Peut-on mieux protéger nos hôpitaux contre les cyberattaques ? Oui, mais…

Alexandre Boero
Chargé de l'actualité de Clubic
17 octobre 2022 à 16h00
40
© Shutterstock
© Shutterstock

S’ils ne sont pas les seuls à être touchés par les attaques informatiques, les hôpitaux restent les victimes qui émeuvent le plus l’opinion. Des progrès sont possibles, même à court terme, mais la solution miracle n’existe pas encore.

Les cyberattaques frappent des hôpitaux, des universités, des administrations, des entreprises et des particuliers, avec une actualité hélas riche (centre hospitalier de Corbeil-Essonnes, département de la Seine-Maritime…) et des méfaits pirates mis en lumière par les médias, même généralistes, qui s’emparent désormais du sujet. Aux Assises de la sécurité, où nous étions présents, nous avons cru bon de nous intéresser au cas tout particulier des hôpitaux, en peine face au risque cyber, en recueillant l’avis de multiples experts, issus de divers horizons. La route vers une meilleure protection est à la fois longue et semée d’obstacles, mais elle n’est pas impossible. En revanche, écarter tout risque relève aujourd’hui du fantasme.

Des hôpitaux attaqués par des acteurs qui peuvent se méprendre sur le système français

Lorsqu’il s’agit de se demander pourquoi les hôpitaux sont attaqués, Ivan Kwiatkowski, chercheur très réputé spécialisé dans l’analyse de virus chez Kaspersky, pose tout de suite le débat. « Je pense que c’est un problème culturel », nous dit-il.

« Dans l'imaginaire des attaquants, pour eux, l'hôpital, c'est un truc riche, parce que dans d'autres pays du monde, notamment en Amérique du Nord, les hôpitaux sont privés et les opérations ont un coût élevé, ce qui fait que ça brasse beaucoup d'argent. Les pirates pensent que le modèle s'applique en Europe, alors qu'il est différent. »

La réflexion interpelle en ce qu’elle nous semble relativement peu abordée ces temps-ci. On sait pourtant que les pirates se trouvent, pour la majorité d’entre eux, à des milliers de kilomètres de la France, sans connaissance réelle du système « à la française » et de la situation économique du secteur hospitalier. « Ce sont des cybercriminels. La partie déontologie, ils s'en fichent un peu, car ils pensent avant tout à générer de l'argent », explique Christophe Auberger, cyber-évangéliste Fortinet.

Les hôpitaux, un maillon comme un autre du business model du ransomware

Les hôpitaux se trouvent au cœur du business model du ransomware. « À partir du moment où le hacker se rend compte que ça fonctionne sur une filière, il va répliquer les attaques sur toute la filière », lance Christophe Auberger. « La plupart des cybercriminels que l'on voit aujourd'hui ne sont pas des gens qui ont des compétences. Beaucoup, notamment les cartels de la drogue en Amérique du Sud ou certains groupes mafieux en Russie, agissent dans le cyberespace simplement parce que c'est une activité comme une autre, comme le trafic d'armes, de drogue, d'êtres humains. Ils utilisent des plateformes RaaS, de Ransomware-as-a-Service, qu'ils peuvent louer. Ces plateformes sont optimisées pour un domaine. Donc, dès qu'une attaque aboutit sur un hôpital, on configure la plateforme pour qu’elle soit plus efficace dans ce domaine-là. Ensuite, on peut la répliquer », poursuit l’évangéliste.

© Alexandre Boero pour Clubic
© Alexandre Boero pour Clubic

Et ne pensons pas non plus qu’il existe une franche différence entre les hôpitaux publics et privés français. « En fait, ce n’est pas très différent », résume Christophe Auberger. « Il y a un peu plus de moyens sur les technologies dans les hôpitaux privés. Mais sur le problème de ressources, on est à peu près au même niveau », ajoute-t-il.

Une fois cela dit, on peut alors réfléchir aux moyens mis en œuvre pour mieux protéger les hôpitaux. Chez les professionnels de la cybersécurité, un certain consensus existe autour de trois éléments majeurs : l’amélioration des moyens techniques ; le renforcement de la sensibilisation des équipes hospitalières ; et le recrutement de forces cyber en leur sein.

Un défaut de compétences humaines (et de sensibilisation)

Pour Christophe Auberger, « ce qui fait cruellement défaut dans les hôpitaux, ce sont les compétences », au sens informatique et humain du terme. La mise en place des 150 groupements hospitaliers de territoire (GHT) n’a pas permis de pallier les problématiques de ressources humaines. « Un responsable de GHT me confiait que la volonté est réelle, mais que le résultat n'est pas si évident que ça. Lorsqu'on mutualise des ressources qui sont déjà mutualisées à plus de 100 %, on n’y gagne pas vraiment. »

Damien Frey, directeur général de Varonis pour la France, la Suisse et le Luxembourg, constate pour sa part « un manque de protection de base. » Ce dernier appelle à « donner les moyens aux hôpitaux de pouvoir investir dans l’IT, dans l’infrastructure, dans la cybersécurité. Tout ce qui va concerner la protection des points d’entrée, comme les e-mails, les laptops, nécessite plus d’investissements. »

Certains plaident pour une union sacrée avec les intégrateurs et éditeurs pour apporter de la valeur ajoutée et des services au monde hospitalier. Mais avant cela, la question cruciale de la sensibilisation du personnel hospitalier se pose, puisque l'humain reste le facteur numéro un dans la cybersécurité. « Il existe encore ce monde hospitalier où des données de patients sont sur des environnements de type Word ou PDF qui ne sont pas suffisamment suivis. On nous demande encore de remplir des documents qui, une fois scannés, deviennent des PDF qui se trouvent je ne sais où », regrette le dirigeant français de Varonis.

