Cyberdéfense à l'hôpital : une étude de cas

Femme sur un appareil d’analyse

Cyberdéfense à l'hôpital : une étude de cas

Les hôpitaux sont de plus en plus souvent la cible de hackers car ils sont toujours plus numérisés et en réseau. En parallèle, ils traitent des données hautement sensibles. À cela s’ajoute qu’à l’hôpital, tout est souvent une question de vie ou de mort au sens strict. Les pannes inattendues peuvent donc avoir de lourdes conséquences.
La numérisation offre d’immenses opportunités dans le secteur de la santé aussi. Cependant, elle donne aussi lieu à de nouveaux défis et risques, pour les hôpitaux par exemple. Ils sont particulièrement sensibles au cyberchantage. Leur position stratégique durant la pandémie a encore aggravé ce risque.

Cyber-attaque à l’hôpital de Wetzikon

L’hôpital de Wetzikon a lui aussi pu faire l’amer constat que les hôpitaux constituent une cible de choix pour les hackers: en octobre 2019, l’hôpital qui assure la prise en charge médicale de base de près de 55’000 personnes dans l’Oberland zurichois a été victime d’une attaque de hacker. Un ordinateur a été infecté par le cheval de Troie «Emotet» par le biais d’un e-mail frauduleux. Le logiciel s’est propagé sur le réseau, en chargeant d’autres programmes malveillants.

Une défense efficace grâce à une bonne préparation

Par chance, l’attaque de l’hôpital de Wetzikon s’est terminée sans trop de dégâts, rapporte Matthias Spielmann, CEO de l’hôpital: «Nous accordons une priorité maximale à la sécurité informatique et nous avons pris différentes mesures afin de nous protéger des attaques de hackers.» Le système crée notamment des sauvegardes régulières de toutes les données essentielles, qui sont enregistrées en dehors du réseau. La prudence et l’attention des employés joue également un rôle essentiel: «Grâce à nos collaborateurs attentifs, nous avons pu repérer l’attaque rapidement et nettoyer notre système sans attendre. Avec nos sauvegardes complètes, les données n’étaient pas perdues et nous avons pu les récupérer.» 

Une attaque aux conséquences dévastatrices

L’exemple d’une clinique universitaire allemande montre à quel point les cyber-attaques ciblant les établissements de santé peuvent avoir de graves répercussions: durant l’attaque de la clinique universitaire, plus aucune opération n’était possible, les urgences ont dû être fermées et les ambulances ne pouvaient plus accéder aux locaux. Le fonctionnement normal a été complètement compromis et même le Samu a dû être redirigé.

Les hôpitaux dans le viseur des hackers

Lorsque les hackers s’attaquent aux données de santé sensibles des patientes et patients et menacent de les publier, les conséquences ne sont pas aussi dramatiques, mais elles peuvent être nombreuses. Du fait de cette forme de cyberchantage, les dommages peuvent être très notables et les criminels réclament des rançons élevées en conséquence. D’après le «Cyber Security Report 2021» du spécialiste en sécurité informatique Check Point, au quatrième trimestre 2020, le nombre de cyber-attaques ciblant des hôpitaux a augmenté de 45 % dans le monde. Check Point commente elle-même cette hausse: «Attacks on health­care sector become an epidemic.» Et les hôpitaux suisses commencent à ressentir cette tendance. Il est donc d’autant plus important de mettre en place une protection efficace.

La législation se durcit elle aussi

Une cybersécurité défaillante se solde par des conséquences judiciaires de plus en plus graves: avec l’alignement de la loi suisse sur la protection des données (LPD) sur le Règlement européen sur la protection des données, les hôpitaux comme toutes les entreprises s’exposent à des sanctions plus strictes et sont soumis à des obligations d’information étendues; en outre, ils doivent tenir un répertoire du traitement. Les droits de la personne concernée ont également été renforcés. On ne sait pas encore à quelle date le Conseil fédéral décidera de l’entrée en vigueur de la nouvelle loi sur la protection des données.

La cybersécurité n’est pas qu’une question d’informatique

Il est essentiel que les hôpitaux comprennent leurs cyberrisques dans leur globalité. Les mesures techniques de sécurité modernes contribuent à réduire nettement le risque de sinistre. Mais ceux qui considèrent que la protection des données et systèmes infor­matiques est une simple question technique et d’informatique ne pourront pas se protéger com­plètement: en effet, les voies d’accès des criminels sont diverses. Souvent, ils misent également sur le facteur «humain», puisqu’il s’agit du maillon le plus faible de la chaîne de sécurité. Le manque de connaissances augmente considé­rablement le risque d’être victime d’une cyber-attaque. Par conséquent, les formations de sensi­bilisation à la cybersécurité forment partie intégrante du concept de sécurité. Ces formations ont pour but de sensibiliser les collaborateurs aux risques et de les former à l’attitude à adopter en cas d’attaque. 

