Les attaques visant les établissements de santé se multiplient en France. Ceux-ci constituent en effet une cible privilégiée des hackers du fait de la richesse de leurs bases de données et surtout de leur moyen limité, voire inexistant, pour y faire face. 250 dirigeants et RSI de ce secteur ont été ainsi rassemblés par le ministère de la santé dans un colloque relatif à la sécurité informatique.
Des attaques d’ampleurs ont eu lieu
Aux États-Unis, les attaques visant les établissements de santé font la « Une » des journaux. En France, la plupart des dirigeants de tels établissements ne pensent même pas à corriger leur vulnérabilité. Frédérique Pothier, de la délégation à la stratégie des systèmes d’information de santé, a confirmé cette hypothèse au cours de ce colloque. Cet excès de confiance est lié au fait que la quasi-totalité des Français est souscrite à la sécurité sociale. Les données de santé locale auraient ainsi moins de valeur que les données de santé américaines. Ceux qui ont soutenu cette idée devraient sûrement changer d’opinion après les cas des attaques informatiques touchant des établissements français depuis le début de l’année 2015. Le plus récent est la tentative d’extorsion de la polyclinique de Blois via son système informatique. Il y a eu aussi l’attaque du laboratoire de biologie médicale Labio par les hackers Rex Mundi et le piratage des disques du Centre Marie Curie de Valence.
De larges failles
De nombreux autres établissements ont subi des attaques en France. Il est cependant difficile de connaître l’ampleur des dégâts, la plupart des victimes choisissant souvent de tout régler en interne. Pourtant, la valeur des données est toujours plus élevée en milieu hospitalier. Pourtant, celles-ci sont facilement accessibles non seulement par les hackers, mais également par des personnes en interne de mauvaise intention. En milieu hospitalier en effet, un ordinateur peut avoir jusqu’à 15 utilisateurs. Et il est exposé en libre-service et souvent ne bénéficie même pas d’une protection par mot de passe. Ce qui rend facile l’insertion d’une clé USB pour l’installation d’un malware de contrôle à distance de la machine. Ce qui porterait atteinte à la sécurité du système informatique de l’établissement.
Connaître les pratiques
Il faut le reconnaître, il existe des établissements de santé en France qui ont des dispositifs et des responsables de sécurité informatique. Beaucoup d’entre eux restent exposés aux menaces. La raison ? Ils ne savent pas que l’humain est la première faille exploitée par les hackers. D’où le déploiement par le ministère de la Santé à la fin de l’année 2013 de sa Politique générale de sécurité des Systèmes d’Information de Santé, plus connue sous sa forme contractée PGSSI-S. Celle-ci a pour finalité l’amélioration des pratiques pour faire face à la cybermenace dans les établissements de santé. Les informations, les conseils et les recommandations relatifs à ces pratiques sont fournis à chaque acteur, à son niveau, à travers des documents consultables sur le site ASIP Santé du ministère de la Santé.
1 comments