La médiatisation, l’optimisation du software… des solutions qui émergent au milieu des risques et des drames

Nous sommes dans un monde de plus en plus connecté, mais pourtant encore trop peu sensibilisé à la cybersécurité. C'est un fait. En cas d’attaque transformée, les conséquences peuvent être graves. Outre l'exemple des données sensibles en fuite, les patients peuvent être les tristes victimes collatérales des hackers. « En 2020, une patiente est morte dans un hôpital en Allemagne, en raison d’équipements qui s’étaient arrêtés après une cyberattaque », se souvient Damien Frey, même si cette mort fut qualifiée quelques semaines plus tard comme homicide involontaire, non imputable à l'attaque informatique, faute d'éléments.

« Les pacemakers peuvent aussi être hackés », poursuit-il. « Marie Moe, une chercheuse en cybersécurité à qui l'on avait implanté un appareil à la suite d'un problème cardiaque, a mené des recherches à ce sujet, en arrivant à la conclusion qu’un pacemaker pouvait bien être compromis à distance, et ce, quelle que soit sa marque. »

Les pacemakers sont des objets connectés qui peuvent aussi être piratés © ulleo / Pixabay
Les pacemakers sont des objets connectés qui peuvent aussi être piratés © ulleo / Pixabay

David Grout, directeur technique Europe de Mandiant (récemment racheté par Google), voit dans la médiatisation actuelle des piratages d’établissements de santé un avantage, « celui de faire parler de la chose, de l’expliquer à des gens qui ne sont pas obligatoirement des experts de la sécurité, de la mettre en avant d’un point de vue politique aussi ». Cela pourrait alors aider à renforcer la sensibilisation.

L’une des solutions pourrait être d’optimiser la partie software des hôpitaux. « Mais ici, on est sur du plus long terme », tempère David Grout. « Aujourd'hui, être capable de faire de la maintenance à distance sur une IRM, c'est une avancée : on peut faciliter les mises à jour, la récupération des données, etc. Mais d'un autre côté, on ouvre la fenêtre d'attaque, la plage de vulnérabilités potentielles qu'un attaquant pourrait exploiter. C'est plutôt dans l'équilibre des choses, entre équipements nouveaux et anciens, via une amélioration du système, qu'il y a un travail à faire. »

L’argent, le nerf de la guerre…

« Entre l’acquisition d’un scanner et celle d’un firewall, le choix est vite fait dans les hôpitaux. » Ce que nous dit Christophe Auberger ici permet d’aborder la question économique de la cybersécurité dans le milieu hospitalier. « Donner plus de moyens est fondamental », ajoute l’expert de Fortinet. Il rappelle au passage que 350 millions d’euros ont été débloqués pour le numérique et la cyber dans le cadre du Ségur de la santé.

Ivan Kwiatkowski, chercheur au GReAT de Kaspersky, va même encore plus loin et affirme « qu’il ne faut pas faire de la sécurisation des hôpitaux une priorité », avant de justifier, puis de nuancer ses propos. « Sécuriser, c'est un process qui coûte de l'argent, qui est long, et en pratique, on sait que l'on est dans un système hospitalier où l'on n'a pas assez de lits pour les gens. On l'a vu plus que jamais avec la crise du COVID, avec un hôpital sous tension. Quitte à choisir, je trouverais plus logique que l’on mette de l’argent dans des lits, infirmiers et médecins, plutôt que dans la sécurisation des systèmes. Mais évidemment, oui, sur la protection cyber, il faudra y aller, car personne ne veut voir des données personnelles médicales, hautement sensibles, dans la nature. »

Si les RSSI (responsables de la sécurité des systèmes d’information) gagnent en pouvoir, qu’ils sont un peu plus écoutés que par le passé, qu’il existe une demande de visibilité sur le niveau d’exposition des données de chaque établissement et que les médecins commencent à prendre conscience du risque cyber, les limites à un progrès réel de la sécurité dans les hôpitaux sont encore réelles. D’autant plus que les sous-traitants connectés aux hôpitaux sont aussi des cibles pour les hackers.

… et la motivation principale des pirates

Les données aujourd’hui volées dans le cadre d’un ransomware sont utilisées pour faire du chantage aux hôpitaux. « Le but, c’est de faire pression sur l’hôpital en le menaçant de balancer les données des patients s’ils ne paient pas la rançon. Pour l’hôpital, qui a une responsabilité morale envers ses patients, ça rajoute de la pression », explique Ivan Kwiatkowski.

