La vigilance et l’éducation de tout le personnel sont essentielles pour la sécurité des systèmes d'information des établissements de santé

DSIH : Ces derniers mois, les médias se sont fait l’écho d’attaques informatiques visant de grandes entreprises. Les hôpitaux et les cliniques peuvent-ils être visés par des pirates ?

Eric Grospeiller : Comme toutes les entreprises connectées à l’Internet et disposant d’un système d’information, les établissements de santé peuvent être attaqués par des pirates. À l’étranger, il y a eu par exemple des cliniques qui ont été victimes de racket informatique. D’autre part, les données médicales stockées sur les serveurs des hôpitaux pourraient être récupérées afin de lancer des opérations de chantage ou des campagnes de spam pour vendre des médicaments. A titre d’exemple, à l’époque de la pandémie H1N1 il y a eu des campagnes de spams pour vendre du Tamiflu.  

DSIH : Les établissements de santé sont-ils sensibles à ces menaces ?

E. G : Les hôpitaux et cliniques ayant un responsable de la sécurité des systèmes d’information (RSSI) sont censés être vigilants. Mais le plus important est de savoir si la direction informatique a les moyens de lutter efficacement contre ces attaques, si elle est soutenue par la direction de l’établissement et si tous les services et personnels sont sensibles à ces menaces.
Mais le « risque zéro » n’existe pas. Même si un établissement a mis en place différents systèmes de sécurité, il ne pourra pas résister à une attaque ciblée et bien organisée. Il est difficile de tout surveiller : cliquer sur la pièce jointe infectée d’un email permet de s’introduire sur le réseau d’un hôpital. La multiplication des supports mobiles (smartphones, tablettes et clés USB), des modes de connexion (comme la généralisation du Wi-Fi) et le développement de la télémédecine ne facilitent pas la tâche des responsables de la sécurité des systèmes d’information. Il faut aussi tenir compte des failles de sécurité des appareils médicaux qui embarquent un système d’exploitation similaire à celui présent sur un ordinateur. Or, d’un point de vue sécurité, leur gestion n’est pas toujours claire…
Pour réduire les risques d’infection et d’intrusion sur un serveur, il est donc nécessaire de renforcer l’éducation et la sensibilisation de tous les personnels sur ce sujet. Je tiens à préciser que je ne stigmatise pas du tout le secteur de la santé car la problématique est identique dans toutes les entreprises.

DSIH : Concernant l’accès aux données, quels sont les points essentiels à surveiller et les procédures à mettre en place ?

E. G : La confidentialité des données est l’une des thématiques majeures de la sécurité de l’information. Mais elle n’est pas la seule. Il y a aussi les thématiques de disponibilité, d’intégrité et de traçabilité. Ce n’est pas toujours évident à gérer. La mise en place de mesures de confidentialité peut parfois nuire à la disponibilité de l’information. Dans 99 % du temps, c’est la confidentialité qui prime. Mais dans des cas d’urgence, le médecin et le patient peuvent avoir besoin immédiatement de données. Il faut donc être capable de privilégier à cet instant « T » l’accès aux données en baissant le niveau de protection mais, parallèlement, en renforçant le suivi des actions et l’authentification. En revanche il faut reconnaître que la mise en place de cette procédure n’est pas très simple.

DSIH : Quelles sont les problématiques auxquelles sont confrontés les responsables des systèmes d’information des hôpitaux ?

E. G : Premièrement, il y a un problème d’homogénéisation du parc. Par exemple les viewers n’ont pas toujours la même finesse. L’arrivée de terminaux personnels, comme les tablettes pourrait rendre plus difficile le besoin de cohérence entre les moyens fournis par l’hôpital et le matériel qui peut venir de l’extérieur. Autre thématique en cours de traitement : la gestion des identités. Comment faire pour éviter d’avoir des doublons d’un patient ou des confusions avec des homonymes ? La solution est de mettre en place un identifiant national. Dernière thématique importante : la mise en place du Wi-Fi (pour le personnel et les patients) et de la téléphonie sur IP. Ce sont des contraintes parfois difficiles à gérer. Il faut à la fois empêcher des personnes extérieures à l’établissement d’accéder au réseau et optimiser l’accès au réseau sans fil.

Propos recueillis par Philippe Richard