Les établissements de soins ne sont pas à l’abri des cyberattaques. Les hackers sont en quête de données médicales, qui valent leur pesant d’or sur le dark web.
Les banques, les supermarchés et les particuliers sont régulièrement visés par des cyberattaques. On le sait moins, mais les hôpitaux aussi. Une étude réalisée aux Etats-Unis par l’Institut de recherche Ponemon a montré que 90% des organisations de santé du pays avaient subi au moins une intrusion informatique en 2015. Les tentatives sont plus nombreuses encore. En Suisse, un hôpital universitaire va essuyer, en moyenne, 11’000 tentatives d’attaques informatiques de toutes sortes par jour, selon l’association Ingénieur Hôpital Suisse.
Si les hôpitaux sont devenus une cible attrayante pour les hackers, c’est qu’ils sont souvent très mal protégés. Martin Darms, un ingénieur informatique qui dirige une PME dans le canton de Zoug, a développé un indexe de vulnérabilité des hôpitaux et s’en est servi pour effectuer une analyse des serveurs de sept établissements suisses dans le cadre d’une thèse de master.
Quatre d’entre eux présentaient des vulnérabilités plus ou moins importantes. Les pires manquements ont été découverts sur leurs réseaux internes: logiciels antiques, mots de passe standards ou serveurs de test non protégés.
Les hôpitaux sont en retard, reconnaît Franck Calcavecchia, en charge de la sécurité informatique pour les Hôpitaux universitaires de Genève. «Si la sécurité informatique a été prise en compte très tôt dans le monde financier, ce n’est pas le cas dans celui de la santé», juge-t-il. Car ce n’est pas son cœur de métier. «Pour les soignants, l’urgence ce n’est pas de savoir si les réseaux sont bien protégés, mais de s’occuper des patients», note Solange Ghernaouti, spécialiste de la cybercriminalité à l’Université de Lausanne.
On privilégie la rapidité et l’efficacité des outils informatiques, au détriment de leur sûreté.
Et on omet les précautions les plus basiques. «Combien de fois me suis-je retrouvée seule dans une salle de soins
à côté d’un ordinateur allumé?» interroge-t-elle.
L’avènement du dossier électronique du patient, des banques de données génétiques et des appareils médicaux qui enregistrent automatiquement les signes vitaux a également accru le nombre d’informations stockées par les hôpitaux, et donc de cibles pour des personnes malveillantes.
Autre écueil, les appareils médicaux sont encore trop souvent dépourvus de toute protection contre les virus et autres malwares, alors qu’ils sont désormais connectés à des réseaux informatiques. «Les fournisseurs de ces équipements ont pris beaucoup de temps à réagir pour les rendre résistants aux cyberattaques», relève Daniel Gougerot, responsable de la sécurité des systèmes d’information au CHUV.
Le mode d’intrusion privilégié des hackers est le phishing, soit l’envoi d’un e-mail
qui contient un lien menant vers un
faux site web. «Le but est de faire installer un logiciel à la victime, pour pouvoir instrumentaliser son ordinateur afin de mener l’attaque», détaille le responsable du CHUV. Ces e-mails peuvent contenir des informations très personnelles glanées sur les réseaux sociaux afin d’endormir sa méfiance.
Mais la méthode utilisée peut aussi être plus terre-à-terre. Un rapport publié en 2014 a montré que 68% des vols de données médicales effectués aux Etats-Unis depuis 2010 ont eu lieu suite à la perte ou au vol d’un laptop ou d’un smartphone.
Le cabinet Independant Security Evaluators, basé à Baltimore, est pour sa part parvenu à accéder au réseau informatique d’un hôpital en hackant un kiosque d’information situé dans le hall d’entrée.
«Les établissements de santé sont souvent assez bien protégés contre les attaques venues de l’extérieur, mais ils ont tendance à négliger le risque interne, celui posé par un employé frustré», juge Tomas Bucher, le président de l’association Ingénieur Hôpital Suisse. Une simple clé USB glissée dans un ordinateur suffit pour extraire des données ou introduire un malware sur le réseau hospitalier.
Mais pourquoi s’en prendre à un lieu dont le but premier est de prodiguer des soins? «La menace principale à laquelle nous avons affaire, ce sont les attaques par ransomware», dit Daniel Gougerot. Dans ce genre d’agression, une organisation criminelle va encrypter les données d’un hôpital, puis lui demander de lui verser de l’argent – le plus souvent en bitcoins – pour récupérer l’accès à ses systèmes. «Cela peut aller très loin: certains groupes ont mis sur pied des hotlines au cas où la victime ne saurait pas comment faire un versement en bitcoins», détaille-t-il. Le CHUV a vécu sa première attaque de ce type début 2015 et en a subi deux ou trois depuis. «Mais nous avons pu les stopper avant que nos données ne soient prises en otage», précise-t-il.
Les hackers qui s’en prennent aux hôpitaux sont aussi en quête d’informations. «Les données médicales ont beaucoup de valeur, souligne Frank Calcavecchia. Sur le dark web, elles se revendent dix fois plus cher que les numéros de carte de crédit.» Ces données peuvent servir à usurper l’identité de quelqu’un pour obtenir des médicaments, déposer des demandes de remboursement abusives auprès de l’assurance maladie ou à récolter des prestations sociales indues. «En France, une femme s’est servie de données de santé usurpées pour recevoir des aides sociales au nom de 19 paires de jumeaux», raconte Solange Ghernaouti.