Ce dernier s’inquiète que les données récupérées puissent tomber, à moyen ou long terme, dans les mains de banques et d'assureurs peu scrupuleux qui refuseraient des clients grâce à ces dernières. « Pour les assureurs, il s’agirait d’une violation pure et simple du secret médical, et ce serait totalement immoral », précise-t-il.

© Shutterstock
© Shutterstock

Le sentiment est partagé par Christophe Auberger, pour qui les données dérobées peuvent « intéresser des gens qui mènent des études sur telle ou telle pathologie, sur des molécules médicamenteuses et autres, ce qui est interdit. Et le pire, c’est que ces données vont profiter à des acteurs qui, à la base, sont honnêtes et qui peuvent ignorer la façon dont elles ont été récoltées. »

« Le deuxième cas d'utilisation, c'est celui de l'usurpation de l'identité. Les données peuvent alors être utilisées pour mener des arnaques aux assurances ou aux mutuelles », n’oublie pas l’expert en sécurité informatique.

Tenter de limiter la casse

Dans le cas de l’hôpital de Corbeil-Essonnes, il n’y a hélas plus grand-chose à faire, puisque la rançon réclamée par les pirates ne devrait en théorie pas être payée. Les données ont fuité, et désormais, il faut penser à la reconstruction du système. Ce processus peut prendre jusqu’à un an et générera au moins deux à trois mois de perturbations importantes.

Après cela, « donner des garanties au patient sur la protection de ses données lorsqu’il se rendra [dans n’importe quel] hôpital restera compliqué », prévient Damien Frey. Mais deux axes sont à développer pour tenter de mieux protéger les hôpitaux à l’avenir : « Celui de la limitation de l’attaque par la détection, c’est-à-dire la protection au plus tôt, et celui de la résilience. » Ici, David Grout, de Mandiant, pense à la capacité, pour un hôpital soumis à une attaque, « à réagir rapidement pour limiter le temps de présence du cybercriminel, pour relancer rapidement une production ou un service. »

La dimension culturelle est aussi importante. « Dans les hôpitaux, il y a un partage des ordinateurs, des mots de passe. On voit de plus en plus d’industriels lancer des plans de résilience pour renforcer la protection et limiter les risques », ajoute le spécialiste, prudent mais confiant en l'avenir. La route sera longue, oui, le risque zéro reste pure utopie, oui. Mais tout effort ne sera pas vain.

Ce dossier thématique sur la cybersécurité est le premier d'une série que vous pourrez découvrir ces prochains jours sur Clubic, à la suite de notre visite aux Assises de la sécurité qui se tenaient du 12 au 14 octobre à Monaco. Merci à tous les spécialistes qui ont accepté de répondre à nos questions, et rendez-vous au prochain épisode.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (40)

