La sécurité informatique dans les hôpitaux

Les données sensibles et la mise en réseau croissante rendent les hôpitaux particulièrement vulnérables. La sécurité informatique dans les hôpitaux présente de nombreuses lacunes. Les exemples d’autres pays montrent que le danger est réel. Dans quelle mesure les hôpitaux se protègent-ils contre les pirates informatiques ?

Des cliniques encore trop inexpérimentées dans le domaine des technologies

Les données sensibles et la mise en réseau croissante rendent les hôpitaux particulièrement vulnérables. Les exemples d’autres pays montrent que le danger est réel. Dans quelle mesure les hôpitaux se protègent-ils contre les pirates informatiques ?

Les cybercriminels volent les données des patients. Les maîtres-chanteurs qui cryptent les données. Les hackers qui manipulent le matériel médical. Les scénarios sont inquiétants – et ils sont réels. Selon la “Krankenhausstudie 2017” (étude sur les hôpitaux 2017) menée par le consultant en gestion Roland Berger, 64 % des hôpitaux allemands ont déjà été victimes d’une attaque de pirates informatiques. “La sécurité informatique est encore un territoire vierge pour de nombreux hôpitaux”, titrait récemment l’Ärzte-Zeitung.

“Le fait qu’il n’y ait pas encore eu d’attaque ciblée contre le système de santé allemand est, à mon avis, une chance”, déclare Thomas Friedl, du département de la santé de l’université technique de Hesse centrale. “C’est une planche très épaisse qui doit être percée. Mais il ne sera probablement pas foré avant que 20 à 30 cliniques d’une région soient fermées ou que 112 cessent de travailler pendant un week-end. Et alors vous aurez l’air d’idiots”.

Le SPD du parlement du Land de Hesse a récemment mis le doigt dans la plaie avec une question mineure. Dans sa réponse, le gouvernement de l’État admet “que l’informatique des hôpitaux est régulièrement exposée à des menaces”. Cependant, “on ne connaît aucun cas où des données sur les patients ou des données de santé ont été saisies”.

Pour connaître l’ampleur des problèmes, le ministère des affaires sociales a écrit à tous les hôpitaux. Douze attaques ont été signalées depuis 2016, par exemple dans les centres de santé d’Odenwald et de Wetterau, à Hadamar et à Fritzlar, à Kiedrich et à Weilburg, à l’hôpital Heilig-Geist-Hospital de Francfort et à la Klinikum de Hanau. La liste n’est pas complète : toutes les cliniques n’ont pas répondu et toutes les questions n’ont pas reçu de réponse.

Le LKA n’a pas connaissance des cyber-attaques contre les cliniques

Les pièces jointes aux courriers électroniques sont une passerelle fréquente. Ils sont utilisés par les logiciels malveillants pour pénétrer les systèmes, par exemple un cheval de Troie appelé “locky”, qui est entré dans certains hôpitaux de Hesse en 2016. Il s’agit d’un logiciel de rançon, qui crypte les données afin d’exiger une rançon pour le décryptage. Souvent, les données peuvent être reconstituées d’elles-mêmes, mais pour cela, les systèmes doivent d’abord être arrêtés.

À Neuss, l’ensemble de l’informatique a dû être fermé après une telle attaque. Les opérations ont été reportées, l’hôpital a travaillé avec des notes manuscrites comme avant l’invention de l’ordinateur. Le total des dommages a été estimé à environ un million d’euros. En Grande-Bretagne, le chantage du cheval de Troie “Wanna Cry” a paralysé de nombreux hôpitaux en 2017.

Selon le bureau d’enquête criminelle du Land de Hesse (LKA), “aucune cyberattaque ou attaque contre des hôpitaux n’est connue”. Bien que les exploitants d’hôpitaux aient remarqué des attaques sur leurs systèmes informatiques “presque quotidiennement”, celles-ci pourraient “être en grande partie combattues par la structure de sécurité en place”. Le LKA ne nie pas non plus que les hôpitaux sont en danger : “Les hôpitaux sont certainement parmi les cibles des cybercriminels”, dit-il à Wiesbaden. Si les attaques réussissent, “il n’y aura pas seulement une perte financière, mais aussi des interruptions des soins médicaux qui peuvent mettre la vie en danger”.

“Le problème existe et existera toujours”, déclare Rainer Greunke, directeur de l’Association des hôpitaux de Hesse : des données personnelles sensibles sont stockées dans les hôpitaux, et la mise en réseau des systèmes ne cesse d’augmenter, ce qui les rend vulnérables et sensibles. Cependant, “le problème dans les hôpitaux n’est pas plus important que dans les banques ou autres institutions.

La comparaison avec les banques est boiteuse, dit Friedl : “La différence est le niveau auquel l’informatique se situe dans l’organigramme. Malheureusement, il existe des exemples de cliniques où trois employés externes du siège social sont responsables de quatre à cinq cliniques, le médecin-chef décide de l’informatique et les mots de passe sont affichés sur des feuilles de papier jaunes à l’écran. “Bien sûr, cela ne s’applique pas à tout le monde – mais cela s’applique encore trop souvent”.

Créer des structures informatiques fonctionnelles

Friedl considère que la politique a d’abord un devoir : elle doit mettre de l’argent à disposition. Dans un deuxième temps, les hôpitaux doivent alors créer les structures “que l’informatique monte dans l’organigramme et que les nombreuses tâches et systèmes qui ont été ajoutés ces dernières années soient également à la disposition du personnel approprié”.

L’association des hôpitaux fait référence à la rareté des ressources : “Je dois y réfléchir : Où dois-je mettre l’argent ? Un nouveau pare-feu ou un nouveau tomographe ? Une nouvelle génération d’ordinateurs ou plus de postes de ventilation ? J’ai cette considération tout le temps”, dit Greunke. L’association des hôpitaux demande un programme d’investissement spécial pour la numérisation et la sécurité informatique.

Une “analyse des risques informatiques des hôpitaux” menée par l’Office fédéral allemand pour la sécurité de l’information (BSI) a identifié les vulnérabilités : Non seulement les technologies obsolètes, les mécanismes de protection inadéquats et les tests omis constituent une menace – mais aussi le “mécontentement des employés”.

L’analyse souligne également un autre danger : “que les dispositifs médicaux intégrés dans un réseau hospitalier soient particulièrement sensibles aux virus informatiques”. Les stimulateurs cardiaques ou les pompes à médicaments pourraient également être piratés. Toutefois, l’Institut fédéral des médicaments et des dispositifs médicaux “n’a pas connaissance à ce jour de cas où des patients auraient été lésés par des dispositifs médicaux piratés.