La sécurité est un point crucial dans le secteur de la santé. Logique, puisque les données personnelles et les informations médicales confidentielles des patients sont en jeu. Ce secteur repose sur la confiance et toute violation de la sécurité des données peut être lourde de conséquences.
Logiciels de gestion des dossiers patients, stockage de données de santé dans le cloud, dispositifs médicaux avancés… ces dernières décennies, les technologies de pointe se sont généralisées dans la santé. Ces progrès technologiques ont facilité le travail des prestataires de soins de santé et ont contribué à la dématérialisation des processus. Mais revers de la médaille : le risque de cyberattaques et de violations de données a aussi augmenté.
Quelles sont les menaces de cybersécurité qui pèsent sur le secteur de la santé ?
Sur le plan de la cybersécurité, la santé est l’un des secteurs les plus vulnérables. Bien souvent, les bases de données des hôpitaux ne sont protégées par aucun système de sécurité approprié. Quant aux personnes qui gèrent le réseau de l’hôpital, elles ignorent souvent la présence de menaces de cybersécurité tapies dans l’ombre.
Les vulnérabilités des systèmes d’information de santé sont telles qu’il faut parfois des semaines, voire des mois avant de s’apercevoir qu’une cyberattaque a eu lieu. Les organismes de santé continuent à fonctionner avec des systèmes qui peuvent avoir été piratés à leur insu. Les conséquences de cette ignorance se chiffrent en milliards de dollars de pertes et millions de victimes chaque année chez les patients.
Les pires cyberattaques contre la santé
Ces dernières années, le secteur de la santé a été exposé à plusieurs cyberattaques. Voici une sélection des faits d’armes les plus médiatisées :
Attaque par rançongiciel du système de santé britannique (NHS)
Les hackers qui visent les organismes de santé et aux hôpitaux sont essentiellement mus par l’appât du gain, d’où leurs demandes de rançon.
En 2017, une attaque par ransomware, c’est-à-dire avec demande de rançon, a fait grand bruit : elle visait, entre autres, le système de santé britannique (NHS). À l’époque, WannaCry signait un triste record dans l’histoire des attaques informatiques, avec près de 200 000 ordinateurs infectés dans 16 centres de santé. En décimant des équipements médicaux vitaux, l’attaque a touché des milliers de patients.
Attaque par DDoS de l’hôpital pour enfants de Boston
Le DDoS (Distributed Denial of Service) est un déni de service distribué qui se produit lorsque le réseau est tellement surchargé qu’il refuse l’accès à ses utilisateurs. Parfois, certaines attaques DDoS sont accidentelles, mais la plupart du temps elles sont mises au point par des cybercriminels qui cherchent à nuire aux organisations.
L’une des DDoS qui a le plus marqué les esprits ces dernières années est l’attaque contre l’hôpital pour enfants de Boston. En 2014, alors que l’hôpital se retrouvait médiatisé dans une affaire où il demandait le retrait de l’autorité parentale aux parents d’une jeune patiente de 14 ans, il fut l’objet d’une attaque DDoS orchestrée par le pirate qui avait décidé de soutenir le cas des parents. Pour surmonter les dommages causés par la cyberattaque, l’hôpital avait dû débourser 300 000 dollars US.
Violation de données du CHU de Montpellier
La violation de données est l’une des formes d’attaques cyber les plus courantes. Les pirates et les cybercriminels ont recours aux e-mails d’hameçonnage et faux sites web pour manipuler et piéger les utilisateurs. Lorsqu’ils cliquent sur le lien contenu dans ces e-mails, les utilisateurs ou les internautes ouvrent, sans le savoir, la porte aux cybercriminels pour accéder aux dispositifs et au réseau de leur organisation.
En mars 2019, 600 ordinateurs du centre hospitalier universitaire (CHU) de Montpellier ont été infectés. En cause : une petite négligence d’un employé du CHU qui avait cliqué sur un lien malveillant dans un e-mail d’hameçonnage.