TotO
Pour ce genre d’institutions, le réseau devrait-être déconnecté d’Internet.
Nerva
Que sait-on de la sécurité d’un hôpital (à moins d’être un spécialiste en la matière) ? On doit se contenter de voir et d’analyser. Dans chaque service, des PC portables connectés en Wifi sur des « servantes » mobiles. Dans les couloirs, on voit des médecins, tablette en main, envoyant et recevant des données. Des points d’accès Wifi gratuits pour les patients (comme si on était dans un hôtel et que les clients mécontents de l’absence d’Internet « gratuit » allaient pouvoir menacer d’aller dans un autre établissement !). Rien qu’avec ça, on se doute bien que la sécurité est illusoire…
Nmut
C’est aussi malheureusement dans un hôpital qu’il y a le plus besoin d’interconnexions: transferts d’information sur les patients, co-diagnostiques, maintenance du matériel, évolutivité du matériel et du logiciel, … Tout ça avec les « moyens du bord » (regroupement d’hôpitaux et de services informatiques =&gt; besoin de connexion encore une fois). C’est sur que c’est la porte ouverte à tous les abus mais difficile de faire autrement.<br /> Quel politique va dire « Ok, je mets du fric pour l’hôpital mais cela ne sera pas pour les soignants ni pour les malades »…
TotO
Un réseau n’a pas besoin d’Internet pour cela. A l’Etat de faire ce qu’il faut.
Nmut
Tu connais le prix d’un réseau en propre? <br /> Et de toute façon, il y aurait des passerelles vers internet (certes plus faciles à contrôler)<br /> pour les fournisseurs, et donc de gros points faibles. Au final, attendu que les problèmes de sécurité sont à 90% à l’origine une erreur humaine, je pense que la formation est infiniment plus rentable.
Roster1
je doute que ca puisse se faire sans complice a l’intérieur, suffit de voir quel premier ordi a été infecté et vous aurez le service du hacker en chef
TotO
Tu connais les fournisseurs d’accès pour les fourniseurs d’accès Internet ? L’Etat peux très bien avoir un réseau privé qui utilise les infractructures existantes. Aucune connexion à Internet possible car pas d’Internet.
Nmut
Je ne pense vraiment pas que financièrement cela soit possible. J’ai travaillé dans diverse industries sensibles et je n’ai plus vu de réseau privés depuis peut être 20 ans. Même les militaires dépendent d’internet, il n’y a que les communications hertziennes qui sont sur une techno de communication propre (et encore basée sur des composants OTS).<br /> Et quand je parle de fournisseurs, je parle de la pharmacie, du matériel, de la bouffe, …
Nmut
Soyons plus « optimiste », c’est l’ordi du premier « gaffeur ».<br /> Comme pour tout incident ou accident, la faute est TOUJOURS partagée: il y a toujours une erreur humaine (formation insuffisante, procédures trop contraignantes donc non respectées, démotivation, dilution de la responsabilité, informations contradictoires, non prise en compte des biais cognitifs, …) et rarement une intention directe au niveau du « maillon faible ».
promeneur001
De ce que j’ai lu à chaque fois, le virus était dans un courriel ou une page web.<br /> Un bon anti-virus possède une fonction de scan à l’ouverture (lecture) d’un document et à sa fermeture (écriture), quelque soit son origine (disque, disquette, CD, clé USB). Il existe des anti-virus pour serveur de courriel qui scannent les courriers entrants et sortants.<br /> Faut-il en conclure que les responsables de l’informatique n’ont pas déployé d’antivirus ? ça parait incroyable. Dès le début des années 90 j’ai déployé un anti-virus sur tous les postes de travail de mon centre de recherche (60 personnes, budget famélique, 6 serveurs). J’étais à l’époque le service informatique à moi tout seul.<br /> Bref, pas besoin d’une équipe de sécurité dans ce cas là.
TotO
Les militaires ont toujours dépendu d’Internet, et pour cause… <br /> Il est financièrement possible de se reposer sur des infrastructures réseaux existantes en étant totallement déconnecté d’Internet. On tire bien des fibres optiques jusqu’à chez les centaines de milliers de particuliers sans se poser cette question.
Popoulo
promeneur001:<br /> que les responsables de l’informatique n’ont pas déployé d’antivirus ?<br /> Y en avait-il au moins un service info digne de ce nom ?<br /> promeneur001:<br /> quelque soit son origine (disque, disquette, CD, clé USB)<br /> A bannir pour la très très grande majorité des utilisateurs. Cela peut être hyper contraignant mais je ne compte plus le nombre de fois ou j’ai eu vu des clefs usb perso des utilisateurs vérolée jusqu’à la moelle.<br /> promeneur001:<br /> le virus était dans un courriel ou une page web<br /> Sur des sites dits « sensibles », courriels et accès web doivent faire l’objet d’un traitement particulier. Ne pas faire cela, si ton personnel n’est pas formé et est un simple utilisateur, tu risques de courir à la cata si tu te limites à un simple antivirus. Ce dernier est le strict minimum certes, mais très largement insuffisant.<br /> promeneur001:<br /> Bref, pas besoin d’une équipe de sécurité dans ce cas là.<br /> C’est sur. Car c’est bien connu, « ça n’arrive qu’aux autres » ^^.<br /> Il est évident que pour une activité qui n’est pas obligatoirement la cible de pirates en tout genre, tu n’auras peut-être pas besoin des derniers Quantum de chez Check Point. Pourtant, même dans les petites structures, sans investir des budgets collossaux, demander parfois un simple audit peut au moins te faire prendre conscience de risques/failles/problèmes éventuels.
