Les risques de cyberattaques d’hôpitaux sont en nette augmentation. Du rançongiciel aux vols de données, les cybercriminels multiplient les techniques.
Le 12 mai 2017, Wannacry a paralysé quelques 200’000 ordinateurs dans 150 pays. Parmi les victimes: le National Health Service (service national de santé) britannique, dont 70’000 appareils ont été bloqués. Plusieurs hôpitaux ont vécu une véritable crise: les dossiers sont devenus inaccessibles et des patients ont dû être détournés vers d’autres établissements. Un évènement qui a rappelé la vulnérabilité des hôpitaux du monde entier face aux cybercriminels.
Wannacry est un «rançongiciel», un virus qui chiffre les fichiers d’un ordinateur et les rend inutilisables. Les cybercriminels exigent ensuite une rançon en promettant à leurs victimes de leur livrer en retour une clé de décryptage. Les attaques de ce type ne sont pas nouvelles. Mais elles sont en forte augmentation depuis quelques années. Elles touchent tous les secteurs: banques, transports, industrie… Et comme toute entreprise, les hôpitaux ne sont pas épargnés par cette menace.
La médecine repose en effet de plus en plus sur les nouvelles technologies, notamment en raison d’une utilisation croissante de dispositifs et d’objets connectés. En cas d’attaque, les conséquences en termes humains peuvent prendre une tournure dramatique: «Les soins représentent toute une chaîne de transmission d’informations, indique Jean Gabriel Jeannot, médecin et spécialiste de l’utilisation des technologies de l’information et de la communication en médecine. Les conséquences d’une paralysie informatique peuvent être vitales. Pratiquement aucun service ne peut fonctionner normalement si le système informatique est infecté.»
Les vols de données en augmentation
En plus des rançongiciels, les hôpitaux peuvent également être victimes de vols de données patients. «Aux Etats-Unis, toute entreprise ayant subi un vol important de données médicales doit le déclarer publiquement, précise Jean Gabriel Jeannot. Il ne se passe plus un jour sans qu’il n’y ait une annonce. Cela concerne parfois des bases de données de centaines de milliers de patients.»
Le dossier d’un patient peut intéresser des compagnies d’assurance privées, qui peuvent ajuster leurs tarifs de manière plus précise ou identifier les clients à risque. Quant aux laboratoires pharmaceutiques, ils peuvent en tirer avantage pour orienter le marketing de leurs produits. «Mais davantage que le dossier patient individuel, c’est la masse de données qui intéresse les potentiels acheteurs», poursuit le spécialiste.
“Un dossier de patient peut se monnayer jusqu’à 200 francs sur le darkweb”
Une nouvelle menace pourrait également venir des implants médicaux, de plus en plus connectés. Si les simulateurs cardiaques ou les pompes à insulines sont attaqués, cela pourrait avoir des conséquences mortelles pour leurs utilisateurs. «En 2016, le laboratoire Johnson&Johnson a dû corriger une faille de sécurité sur l’un de ses modèles de pompe à insuline, mentionne Jean Gabriel Jeannot. Son boîtier de contrôle présentait une vulnérabilité qui aurait pu potentiellement permettre d’injecter une dose mortelle d’insuline.»
Des menaces permanentes contre les systèmes de santé
Au vu de ces exemples, la situation a de quoi inquiéter. Dans un rapport prévisionnel pour 2018, le Kaspersky Lab, une entreprise de sécurité informatique, estime que «les menaces contre les systèmes de santé vont augmenter, car il n’y a jamais eu autant d’appareils connectés et d’applications web vulnérables déployées par les établissements». De son côté, le cabinet MSM Research a publié une étude sur les attentes et les enjeux de la transformation digitale des établissements de santé en Suisse. Près de la moitié des sondés y estiment que les risques sécuritaires représentent le principal obstacle pour le développement de projets de cybersanté.
«Il ne faudrait pas renoncer à l’immense potentiel d’amélioration que représentent les nouvelles technologies pour la médecine à cause de ces menaces, considère Jean Gabriel Jeannot. Une grande partie d’entre elles peut être prévenue avec des mesures de sécurité adéquates. Ce problème est d’ailleurs pris de plus en plus au sérieux par les gouvernements, qui prennent des mesures.» Le spécialiste note toutefois qu’un immense travail reste à faire auprès des cabinets de médecins privés, qui demeurent vulnérables face aux attaques et n’utilisent pas toujours la communication cryptée.
Une autre faille réside dans les nombreux appareils de fournisseurs extérieurs, qui sont connectés au réseau des hôpitaux: «Ces équipements sont testés et certifiés pour pouvoir être utilisés dans le domaine médical, peut-on lire dans le rapport semestriel de 2016 de MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information à Berne. Or, dans la majeure partie des cas, le sceau d’approbation ne permet pas aux services informatiques d’un hôpital de mettre à jour le système d’exploitation, ni même les logiciels antivirus, car cela reviendrait à manipuler l’équipement qui perdrait de ce fait sa certification.» De nombreux appareils peuvent donc représenter une porte d’entrée pour des virus dans les hôpitaux.
Jean Gabriel Jeannot souligne enfin que l’une des grandes vulnérabilités des hôpitaux réside dans le facteur humain: un employé qui ouvre un e-mail infecté ou utilise une clé USB corrompue, un professeur qui transporte son disque dur entre l’université et l’hôpital… «Pour se protéger des cyberattaques, considère l’expert, il est indispensable que tout le personnel des hôpitaux acquière une culture digitale de base.»