Cyber-sécurité : bonne année, et mauvaise e-santé pour 2018

Les hôpitaux vont devoir se couvrir

Kaspersky Lab, l’entreprise de sécurité informatique, a publié ses prévisions 2018 des attaques informatiques dirigées directement ou indirectement vers le monde de la santé. L’éditeur s’attend à un ciblage des données de valeur : celles des patients.

En mai dernier, Wannacry a fait pleurer les responsables informatiques du National Health Service (NHS). Au cours d’une cyber-attaque, le virus informatique a contaminé le réseau du système de santé publique britannique, bloquant au passage 70 000 de ses appareils. Ces attaques se multiplient, et menacent toutes les entreprises. La numérisation, qui concerne désormais tous les systèmes de santé, les expose à leur tour.

Kaspersky Lab, a publié un document listant les vulnérabilités des différents secteurs d’activité pour 2018. La santé en fait partie. « Les menaces contre les systèmes de santé vont augmenter, car il n’y a jamais eu autant d’appareils connectés et d’applications web vulnérables déployées par les établissements », peut-on lire dans le rapport.

"La bourse ou l’IRM"

Les experts craignent par exemple de nouvelles attaques du type Wannacry. Elles reposent sur l’utilisation de ransomwares (rançongiciels, en français…), qui agissent de manière totalement autonome. Ils cryptent les données des réseaux informatiques, les prenant ainsi en otage. Le logiciel promet de les libérer en échange d’une rançon.

Résultat pour l’attaque du NHS : une perte temporaire de contrôle sur l’informatique, et un blocage des dossiers patients, des programmes de radiothérapie, ou encore des scanners et des appareils IRM de 248 établissements. Certains patients ont même dû être déplacés vers des établissements opérationnels. Et rien ne sert de payer : les logiciels sont conçus pour être inactivés une fois le paiement effectué, sans prendre la peine de décrypter les données.

Des dealers de dossiers

Dans le même esprit, Kaspersky redoute des attaques plus élaborées, destinées à voler des informations patients. « Ces données ont une valeur immense sur le marché noir, et peuvent aussi être utilisée pour du chantage ou de l’extorsion », précise l’éditeur. Plusieurs hôpitaux américains ont ainsi déjà dû verser des millions d’euros pour récupérer leurs dossiers.

« Un dossier médical s’évalue, en fonction des mois, entre 50 et 200 dollars », expliquait à Pourquoidocteur Vincent Trely, président de l’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS). « Il y des acheteurs, pour des ensembles de données, à des montants qui peuvent être intéressants pour des cyber-pirates ». Entreprises, laboratoires, compagnies d’assurance et même certains États peuvent être intéressés par des volumes importants de dossiers, d’après le spécialiste.

Pratique, utile et vulnérable

En 2018, les attaques sur les objets connectés devraient aussi s’intensifier. Que ce soit les trackers mobiles santé et bien-être destinés au grand public, qui « récoltent et transmettent de nombreuses données personnelles avec une sécurité limitée », des objets médicaux comme les pacemakers et les pompes à insuline, ou même des membres artificiels et des implants destinés aux personnes handicapées.

Les prévisions de Kaspersky Lab ne sont donc pas réjouissantes. Et l’évolution du numérique expose de plus en plus les différents acteurs de la santé, notamment par la diversité des portes d’entrée pour les pirates. La multiplication des appareils mobiles représente autant d’opportunités.

« Tous les systèmes ont des failles », rappelait aussi Vincent Trely. Ces failles sont régulièrement corrigées par les constructeurs, mais encore faut-il assurer un niveau de maintenance informatique performant pour mettre systématiquement à jour tous les appareils dans les établissements de santé. Pas toujours facile, et jamais efficace à 100 %. En résumé : les hackers trouveront toujours une fenêtre ou une cheminée pour rentrer, mais autant s’assurer que la porte est bien fermée.

Source: 

Jonathan Herchkovitch

Portrait de La rédaction

Vous aimerez aussi

Controverse consensuelle aux Trophées de la santé mobile
Les hôpitaux vont devoir se couvrir
Presse auscultée. L’administration chinoise a retiré de l’App Store la version chinoise du jeu vidéo « Plague Inc. », dont le but consiste à créer...

Le gros dossier

 

Le magazine What’s Up Doc est édité par l’agence Planète Med.