Entre le piratage d’implants connectés, le vol de données médicales et les menaces de ransomware, l’hôpital moderne est devenu un champ de bataille informatique comme les autres.

Le 25 novembre, le Consortium international des journalistes d’investigation (ICIJ), via ses partenaires français Radio France et Le Monde, publiait les « Implant Files », une enquête collective de dix mois réalisée par 259 journalistes qui mettaient en lumière les failles profondes dans la réglementation et le contrôle des dispositifs médicaux, implants ou prothèses vendus dans le monde. Au centre de l’enquête, une liste de 75 000 incidents et rappels de produits certifiés conformes parfois sans même avoir été testés. Parmi ces incidents et dysfonctionnements, un grand absent : la vulnérabilité aux attaques informatiques.

 

Pixabay

Pourtant, depuis près de quinze ans aux États-Unis et environ cinq ans en France, la cybersécurité est devenue un enjeu majeur pour le secteur de la santé. Dans la médecine moderne, le moindre instrument, de la pompe à perfusion au pacemaker, est désormais connecté à Internet pour assurer un suivi constant entre patient et médecin.

en 2017, les hôpitaux américains ont subi 32 000 attaques par jour

Aux yeux des pirates, l’hôpital est une cible de choix : des parcs de machines souvent mal protégés et connectés, un personnel encore trop peu formé aux questions de cybersécurité et, surtout, un gisement de données médicales, parmi les plus précieuses sur le marché noir. Selon le cabinet Fortinet, en 2017, les hôpitaux américains ont ainsi subi 32 000 attaques par jour, contre 14 300 en moyenne dans les autres grands secteurs de l’industrie. En France, le site spécialisé TICSanté recensait 1341 attaques en 2016, soit quatre par jour. À mesure que l’hôpital public devient une entité informatique et connectée, il doit désormais apprendre à se défendre.

Les données médicales, un produit de luxe au marché noir

La menace principale qui pèse sur l’hôpital connecté, c’est le vol de données personnelles des patients, affirme Vincent Trély, président de l’Association pour la sécurité des systèmes d’information santé (Apssis) : « la donnée de santé à de la valeur. Un dossier médical, sur le marché noir, se vend autour des 20-30 dollars. Un hôpital de province, en France, peut héberger 200 000 dossiers, soit 2 à 3 millions d’euros à la revente.  » Aux États-Unis, où la sécurité sociale et la santé sont privatisées, ce marché noir est bien plus développé.

Formosa Wandering

Ces données permettent d’effectuer de lucratives fraudes aux assurances, voire de commander du matériel médical ou certains types de médicaments sous une fausse identité – parfois même celle de nouveau-nés ou de patients décédés. Résultat : un Américain sur deux (soit 176 millions de personnes) s’est fait voler son dossier médical électronique (electronic health record, ou EHR) entre 2010 et 2017. Preuve de cette disponibilité : entre 2014 et aujourd’hui, le prix moyen d’un EHR volé sur le dark web a chuté, passant de 100 à 20 dollars en fonction de la taille de l’archive. C’est toujours dix fois plus cher que des informations de carte de crédit.

« A chaque fois que je vais dans un hosto, je lève des lièvres  »

Les usurpateurs d’identité ne sont pas les seuls à acheter de la donnée médicale en gros, poursuit Vincent Trély : «  ce qui compte, c’est surtout le volume [de données volées]. Ce qui va intéresser certaines personnes, c’est de faire parler les données grâce à un traitement algorithmique, pour savoir par exemple quels médicaments sont les plus prescrits par les médecins de PACA…  » Le genre d’information qui peut potentiellement intéresser « des grands groupes d’assurance, des laboratoires pharmaceutiques, voire des agences de renseignement  », conclut-il.

Ce double risque, à la fois pour l’individu et pour la sécurité nationale, explique que la donnée médicale soit soumise à un régime de confidentialité particulier. Ce que n’ont pas encore réellement compris les professionnels de santé, qui négligeraient trop souvent leur cyber-hygiène : « les médecins s’envoient des mails, des photos de patients sur des réseaux non sécurisés. A chaque fois que je vais dans un hosto, je lève des lièvres », soupire Vincent Trély. En attendant, aucun hôpital français n’a encore été touché par une fuite de données de magnitude américaine, telle celle d’Anthem Blue Cross, en janvier 2015, qui avait siphonné 78 millions de dossiers médicaux.