Nmut
TotO:<br /> Les militaires ont toujours dépendu d’Internet, et pour cause…<br /> Les militaires américains oui. Mais on ne peut pas dire que les français aient vraiment participé à la création d’Arpanet, encore moins les russes… <br /> TotO:<br /> On tire bien des fibres optiques jusqu’à chez les centaines de milliers de particuliers sans se poser cette question.<br /> Je ne vois pas le rapport.<br /> TotO:<br /> Il est financièrement possible de se reposer sur des infrastructures réseaux existantes<br /> Un VPN (ou équivalent) n’est en aucun cas une protection suffisante, ça ne sert qu’à assurer que les transmissions ne seront pas interceptées, mais rien de plus, les points d’entrée du VPN sont aussi les postes qui très probablement servent à l’attaque. Au hasard mais probable: un mail vérolé ouvert sur le poste d’un fournisseur ou d’un administratif, donc le VPN n’y pourra pas grand chose…<br /> La seule vraie protection est effectivement la déconnexion, mais totale: aucune passerelle, aucun périphérique connectable (et encore il a bien fallu installer un système et les logiciels, une merde dormante peut toujours être là). C’est le cas pour certains systèmes critiques, mais ça reste très rare, j’en ai vu passer des systèmes et je n’ai vu ça que 2 fois.
TotO
Nmut:<br /> Les militaires américains oui. Mais on ne peut pas dire que les français aient vraiment participé à la création d’Arpanet, encore moins les russes… <br /> Cyclades était un projet français inspiré d’Arpanet. Il est toujours possible de faire ce genre de choses pour l’intérêt de notre armée et de nos hopitaux (entre autre). <br /> Nmut:<br /> Je ne vois pas le rapport.<br /> Tirer des câbles pour aller connecter des batiments en très haut débit depuis un réseau déconnecté d’Internet n’est pas le soucis.<br /> Nmut:<br /> Un VPN (ou équivalent) n’est en aucun cas une protection suffisante<br /> On est bien d’accord.<br /> Nmut:<br /> La seule vraie protection est effectivement la déconnexion, mais totale: aucune passerelle, aucun périphérique connectable (et encore il a bien fallu installer un système et les logiciels, une merde dormante peut toujours être là). C’est le cas pour certains systèmes critiques, mais ça reste très rare, j’en ai vu passer des systèmes et je n’ai vu ça que 2 fois.<br /> Voilà. C’est d’autant plus simple à accepter aujourd’hui en entreprise, que l’on peut facilement se connecter à Internet par l’intermédiaire de smartphones, tablettes… à un réseau mobile ou un WiFi publique qui n’a aucun lien avec l’infrastructure informatique de l’établissement. Ni même le besoin d’aller échanger des fichiers avec une clef USB pour une pas dire une disquette. <br /> De ce fait, le facteur humain est beaucoup moins un risque qu’il y a encore 10 ans en arrière. Tout ce qui est connecté sur le réseau d’entreprise ne doit juste pas avoir accès à Internet. (c’était déjà le cas lorsque je travaillais dans le domaine de la sécurité informatique il y a 20 ans)
kisama56
Il faudrait avant tout mutualiser les si.<br /> De ce que j’ai compris les centres hospitaliers n’ont pas les mêmes outils du coup c’est de l’argent inutilement dépensé
scudo
Hello<br /> Hélàs, la déconnexion complète c’est juste impossible (en terme de service) <br /> Quid des rendez-vous en ligne, compte-rendus d’hospitalisation numériques dispo pour le patient sur son compte etc…<br /> On fait à l’ancienne, envoi par courrier pour l’un et rendez-vous par tel uniquement pour l’autre ?<br /> CàD welcome back to 1990 <br /> Sinon - dans un cadre général - beugler que les IT dans l’hopital n’ont rien foutu etc, c’est bien joli mais quand on voit que même des boites de sécurité réputées (non pas Orange) se font pawn (Sunburst et SolarWinds : que faut-il savoir de la cyberattaque d'ampleur qui a touché les États-Unis ?)…
Nmut
TotO:<br /> Tirer des câbles pour aller connecter des batiments en très haut débit depuis un réseau déconnecté d’Internet n’est pas le soucis.<br /> Pour moi comparer le dernier km qui se connecte à un réseau mutualisé avec une infrastructure internationale complète à refaire pour un besoin très spécifique, ça n’a pas trop de sens… Et si tu veux mutualiser le réseau « spécial hôpital » avec un réseau « spécial administration » par exemple, on retombe dans le même problème de la multiplication des risques.<br /> TotO:<br /> le facteur humain est beaucoup moins un risque qu’il y a encore 10 ans en arrière<br /> Certes, si tu compares individu a individu. Seuls les « spécialistes » avait accès au système et les menaces étaient moins variées. Mais pour moi le problème vient maintenant de la démocratisation de l’informatique, on a TOUS accès a plusieurs machines depuis plusieurs périphériques, donc le nombre failles potentielles (humaine, matérielle, logiciel, …) explose.<br /> TotO:<br /> Tout ce qui est connecté sur le réseau d’entreprise ne doit juste pas avoir accès à Internet.<br /> Ce n’est plus possible de puis longtemps. Tout se fait à distance, toutes les informations sont mutualisées et échangées, quasiment toutes les maintenances, tous les contrats sont négociés et exécutés d’une manière ou d’une autre via le web. Ca simplifie, accélère et sécurise beaucoup de choses mais cela a une contrepartie importante sur la surface d’attaque. On y peut rien sauf à tout remettre à plat, ce qui est bien sûr impossible, va dire à GE qu’ils ne peuvent plus intervenir sur leur scanner à distance et qu’ils doivent avoir un technicien sur place, à un médecin qu’il ne peut plus avoir accès à un dossier patient dans la seconde, à la pharmacie qu’il ne peuvent plus faire de demandes express de médocs, aux infirmières de faire des dossiers papier, …
