionnelles. \u00abImaginez les parents d\u2019un enfant atteint d\u2019une maladie en phase terminale et qui recevraient un e-mail qui affirme qu\u2019il a \u00e9t\u00e9 s\u00e9lectionn\u00e9 pour participer \u00e0 un nouvel essai clinique prometteur, fait remarquer Rick Kam, qui dirige le cabinet de s\u00e9curit\u00e9 informatique ID Experts<\/a>, \u00e0 Portland, aux Etats-Unis. Ils ne vont pas se montrer aussi prudents qu\u2019ils le seraient en temps normal.\u00bb<\/p>\n Elles sont aussi confidentielles. \u00abLes informations sur le traitement subi par un VIP ou un politicien peuvent ais\u00e9ment \u00eatre revendues \u00e0 un journal \u00e0 sensation ou utilis\u00e9es pour le faire chanter\u00bb, note Frank Calcavecchia. Cela peut aussi toucher M. ou Mme Tout-le-monde. Peu de gens veulent voir publi\u00e9s les r\u00e9sultats d\u2019un test de grossesse ou de sida.<\/p>\n Les cons\u00e9quences d\u2019un tel vol de donn\u00e9es peuvent \u00eatre ressenties loin en aval. Aux Etats-Unis, certaines banques et assurances rach\u00e8tent ce type de donn\u00e9es et s\u2019en servent pour \u00e9valuer le risque pos\u00e9 par leurs clients. Elles ne vont pas octroyer un pr\u00eat ou conclure une assurance vie avec quelqu\u2019un atteint d\u2019un cancer fatal.<\/p>\n Appareils m\u00e9dicaux hack\u00e9s<\/strong><\/p>\n