Pixabay

Le rançongiciel, cauchemar des urgences

Si le vol de données est la menace la plus pressante qui pèse sur l’hôpital, deux autres dangers sont apparus ces dernières années : le blocage des réseaux informatiques contre rançon et la prise de contrôle à distance du matériel médical. En 2017, les établissements de santé à travers le monde ont vécu un annus horribilis. Au printemps, le rançongiciel WannaCry déferle sur le monde, paralysant 300 000 entreprises, dont des hôpitaux et des laboratoires pharmaceutiques nord-américains , contre une rançon en bitcoin. La NHS, le système de santé britannique, traverse un cauchemar : 16 hôpitaux sont touchés à travers le Royaume-Uni, des milliers d’opérations suspendues, des scanners IRM et à rayons X sont contaminés et les médecins, orphelins de leur système informatique, sont obligés d’utiliser des crayons et du papier pour leurs opérations quotidiennes.

UNMEER

Comme l’écrivait déjà Wired en mars 2016, les hôpitaux sont « une cible parfaite pour les ransomwares » : les parcs informatiques et les nombreux programmes utilisés (entre 300 et 400 par établissement, selon Vincent Trély) offrent une multitude de vulnérabilités, et le personnel hospitalier a souvent autre chose à faire que de se poser la question de l’authenticité du mail de la Cnam ou des impôts reçu sur sa boîte mail. Le président de l’Apssis est formel : «  Des hackers qui voudraient s’en prendre à un CHU peuvent facilement y arriver. (…) Il y a une très forte recrudescence des attaques au phishing sophistiquées, qui, peuvent ensuite immobiliser [un hôpital] une demi-journée, voire une journée  ».

Contrairement à la fuite de données, la prise d’otage d’un hôpital met en danger des vies : « rendre indisponible le Samu de Marseille pendant quatre heures un dimanche après-midi, ça peut avoir des conséquences directes sur la vie des gens. C’était pas grave il y a quinze ans, là c’est dramatique  ». En France, heureusement, le seul exemple de rançongiciel à ce jour est celui du laboratoire Labio en 2015, soumis à une rançon de 20 000 euros par le groupe de hackers Rex Mundi. Le laboratoire a refusé de payer. Quelques jours après l’expiration de l’ultimatum, des noms et mots de passe d’utilisateurs étaient rendus publics, ainsi que 11 résultats d’analyse de 7 patients. Pas grand-chose pour le moment, mais la menace évolue : de nouveaux rançongiciels, comme SamSam, sont désormais conçus spécifiquement pour attaquer les établissements médicaux. Selon une étude du cabinet Beazly, 45 % des attaques au rançongiciel de 2017 ont visé le secteur de la santé.

Pirater un pacemaker ? Technique, mais faisable

Et puis il y a le problème des appareils médicaux connectés, « un cauchemar pour la sécurité » selon la presse spécialisée. Après une décennie à développer la santé connectée, un hôpital américain possède désormais en moyenne 15 objets « intelligents » par chambre, le plus souvent des pompes à perfusion et des systèmes de surveillance de l’état de santé du patient. En dehors de l’hôpital, les patients portent désormais des pacemakers, pompes à insuline ou défibrillateurs connectés à Internet, qui offrent des avantages considérables pour le suivi des patients et la réponse médicale en cas d’urgence.

Ben Bashford

Ces implants, dont le marché est dominé par quelques poids lourds américains (Medtronic, Abbott), sont le jouet des chercheurs en cybersécurité. En 2018, dix ans après la découverte des premières vulnérabilités, le hack biomédical a son stand au Defcon, et les démonstrations sont spectaculaires. Tellement spectaculaires, en fait, qu’un épisode de Homeland s’emparait de la question en 2012 et faisait brièvement paniquer les porteurs d’implants.