Popoulo
Nmut:<br /> La seule vraie protection est effectivement la déconnexion, mais totale<br /> Malheureusement c’est quasi impossible comme l’avance scudo.<br /> Y a déjà une multitude de logiciels spécialisés qui demandent un accès net pour fonctionner, c’est une plaie mais faut faire avec.<br /> Et n’oubliez pas les simples appareils comme les photocopieurs - pour ne citer que ceux-là - qui demandent des accès web à tout va (relevés de compteurs, scan-mail, rapports d’activités-pannes-consommables) et qui peuvent devenir de véritables nids à exploits suivant les modèles.<br /> C’est faisable de distribuer le net, sécuriser au mieux même si rien n’est infaillible mais ça demande des moyens conséquents que ce soit en matos et en personnel un minimum qualifié, ce que les hôpitaux ne semble malheureusement pas disposer.
TotO
Je ne vais pas rentrer dans les détails, mais il est possible de multiplexer les signaux pour avoir des réseaux distincts qui cheminent par les mêmes infrastructures en restant totallement indépendant et donc d’utiliser ce qui est déjà en place pour ce faire.<br /> Enfin, la quasi totalité des patients reçu à l’hopital passent soit par les urgences, soit de part un rendez-vous initié par un médecin généraliste ou spécialiste qui a déjà un poste de travail dédié à cette usage… Juste qu’aujourd’hui ils utilisent Internet.
MattS32
TotO:<br /> Enfin, la quasi totalité des patients reçu à l’hopital passent soit par les urgences, soit de part un rendez-vous initié par un médecin généraliste ou spécialiste qui a déjà un poste de travail dédié à cette usage… Juste qu’aujourd’hui ils utilisent Internet.<br /> Ce qui veut dire que chaque médecin, chaque pharmacie, devrait être connecté à ton réseau sécurisé… Et ce via un poste dédié, non connecté à Internet, sinon ça sert à rien. Le coût d’un tel système serait énorme…<br /> Et puis non, les rendez-vous à l’hôpital ne sont pas forcément pris par le médecin. Le médecin prescrit le rendez-vous. Après le patient se débrouille pour prendre le rendez-vous. En général de chez lui, avec son propre appareil.
TNZ
Un truc a été oublié dans les conversations : les VIP.<br /> Cette population d’individus non techniques (d’un point de vue SI) imposent leurs 4 volontés aux responsables d’infrastructure : « j’veux un ipad», « j’veux un wifi wpa1 domestique », « j’veux le nouveau PC qui vient de sortir avant les autres » … et il n’est pas possible de leur dire non car ce sont des VIP.<br /> Le meilleur RSSI de la planète ne pourra rien faire face à ce genre de pratique où des personnes non-compétentes imposent des façons de travailler complètement déconnantes.
TotO
Où est le problème puisqu’ils n’ont pas usage d’Internet pour autre chose ?<br /> Quand aux patients qui prennent rendez-vous via un portail Internet, cela peut très bien continuer à être traité par le secrétarait de chaque service hospitaliers.
TotO
Après, il ne faut pas confondre le matériel nécessaire pour travailler dans un hopital et autre lieu où la sécurité devrait-être primordiale (des vies en dépendent) et les caprises de « VIP » qui ne pourront pas les utiliser sur le réseau d’entreprise si le but est d’aller surfer sur le web.
jcharles_62
J’ai travaillé en milieu hospitalier il y a 15 ans. Un brancardier ayant un PC chez lui pouvait être muté au service Informatique, car pas de postes créés. Des médecins utilisaient les Portables « offerts » par des partenaires comme PAMPERS ou autre, sans protection, sur le réseau, des utilisateurs très peu formés et sensibilisés (L’informatique faisait chier de ne pas mettre les utilisateurs admin des postes…) J’espère que cela a changé depuis, car sinon, je ne m’étonne pas des problèmes. Un vrai organisme, soit financé par l’état, ou par un fonds des hôpitaux, pour mettre des stratégies en place, des formations, des conseils non mercantiles mais logiques. J’entends que chaque Hôpital décide de sa stratégie, alors même qu’ils manipulent des données de Santé! Pas très logique et même risqué.
MattS32
