{"id":12051,"date":"2022-03-07T13:56:36","date_gmt":"2022-03-07T12:56:36","guid":{"rendered":"https:\/\/www.m-q.ch\/?p=16045"},"modified":"2022-03-08T07:37:19","modified_gmt":"2022-03-08T06:37:19","slug":"cyber-sicherheit-im-gesundheitswesen-befund-diagnose-therapie","status":"publish","type":"post","link":"https:\/\/www.organisator.ch\/fr\/operational-excellence\/2022-03-07\/cyber-sicherheit-im-gesundheitswesen-befund-diagnose-therapie\/","title":{"rendered":"Cybers\u00e9curit\u00e9 dans le secteur de la sant\u00e9 : Constat, diagnostic, th\u00e9rapie"},"content":{"rendered":"
\"\"
Le nombre d'appareils m\u00e9dicaux IoT et OT en r\u00e9seau augmente de mani\u00e8re fulgurante et n\u00e9cessite des mesures approfondies pour une meilleure cybers\u00e9curit\u00e9. (Image : Pixabay.com)<\/figcaption><\/figure>\r\nUne informatique et une technique complexes, souvent obsol\u00e8tes et h\u00e9t\u00e9rog\u00e8nes, ainsi qu'une absence de strat\u00e9gie de s\u00e9curit\u00e9 font par exemple des h\u00f4pitaux une cible rentable et sujette au chantage pour les pirates. Car une panne des syst\u00e8mes n'est pas une option ici. Le butin de donn\u00e9es est tout aussi convoit\u00e9 : selon le degr\u00e9 d'exhaustivit\u00e9 des informations, les dossiers m\u00e9dicaux peuvent co\u00fbter jusqu'\u00e0 1 000 dollars US sur le Darknet. Seuls les passeports am\u00e9ricains sont encore plus chers, avec un prix unitaire de 1.000 \u00e0 2.000 dollars am\u00e9ricains.\r\n

Manque de cybers\u00e9curit\u00e9 : cons\u00e9quences de la pression sur les co\u00fbts<\/h2>\r\nDe plus, la plupart des victimes dans le domaine de la sant\u00e9 sont souvent totalement impr\u00e9par\u00e9es. Outre le manque d'argent, c'est surtout le manque de personnel qui est ici en cause, lorsqu'en Allemagne par exemple, deux collaborateurs sont parfois responsables de l'ensemble de l'administration informatique de trois \u00e9tablissements diff\u00e9rents et n'ont gu\u00e8re de budget. La pression sur les co\u00fbts devrait encore augmenter\r\n\r\nEn outre, les exigences envers l'informatique augmentent dans un syst\u00e8me de sant\u00e9 \u00e0 num\u00e9riser. La situation actuelle de crise et de danger montre que les h\u00f4pitaux doivent de plus en plus \u00eatre trait\u00e9s comme une infrastructure critique. Dans l'administration, les exigences croissantes en mati\u00e8re de protection des donn\u00e9es augmentent les obstacles \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es. Les r\u00e8gles de conformit\u00e9 doivent \u00eatre de plus en plus respect\u00e9es, qu'il s'agisse du RGPD, des certifications ISO ou des directives relatives aux ondes radio pour les appareils techniques.\r\n

Sympt\u00f4mes<\/h2>\r\nLa cybers\u00e9curit\u00e9 dans le secteur de la sant\u00e9 souffre toujours des sympt\u00f4mes suivants :\r\n
    \r\n \t
  1. Logiciels de ran\u00e7on : <\/strong>Les h\u00f4pitaux en particulier ne peuvent pas se contenter de subir les attaques de chantage qui cryptent les donn\u00e9es ou bloquent les syst\u00e8mes s'ils veulent continuer \u00e0 soigner les patients. Dans ce domaine, les agresseurs agiront \u00e0 l'avenir de mani\u00e8re encore plus agressive : D'une part, par des attaques automatis\u00e9es sur des TI non pr\u00e9par\u00e9es et, d'autre part, par des attaques de ransomware-as-a-service (RaaS) plus cibl\u00e9es, initi\u00e9es par ing\u00e9nierie sociale sur les d\u00e9cideurs des ressources humaines, de l'administration et de la comptabilit\u00e9.<\/li>\r\n \t
  2. Risques des appareils connect\u00e9s : <\/strong>Dans le secteur de la sant\u00e9, le nombre d'appareils m\u00e9dicaux IoT et OT en r\u00e9seau augmente rapidement. Pourtant, ce vecteur d'attaque est encore souvent n\u00e9glig\u00e9 et les appareils en r\u00e9seau sont int\u00e9gr\u00e9s dans les r\u00e9seaux sans la prudence qui s'impose. Les pirates connaissent en outre les risques sp\u00e9cifiques de ce mat\u00e9riel : ils savent comment trouver les mots de passe cod\u00e9s en dur de la plupart des appareils - et peuvent ainsi p\u00e9n\u00e9trer dans le r\u00e9seau. Souvent, il n'est m\u00eame pas possible d'emp\u00eacher les utilisateurs non autoris\u00e9s d'acc\u00e9der aux appareils. Il est \u00e9tonnamment fr\u00e9quent d'utiliser des appareils dont la certification est insuffisante. Les syst\u00e8mes dont les syst\u00e8mes d'exploitation sont obsol\u00e8tes et ne sont plus pris en charge cr\u00e9ent \u00e9galement de nouveaux risques au fil du temps.<\/li>\r\n \t
  3. Manque de visibilit\u00e9 du mat\u00e9riel : <\/strong>De nombreuses organisations ne prennent pas en compte l'informatique dans son ensemble. Ainsi, le cryptage des serveurs de l'h\u00f4pital Lukas \u00e0 Neuss (cette cyberattaque de 2016, rendue publique dans toute l'Europe, a entra\u00een\u00e9 des dommages de 900 000 euros ; ndlr) n'a \u00e9t\u00e9 possible que parce qu'un ancien client, invisible, disposait de droits d'administrateur et a ainsi permis au malware de se propager. Dans le cas de l'IoT et de l'OT, ce risque est encore plus fondamental, car la plupart de ces appareils ne sont pas soumis \u00e0 l'acc\u00e8s des organisations informatiques internes.<\/li>\r\n \t
  4. Les failles de s\u00e9curit\u00e9 \"zero-day\" continuent de se multiplier : <\/strong>Log4j a montr\u00e9 que les failles de s\u00e9curit\u00e9 du jour z\u00e9ro continuent de causer des dommages importants et de menacer d'innombrables entreprises. Le secteur de la sant\u00e9 est plus vuln\u00e9rable \u00e0 ce type de vuln\u00e9rabilit\u00e9s et le manque d'attention peut conduire \u00e0 une augmentation de l'exploitation de ces failles.<\/li>\r\n<\/ol>\r\n

    Propositions th\u00e9rapeutiques pour une meilleure cybers\u00e9curit\u00e9<\/strong><\/h2>\r\nSi l'on veut veiller \u00e0 la s\u00e9curit\u00e9 des syst\u00e8mes et \u00e0 la sant\u00e9 des patients, on devrait et on peut agir sur plusieurs leviers :\r\n