Plus encore que l’immobilisation d’un service d’urgence, la prise de contrôle par un attaquant d’un objet médical connecté est potentiellement mortelle. Mieux, un piratage bien réalisé a tout du meurtre parfait. Les modes opératoires sont multiples : délivrer une décharge fatale à un pacemaker ? Possible. Modifier le dosage d’une pompe à insuline ? Pas de problème. Fausser les résultats d’un moniteur cardiaque pour forcer une infirmière à vous administrer 300 volts ? McAfee le démontrait en août.

délivrer une décharge fatale à un pacemaker ? Possible

Comme (trop) souvent avec les objets connectés, la protection des accès est faible et les failles béantes. Un rapport américain de juin 2017 identifiait jusqu’à 1400 vulnérabilités dans un seul implant connecté. Plus tôt la même année, des chercheurs révélaient que plusieurs produits des géants Abbott et Medtronic, parmi lesquels pacemakers et pompes à insuline, étaient hautement vulnérables. Le premier a réagi en rappelant 750 000 pacemakers pour une mise à jour. Le second… a ignoré les avertissements, expliquant que les failles posaient un risque « faible (acceptable) » pour la vie du patient. Et les régulateurs, dans tout ça ?

Critiquée pour son laxisme depuis plusieurs années, la Food and Drug Administration (FDA) a changé d’approche en 2017, multipliant les partenariats avec les chercheurs et les fabricants et ébauchant un début de cadre légal pour inclure la cybersécurité dans la certification des implants. Heureusement, le piratage d’implant reste un hack excessivement complexe à réaliser, et personne n’en a encore été victime.

En France, « il faut rééduquer tout l’écosystème »

En France aussi, la cybersécurité des établissements de santé est désormais prise très au sérieux, bien que la menace ait été identifiée plus tard qu’outre-Atlantique. Le sujet est traité par Philippe Loudenot, responsable de la sécurité des systèmes d’information (RSSI) aux ministères sociaux, l’Agence française pour la santé du numérique (ASIP Santé), en charge du développement d’une Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) et l’ANSSI.

Depuis 2012 et le lancement du programme Hôpital numérique, explique Vincent Trély, les hôpitaux sont obligés d’avoir une politique de sécurité informatique s’ils souhaitent bénéficier de financements publics. Parmi les fournisseurs de solutions informatiques du secteur, les meilleurs élèves sont maintenant récompensés par la certification « qualité hôpital numérique », créée en 2015. En 2016, 230 établissements de santé publics et privés ont été requalifiés « opérateurs d’importance vitale » par l’ANSSI, et soumis à des protocoles de cybersécurité draconiens. La liste est classée confidentiel-défense. Parallèlement, une nouvelle norme de sécurité des données de santé, l’ISO 270001, vise à mettre en conformité les hébergeurs de données de santé avec le RGPD.

CHU Cognacq-Jay, Paris 2013 Victor Tsu

Depuis cinq ans, la France ne ménage donc pas ses efforts pour faire muter l’hôpital en une entité consciente et responsable de la menace cyber. Ne reste plus, désormais, qu’à former le personnel aux nouvelles pratiques… et c’est là que ça se complique. « Les hôpitaux ont un degré de maturité qui n’est pas aussi important que les industries de pointe ou les banques  », déplore Vincent Trély. « Les gens sont très mal formés sur tout ça. Il faut faire monter le niveau de maturité des acteurs d’un cran, les ramener vers les bons usages, comme ne pas renvoyer [les mails] de son adresse pro sur Gmail, parce que les données des patients ne doivent pas sortir de l’hôpital pour aller sur les serveurs de Google. Il faudrait rééduquer tout l’écosystème.  »

Archive : 1943, Union Soviétique, Des médecins russes soignent un blessé dans un train-hôpital WW2 Gallery

Et apprendre au personnel hospitalier à reconnaître une faille de sécurité. Depuis le 1er octobre 2017, le ministère a mis en place le portail Cyberveille, qui permet aux hôpitaux de signaler eux-mêmes les incidents. Selon le rapport annuel, paru le 11 décembre, seules 319 attaques ont été rapportées sur l’année, dont 4 prises au sérieux par l’ANSSI. Un chiffre « largement sous-estimé » selon Vincent Trély, car la majorité des hôpitaux n’a pas encore adopté le nouveau système. Depuis, « la plus grosse réforme depuis l’après-guerre » transforme les 1300 établissements de santé français en 135 groupements hospitaliers de territoire (GHT) aux compétences mutualisées. Une occasion unique de repenser intégralement l’architecture des systèmes informatiques pour se concentrer sur la sécurité des données et des appareils médicaux. Cette fois-ci, l’hôpital français n’a plus d’excuse.

Partager sur les réseaux sociaux