TotO:<br /> Où est le problème puisqu’ils n’ont pas usage d’Internet pour autre chose ?<br /> Ben si, ils ont usage d’Internet pour autre chose. Ne serait ce que pour la facturation. Mais aussi pour des recherches, pour de la veille (pour rappel, l’un des buts premiers d’Internet, c’était le partage des publications scientifiques hein…).<br /> Et même sans ça, le problème fondamental, c’est pas qu’ils auront besoin de plusieurs machines. Mais le fait qu’il faut que chaque cabinet soit raccordé à ce réseau privé… Le coût serait énorme…<br /> TotO:<br /> Quand aux patients qui prennent rendez-vous via un portail Internet, cela peut très bien continuer à être traité par le secrétarait de chaque service hospitaliers.<br /> Mettre une gestion manuelle derrière un portail Internet, c’est une galère sans nom. Parce qu’il faut en permanence que ça soit synchronisé entre ce qui est sur le portail Internet et ce qui est sur le réseau « privé » de l’autre côté. Donc en gros faut que tu ais un secrétaire dont le SEUL boulot, c’est de recopier les rendez-vous qui apparaissent d’un côté vers l’autre côté. Et ce 24h/24. Soit grosso modo 5 équivalent temps plein, juste pour ça.<br /> Ou alors on revient à l’ancienne… Prise de rendez-vous uniquement sur les plage 8h-12h et 13h-17h du lundi au vendredi, et uniquement par téléphone. Ça ça permet d’avoir un seul secrétaire pour s’en occuper. Mais quelle terrible régression ça fait d’un point de vue confort pour le patient (j’en sais quelque chose avec mon ophtalmo qui prend pas les rdv en ligne… ça fait 3 semaines de suite que j’appelle 2 fois par semaine, attends 20 min puis raccroche, pour toujours pas avoir pu prendre de rdv…).
Nmut
jcharles_62:<br /> Un vrai organisme, soit financé par l’état, ou par un fonds des hôpitaux, pour mettre des stratégies en place, des formations, des conseils non mercantiles mais logiques.<br /> Ca existe déjà: l’ANSSI.<br /> Mais les hôpitaux n’ont que quelques gus reclassés pour leur SI, et ils font ce qu’ils peuvent. Les recommandations ou les audits ANSSI ne servent pas à grand chose quand les PCs sont sous Win3.1 gérés par des spécialiste du firewall OpenOffice avec un budget proche de 0€ par an! Je caricature, mais je pense que tu vois ce que je veux dire.
max_971
N’oubliez pas d’activer votre Dossier Médical Partagé et Mon Espace Santé.<br /> Ce sera plus facile pour les hackers.
TNZ
Les caprices de VIP sur toutes les merdouilles à la mode justement portent sur du matériel en lien avec le réseau d’entreprise, voire sur du matériel où des vies en dépendent (par exemple : les labos vs les généralistes).<br /> Les médecins et autres professeurs « renommés » ne font que cultiver leur ego et l’image qu’ils dispensent. Toutes les merdes bling-bling qui peuvent servir leur image et leur notoriété est bonne à prendre … même si cela doit mettre en péril des éléments de leur périmètre de travail (personnes, entités, outils de travail …). Ce sont des enfants gâtés à qui la direction de l’établissement ne peut rien refuser.<br /> Les VIP ne font pas la différence entre l’outil accessoire et l’outil primordial. La seule chose importante est leur carrière.
TNZ
« urbanisation des postes de travail APHP » inside
Nmut
Je pense que tu n’imagines pas la quantité de boulot fait dans un hôpital, et du coup la paperasse (numérique!) générée… Un hôpital est une énorme machine complexe, avec des dizaines de corps de métier, des interaction avec tous les services de l’état, et qui utilisent des technologies pointues, le tout avec des budgets ultra serrés (en fin d’années, pas mal d’hôpitaux n’ont plus les moyens pour nourrir voir même opérer / soigner les patients). Ca ne peut que finir mal du point de vue sécurité informatique qui reste une variable d’ajustement, sachant que même les spécialistes peuvent se faire avoir (Cap, AKKA, …).
Nmut
TotO:<br /> de part un rendez-vous initié par un médecin généraliste ou spécialiste<br /> Déjà c’est rarement le cas. Mais quand bien même, va demander à un médecin d’avoir 2 réseaux séparés (il faut internet pour la carte vitale et le terminal CB) . Et encore une fois, la « protection » assurée par un réseau séparé n’a pas de sens si tu multiplies les points d’accès. Un cambriolage dans un cabinet avec un médecin qui a le mot de passe par défaut ou « mieux » qui le met sur un post-it sur son écran, et le système peut être compromis. Et on répète ça pour les pharmaciens, le SAMU, les pompiers, la sécurité civile, etc. Et pas sûr que General Electric ne fasse pas payer bien plus cher la maintenance et l’évolutivité des son matos<br /> si ils ne font pas une bonne partie de la maintenance à distance.<br /> Et désolé si j’insiste, mais il n’y a pas que les câbles entre les hôpitaux à tirer, il y a toute une infrastructure lourde derrière (backbones, concentrateurs, routeurs, sécurité énergétique, serveurs, …).
Nmut
TotO:<br /> Je ne vais pas rentrer dans les détails, mais il est possible de multiplexer les signaux pour avoir des réseaux distincts qui cheminent par les mêmes infrastructures en restant totalement indépendant et donc d’utiliser ce qui est déjà en place pour ce faire.<br /> OK, mais en fait, tu décris simplement un VPN, un réseau dans le réseau! Voir mon commentaire plus haut, pour moi cela ne change pas le fond du problème et n’a que très peu d’influence sur la sécurité globale, les risques étant plus aux interfaces du réseaux (terminaux et opérateurs) que liés au réseau lui même.
Bidouille
Etant intervenu par le passé dans des hôpitaux pour installer des logiciels pour les labos, j’ai plusieurs fois été surpris par l’incompétence de personnes du service informatique. Certains n’avaient qu’une formation de base et dès que l’on sortait de leur routine, ils étaient perdus. En discutant avec ces personnes, je voyais que certains étaient de simple bricoleurs sachant vaguement installer Windows qui étaient monter en grade.<br /> Je n’en fais pas une généralité mais ceci peut expliquer cela dans certains cas.
TotO