Ces informations ont d’autant plus de valeur qu’elles touchent à des questions très émotionnelles. «Imaginez les parents d’un enfant atteint d’une maladie en phase terminale et qui recevraient un e-mail qui affirme qu’il a été sélectionné pour participer à un nouvel essai clinique prometteur, fait remarquer Rick Kam, qui dirige le cabinet de sécurité informatique ID Experts, à Portland, aux Etats-Unis. Ils ne vont pas se montrer aussi prudents qu’ils le seraient en temps normal.»
Elles sont aussi confidentielles. «Les informations sur le traitement subi par un VIP ou un politicien peuvent aisément être revendues à un journal à sensation ou utilisées pour le faire chanter», note Frank Calcavecchia. Cela peut aussi toucher M. ou Mme Tout-le-monde. Peu de gens veulent voir publiés les résultats d’un test de grossesse ou de sida.
Les conséquences d’un tel vol de données peuvent être ressenties loin en aval. Aux Etats-Unis, certaines banques et assurances rachètent ce type de données et
s’en servent pour évaluer le risque posé
par leurs clients. Elles ne vont pas octroyer un prêt ou conclure une assurance vie avec quelqu’un atteint d’un cancer fatal.
Plus grave, les cyberattaques peuvent cibler les appareils médicaux connectés. «Les machines à IRM, les pompes à insuline, les pacemakers et les défibrillateurs sont autant de machines qui peuvent être hackées, que ce soit pour délivrer la mauvaise dose d’un médicament, pour les désactiver ou pour falsifier un résultat, avec des conséquences potentiellement mortelles», relève Billy Rios, un expert de la sécurité informatique américain
qui travaille pour le groupe WhiteScope à San Francisco.
Parfois, c’est l’hôpital tout entier qui est attaqué. «Les portes, les systèmes de chauffage et de ventilation, l’alimentation en électricité et le traitement des eaux sont désormais contrôlés au moyen d’outils informatiques qui pourraient en théorie faire l’objet d’une cyberattaque», dit Tomas Bucher. En Grande-Bretagne, des hackers ont pris le contrôle du système de verrouillage des portes d’un hôpital. Ce genre d’attaque peut être l’œuvre d’un employé mécontent qui veut nuire à la réputation d’un établissement ou d’une organisation criminelle qui veut extraire une rançon.
Mais les hôpitaux ne sont pas à court de solutions. «Il faut effectuer des sauvegardes régulières des données, souligne Daniel Gougerot. Si un hacker les prend en otage, on a une copie.» Au CHUV, cette opération est réalisée une fois par heure. Autre mesure: compartimenter les divers réseaux. «C’est le modèle du sous-marin: si un caisson a un problème, on peut le fermer et il n’impacte pas le reste de la machine», ajoute Franck Calcavecchia.
Le système qui contrôle les défibrillateurs doit par exemple être maintenu à l’écart de celui utilisé pour prendre les rendez-vous.
«Il faut aussi mettre en place des journaux qui répertorient toutes les personnes à avoir consulté des données sensibles, poursuit Daniel Gougerot. Cela permet de repérer les comportements suspects.» Plus généralement, on doit limiter l’accès à ce type d’informations aux personnes qui en ont vraiment besoin. Moins il y a de gens en possession d’informations sensibles et moins les hackers auront de cibles à frapper. ⁄
Le Hollywood Presbyterian Medical Center a été le premier hôpital victime d’un ransomware. L’établissement a perdu l’accès à tous ses fichiers en février 2016 après qu’un virus les eut encryptés. Il a dû s’acquitter de la somme de 17’000 bitcoins (environ 15 millions de francs) pour les récupérer. «Cela a créé un précédent, note Daniel Gougerot, du CHUV. Depuis, de nombreux autres hôpitaux ont été ciblés.» Trois autres établissements américains, dans le Kansas, en Californie et dans le New Jersey, ont également versé les
L’assureur maladie américain Anthem a subi une cyberattaque en décembre 2014 qui a permis à un groupe de hackers de mettre la main sur une base de données contenant des informations médicales sur 78,8 millions de patients. La brèche n’a été découverte que près de deux mois plus tard lorsqu’un employé de la firme a remarqué que son identifiant avait été utilisé par quelqu’un d’autre pour effectuer des recherches dans ce répertoire. Certaines des données volées ont été mises en vente sur le dark web.
En mai 2014, Billy Rios, un expert de la sécurité informatique américain qui travaille pour le groupe WhiteScope à San Francisco, écrit aux autorités sanitaires américaines pour les mettre en garde: il a trouvé d’importantes failles dans la pompe à infusion PCA 3 Lifecare de Hospira. «J’ai découvert une vulnérabilité qui permet à quelqu’un de prendre le contrôle de cet appareil à distance, relate-t-il. Cela lui permettrait d’administrer une dose de médicament trop importante ou trop faible.» Ou même d’éteindre la pompe. Suite à cette découverte, la plupart des hôpitaux ont cessé d’utiliser ces appareils.
Au printemps 2014, Community Health Systems, une entreprise qui gère 206 hôpitaux aux Etats-Unis, s’est fait ravir les dossiers de 4,5 millions de patients. Parmi les informations volées figuraient des numéros de sécurité sociale, des dates de naissance et des adresses mais pas de données médicales ou financières. Une analyse de l’attaque a révélé qu’elle était l’œuvre de hackers à la solde du gouvernement chinois, ce qui laisse supposer que le but premier était de porter atteinte à la réputation de cette entreprise et de perturber son fonctionnement.