Une bonne préparation est la meilleure des protections

L’exemple de l’hôpital de Wetzikon montre que les hôpitaux préparés aux cyber-attaques peuvent contrer de nombreuses attaques ou au moins réduire considérablement l’étendue du sinistre. Ainsi, il s’agit de renforcer la résistance des systèmes internes aux attaques et d’identifier les menaces au plus tôt. En effet, les cyber-attaques sont non seulement de plus en plus subtiles, mais aussi imperceptibles: il peut s’écouler plusieurs semaines voire plusieurs mois entre l’attaque initiale et l’utilisation finale du logiciel de cryptage. Pendant ce temps, les criminels peuvent évoluer plus ou moins librement sur le réseau. Pour identifier les signaux précoces de l’immiscion de hackers, il faut donc contrôler son réseau interne régulièrement. 

Mieux maîtriser les cyber-attaques grâce à un plan d’urgence informatique

En plus de mesures de prévention efficaces, chaque hôpital doit impérativement disposer d’un plan d’urgence informatique. En effet, dès lors que des systèmes informatiques importants sont attaqués et compromis, il convient de réagir vite. Un tel plan d’urgence comprend l’entraînement aux processus de restauration ou la simulation de scénarios permettant de maintenir les fonctionnalités élémentaires en mode d’urgence en situation de crise informatique, de façon à ce que les processus essentiels ne soient pas interrompus ou ne le soient que brièvement. Après l’attaque du hacker, l’hôpital de Wetzikon a lui aussi renforcé ses mesures de sécurité, comme l’explique Matthias Spielmann: «Nous étions déjà prudents avant, mais nous avons encore renforcé davantage nos mesures de sécurité. Cela comprend des formations régulières pour les collaborateurs, des mises à jour de sécurité et un système de sauvegarde encore plus pointu.

Matthias Spielmann
Matthias P. Spielmann, CEO GZO Spital Wetzikon

Interview: Matthias P. Spielmann, CEO GZO Spital Wetzikon

Pourquoi l’attaque de hacker dont l’hôpital GZO Spital Wetzikon a été victime en octobre 2019 a-t-elle pu être si bien maîtrisée?
Le GZO Spital Wetzikon avait déjà réalisé un audit de sécurité informatique approfondi avant l’attaque du hacker. L’audit avait pour objectif d’apporter de la clarté sur les potentielles failles de sécurité et de les corriger. Par chance, grâce à cette bonne préparation, l’attaque s’est terminée sans trop de dégâts. Le cheval de Troie «Emotet» s’est introduit dans le réseau via un e-mail interne falsifié, qui paraissait pourtant plus vrai que nature. À l’ouverture de la pièce jointe, le cheval de Troie s’est propagé sur notre réseau informatique, en chargeant d'autres programmes malveillants. Grâce à nos collaborateurs attentifs, nous avons pu repérer l’attaque rapidement et nettoyer notre système sans attendre.

Quelle est l'importance du facteur temps dans cette situation?
Le fait que nous ayons détecté l’attaque aussi rapidement et pu réagir sans attendre a été déterminant. Ainsi, nous avons pu maintenir le fonctionnement normal de l’hôpital de Wetzikon malgré l’attaque et aucune donnée de patient n’a été cryptée ou perdue. Une équipe d’experts est toutefois intervenue durant plusieurs semaines pour contrôler et nettoyer tous les appareils. Au regard de l’étendue de la tâche, l’intervention a coûté cher.

Qu’avez-vous appris suite à l’attaque? Quels changements avez-vous opérés?
L'attaque nous a appris que la cybercriminalité avait atteint un nouveau niveau – nous faisons face à des menaces d’une tout autre ampleur. La cybercriminalité nous concerne tous et outre une bonne prévention, chaque hôpital doit impérativement mettre en place un plan d’urgence informatique. La surveillance permanente et des temps de réaction rapides sont également décisifs pour parvenir à lutter contre de telles attaques. L’attaque nous a montré que les hôpitaux bien préparés parviennent à contrer les attaques ou au moins à réduire considérablement l’étendue du sinistre. Néanmoins, après l’attaque, nous avons encore renforcé nos mesures de sécurité et investi dans de nouvelles mesures de protection informatique. Un des aspects essentiels de notre concept de sécurité consiste à former et sensibiliser régulièrement nos collaborateurs. 

Plus d’articles

L’histoire de notre client Planted: la recette revisitée de la viande

La start-up Planted fait fureur avec ses spécialités végétales innovantes.
médecin parlant au patient

Responsabilité civile professionnelle pour les professions médicales et de la santé

En médecine, des petites erreurs peuvent avoir de lourdes conséquences. Voici comment se protéger quand le pire arrive.