Menaces internes
Outre les menaces externes pour la cybersécurité, le secteur de la santé doit parfois faire face à des menaces internes qui sont la conséquence d’une erreur humaine ou du non-respect de certaines clauses contractuelles par un employé.
Medjacking
Le medjacking désigne le piratage de dispositifs et d’instruments médicaux. S’il est lamentable que certains cherchent à faire dysfonctionner des dispositifs et instruments médicaux, les conséquences peuvent surtout être fatales.
Un appareil médical qui affiche des résultats erronés peut conduire à des erreurs de prescriptions. De même, des appareils respiratoires qui ne fonctionnent pas correctement peuvent faire plus de mal que de bien aux patients.
Le medjacking est bien souvent ciblé. Les auteurs cherchent surtout à nuire à des personnes influentes et à écorner la réputation d’un établissement de santé.
Cybersécurité : les meilleurs conseils pour se protéger contre les cyberattaques pendant le COVID 19
Le nombre croissant de cyberattaques contre les acteurs de la santé est alarmant. Les organismes de santé et hôpitaux doivent plus que jamais prendre les mesures nécessaires pour protéger leurs systèmes contre les cyberattaques. Dès aujourd’hui.
- Sensibilisation du personnel
Les professionnels de santé et personnels hospitaliers ne sont pas forcément technophiles. Il est indispensable de sensibiliser l’ensemble du personnel de santé pour éviter les violations de données dues à des erreurs humaines. - Sécurisation du réseau
L’utilisation du wifi public et de réseaux non sécurisés est une pratique courante qui pose cependant un risque important pour la cybersécurité. Pour protéger leurs appareils contre les cyberattaques, les professionnels de santé doivent exclusivement utiliser des réseaux sécurisés. Il est donc recommandé de télécharger un VPN fiable et sérieux pour renforcer au maximum la sécurité réseau. - Maintenance des appareils
Il est plus facile de pirater des appareils individuels que tout un système. Les ordinateurs, tablettes, smartphones et autres appareils utilisés à des fins professionnelles doivent être maintenus à jour.
L’utilisation d’appareils portables pour accéder à des informations sensibles est à éviter. Le système d’exploitation des ordinateurs et portables utilisés à des fins professionnelles doit être à jour. Autre point important : se limiter aux outils nécessaires lors des téléchargements de logiciels et d’applications sur les appareils afin de réduire les risques d’installer des logiciels malveillants. - Anti-malwares
Tous les appareils utilisés dans le secteur de la santé doivent être protégés par un anti-malware et un antivirus à jour. Cela bloque les logiciels malveillants et virus qui chercheraient à s’introduire sur les appareils en vue d’attaquer l’ensemble du système. Autre avantage : ces logiciels préviennent également l’utilisateur en cas d’activité malveillante sur un appareil. - Limitation de l’accès à certaines informations
Le niveau de protection des données personnelles et confidentielles des patients peut être le point faible des hôpitaux. Pour éviter tout accès non autorisé à des données sensibles, les hôpitaux doivent limiter le nombre de personnes qui peuvent y accéder directement. En procédant ainsi, ils réduisent les risques qu’un employé indélicat porte atteinte à la confidentialité des données. - Utilisation de logiciels chiffrés
Pour discuter de certains cas et se référer à d’autres dossiers, les médecins et autres professionnels de santé sont amenés à partager des données et des fichiers. Or, ils utilisent souvent — à tort — des applications ouvertes, rendant les informations échangées vulnérables. Pour éviter les vols en ligne, il est essentiel de ne partager que les données nécessaires, et de n’utiliser que des outils et logiciels chiffrés.
En conclusion
Comme n’importe quel autre secteur, la santé est vulnérable aux cyberattaques, à la différence que les coûts — humains et financiers — peuvent être dévastateurs. Certaines mesures de protection permettent toutefois de réduire sérieusement les menaces qui pèsent de plus en plus sur la cybersécurité de ce secteur.
