Malwares : Vous êtes tous menacés

La révolution informatique en médecine semble inéluctable tant la balance bénéfice/risque est profitable. Considérée comme un " mal nécessaire " par le cabinet Onkelinx, l'informatisation du secteur de la Santé est une des priorités du cabinet De Block qui n'y voit que des avantages, plaçant comme atout principal de cette extraordinaire aventure une plus grande efficience de la gouvernance en santé. Cependant, l'attaque massive notamment sur les hôpitaux du NHS britannique vient mettre en lumière le revers de la médaille. Souvent, les progrès en matière de sécurité ne suivent pas l'engouement général pour cette e-technologie.

...

Faute d'une vraie résistance, certaines voix se font entendre : ce qui devrait être une évolution informatique douce est en réalité un marathon à marche forcée, une gadgetisation de la vie sociale et médicale, voire une addiction à des dispositifs médicaux pas forcément toujours utiles. Qui peut vivre aujourd'hui plus de cinq minutes sans son smartphone ?, nous glisse un MG actif sur les forums. Sa perte occasionne une peur panique chez son propriétaire qui ne réagirait pas davantage s'il avait oublié sa petite fille dans un parc public.Les questions sur la sécurité du secteur médico-sanitaire sont souvent sous-estimées par les autorités. Pourtant, la sécurité des données dans notre secteur est loin d'être réglée.Le cyber spécialiste Denis Makrushin qui a fait ses classes au Global Research & Analysis Team (GREAT) du Kapersky Lab, une imposante multinationale russe spécialisée dans la cyber-sécurité et fournisseuse de solutions ad hoc, décèle d'importantes failles autour des données de santé. Selon lui, les données personnelles du patient et les informations sur son état de santé constituent le principal vecteur d'attaque.De manière générale, les progrès techniques de ce type de dispositifs croissent plus vite que les niveaux de sécurité. Le spécialiste distingue les points d'entrée potentiellement dangereux suivants : les serveurs, postes de travail etc. connectés à internet, les dispositifs médicaux connectés au réseau de l'hôpital ou à un poste de travail, les dispositifs portables et mobiles (pompe à insuline, montres intelligentes) et les systèmes divers sans fil (holter, pulsoxymètre).Un fournisseur de bracelet avec capteur de fréquence cardiaque pourrait même utiliser les variations de la fréquence cardiaque de l'acheteur lorsque celui-ci voit une offre spéciale dans le magasin... Un tel bracelet compromis peut également servir de détecteur de mensonge ! Le chercheur pose donc que le cybercriminel peut suivre l'état de santé de sa victime et même l'influencer bien qu'on puisse douter de l'intérêt de la chose, hormis le chantage. Une deuxième voie d'entrée concerne le réseau informatique d'une institution hospitalière accessible via internet. Il s'agit de données diverses sur les patients (traitement, ordonnance, antécédents), les dossiers patients informatisés, les serveurs de stockage en réseau, l'archivage d'imagerie et même les imprimantes si elles sont connectées.Mais il est également possible d'avoir accès à des données critiques via des serveurs web non-médicaux installés dans le réseau de l'institution et accessible via internet comme les points d'accès Wi-Fi publics de l'institution médicale.jdM : Les hôpitaux et les institutions de soins prétendent souvent qu'elles sont sûres à 100%, qu'elles sont les pare-feux adéquats pour protéger les données patients. Mais pour vous il y a de nombreux points d'entrée pour des éléments malveillants. Quelles sont les plus grandes faiblesses des hôpitaux et des médecins selon vous ?Denis Makrushin : Les dispositifs médicaux comme les systèmes informatiques, peuvent avoir une vulnérabilité aux attaques lesquelles peuvent impacter la sécurité et l'efficacité des dispositifs. Cette vulnérabilité s'accroît dans la mesure où ils sont connectés à internet, aux réseaux hospitaliers et aux autres dispositifs.Mais la plus grand faiblesse est la mentalité : " Le système informatique du site hospitalier fonctionne correctement. Les médecins font parfaitement leur job. Et voilà." Non, ce n'est pas comme cela que ça marche. En dépit d'un fonctionnement correct du système informatique, des acteurs malveillants ont quand même des masses d'opportunités pour accéder à des données de santé non autorisées. Beaucoup de systèmes médicaux et de postes de travail sont connectés à internet. Et nous ne sommes pas sûrs que ces connections sont nécessaires d'un point de vue business. C'est une porte ouverte supplémentaire pour les cyber-criminels.Je ne comprends pas au premier abord l'intérêt des données de santé excepté si le patient est célèbre ou important, un homme politique par exemple ? Pouvez-vous expliquer dans quelle mesure ces données sont intéressantes pour un cyber-pirate?Les cybercriminels peuvent utiliser les données médicales pour les vendre sur le "marché noir". Les informations médicales sont par exemple très intéressantes pour les compagnies d'assurance. Les données sont aussi utiles pour cibler les attaques, faire du hameçonnage via des médications utiles qui atterrissent dans l'inbox de la victime pour qu'elle ouvre un fichier malicieux.Les dispositifs médicaux semblent le maillon faible. Comment renforcer leur protection ?La FDA (Food and Drug Administration) donne des recommandations pour atténuer et gérer les menaces cyber-sécuritaires dans le processus de développement et de production des dispositifs médicaux (comme par exemple, les pacemakers, les pompes à insuline, etc.). Elle publie un document qui explique comment les fabricants doivent gérer les menaces de ce type quand ils développent une large variété de nouveaux produits. Mais ceci ne concerne pas les produits qui ont déjà été vendus au moment où les recommandations ont été publiées. L'effet a toutefois été positif. Par exemple, en 2015, la FDA a demandé aux hôpitaux de ne plus utiliser une pompe à infusion particulièrement vulnérable, car elle permettait aux hackers de contrôler ce matériel à distance. Un commentaire sur l'attaque massive qu'ont subie notamment les hôpitaux britanniques vendredi dernier ?L'attaque porte le nom de WannaCry. Elle a utilisé une vulnérabilité propre à Microsoft Windows révélée déjà par une attaque des fameux Shadowbrokers le 14 mars dernier. Ceci souligne le fait que ces cyber-criminels sont de plus plus en plus créatifs et professionnels et qu'ils se convertissent en agresseurs de grandes organisations et n'attaquent plus de simples particuliers. Il est difficile d'estimer le nombre total d' " infections ". L' " entonnoir " Malwaretech en a répertorié 200.000. Ce qui n'inclut pas les infections des intranets. Ce qui porte le nombre de victimes à bien plus que cela. Le nombre d'attaques WannaCry détectées lundi était six fois moins grand que vendredi. Ceci suggère que l'infection est sous contrôle en début de semaine.Plusieurs experts français parlent d'une attaque d'une ampleur "sans précédent"...Il est vrai que la taille des entreprises attaquée par WannaCry (le NHS britannique, Telefonica, Gas Natural, la compagnie électrique Iberdrola en Espagne) et la nature de l'impact de ces derniers jours est sans précédent. On estime de notre côté plutôt à 120-130.000 le nombre d'attaques au total. Ce sont généralement les petites et moyennes entreprises qui souffrent le plus des rançonnages. Fin 2016, 42% des PME ont, selon nos informations, expérimenté ce type d'attaques.Les événements de ces derniers jours renforcent le fait que les petites entreprises ne peuvent se reposer sur leurs lauriers et simplement écarter d'un revers de main le risque d'être pris en otage pour des fichiers critiques.