Il n’y a aucun rapport entre le travail à effectuer et le fait de devoir disposer d’un réseau plutôt qu’un autre. L’infrastructure existe, elle est réutilisable, juste des personnes qui n’arrivent pas à se projeter sur le fait qu’ils n’ont pas besoin d’Internet mais d’un intranet pour travailler entre eux. Et si besoin d’Internet, ils peuvent disposer de ce réseau non inter-connecté.
TotO
Rien à voir… Un VPN c’est logiciel. Ce que je décris c’est matériel.
Nmut
Alors on retombe dans le problème du coût, il faut changer tout le matos!<br /> Et un protocole propriétaire demande aussi du matériel non standard, donc extrêmement couteux… Pour un résultat que je ne pense pas meilleur qu’un VPN classique.<br /> Tu penses à quelque chose en particulier (mes études réseau remontent à près de 35 ans, et j’ai un lâché les télécoms il y a plus de 20 ans ), ou bien c’est juste une idée?
Nmut
Je pense que tu n’imagines pas la quantité de boulot fait dans un hôpital, et du coup la paperasse (numérique!) générée… Un hôpital est une énorme machine complexe, avec des dizaines de corps de métier, des interaction avec tous les services de l’état, et qui utilisent des technologies pointues, le tout avec des budgets ultra serrés (en fin d’années, pas mal d’hôpitaux n’ont plus les moyens pour nourrir voir même opérer / soigner les patients). Ca ne peut que finir mal du point de vue sécurité informatique qui reste une variable d’ajustement, sachant que même les spécialistes peuvent se faire avoir (Cap, AKKA, …).
Nmut
Le problème, ce sont les habitudes (toute info disponible à tout moment partout) et l’architecture des systèmes qui ont été pensé pour la communication et les coûts (standardisation, simplicité et maintenabilité). Pour moi, le « entre-eux » n’existe plus, surtout dans un hôpital ou les principaux progrès des dernières années, ce sont justement les vitesses de diagnostique et de transferts d’informations.<br /> Un exemple qui mixe plusieurs domaines que je connais bien: un pilote fait un AVC, les services d’urgences de l’aéroport ou l’avion a été détourné auront son dossier médical et les conclusions du médecin coordinateur même à l’autre bout du monde dans la minute suivant le diagnostique, et l’hôpital aura réservé un créneau IRM quand il y sera. Ce genre de chose demande une coordination, des transferts d’informations que seule une infrastructure standardisée, redondante, rapide et éprouvée peut fournir.<br /> Autre exemple, actuellement le transfert de malades entre hôpitaux en période de crise est une tannée, les médecins ou les infirmières passant des heures au téléphone pour trouver des lits et des transports disponibles, on l’a bien vu pendant les pics covid. Un simple système de dispo / résa global et non plus local aurait été d"une grande aide. Et la « simplicité » (relative :-D) de mise en place d’un tel système tient en grande partie du fait que les interconnexions sont simples, fiables et rapides: c’est internet.
Blackalf
Tout ça me rappelle une anecdote. En 2010 j’ai eu un accident de moto au Luxembourg, on m’a rapatrié en Belgique avec un dvd contenant les résultats d’examens, scanner et radios…et mon orthopédiste n’arrivait pas à ouvrir les fichiers parce qu’il n’avait pas le logiciel utilisé au Luxembourg. <br /> Et en fait, ce logiciel n’était pas loin d’être une arnaque d’une société d’informatique quelconque, parce qu’il n’était en rien indispensable : j’ai montré à mon médecin comment accéder aux fichiers en passant simplement par l’explorateur Windows.
scudo
Si seulement les PC étaient sous win 3.1 <br /> pas de powershell pas de BYOVD et aucun navigateur moderne qui s’installe.
promeneur001
Sur des sites dits « sensibles », courriels et accès web doivent faire l’objet d’un traitement particulier.<br /> Tu n’as pas bien lu mon billet. Un bon anti-virus contrôle l’ouverture d’une page web et d’un courrier.<br /> D’autre part, je répondais à un cas particulier : entrée d’un virus suite à l’ouverture d’un fichier quelconque, courrier, page web. Je ne répondais pas à la question générale de la sécurité globale de l’informatique.<br /> C’est sur. Car c’est bien connu, « ça n’arrive qu’aux autres » ^^.<br /> J’ai dit « Bref, pas besoin d’une équipe de sécurité dans ce cas là »
Nmut
Pour les BYOVD, 3.11 était quant même bien, les drivers réseau exotiques en mode kernel, pareil pour les drivers son et vidéo, tout ça récupé&amp;ré sur un BBS obscure. C’était quand même bien la fête du slip pour une attaque éventuelle via les drivers.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Les cyberattaques feraient grimper la mortalité dans les établissements de santé touchés Les cyberattaques feraient grimper la mortalité dans les établissements de santé touchés
Cyberattaque en milieu hospitalier : comment le travail des soignants est affecté Cyberattaque en milieu hospitalier : comment le travail des soignants est affecté
Cybersécurité : l'État veut booster l'assurance du risque cyber Cybersécurité : l'État veut booster l'assurance du risque cyber
Ransomware : après les hôpitaux, les écoles sont-elles les prochaines cibles des pirates ? Ransomware : après les hôpitaux, les écoles sont-elles les prochaines cibles des pirates ?
Menaces cyber et bien-être numérique : Ondrej Vlcek, P.-D.G. d'Avast, fait le point Menaces cyber et bien-être numérique : Ondrej Vlcek, P.-D.G. d'Avast, fait le point