Un test réalisé par les hackers éthiques de Check Point révèle que les appareils hospitaliers reposant sur un système d’exploitation désuet sont aussi très sensibles aux intrusions et autres tentatives de piratage – une information confirmée aux services de la radio-télévision publique flamande VRT par plusieurs informaticiens hospitaliers, qui ont toutefois choisi de conserver l’anonymat.
En soi, la nouvelle n’a pas vraiment de quoi surprendre. Le Spécialiste avait en effet déjà signalé dans le passé que des milliers de pacemakers étaient exposés à des risques de ce type… et apparemment, il en va de même pour les appareils d’échographie, scanners et équipements de laboratoire dont le système d’exploitation n’est pas ou plus adapté.
Avec son équipe de 200 hackers éthiques, la firme israélienne Check Point, spécialisée dans la sécurité sur internet, s’attache 24 heures sur 24 à identifier les points faibles de toutes sortes de réseaux. Elle est notamment parvenue à s’insinuer sans grandes difficultés dans les entrailles informatiques d’un système d’échographie reposant sur Windows 2000… et même à y intervertir des examens. «Nous avons également pu accéder à l’intégralité du dossier médical du patient concerné», a précisé Christof Jacques de Check Point.
On ignore combien de scanners, d’appareils d’échographie et d’ECG basés sur un système d’exploitation désuet sont encore en circulation, mais on peut supposer qu’ils se retrouvent surtout dans les petits hôpitaux, les établissements plus importants étant en principe bien sécurisés.
D’après Christof Jacques, le problème est que «nombre de ces machines tournent encore sur Windows XP ou Windows 2000, des systèmes d’exploitation qui ne disposent plus des ‘patches’ nécessaires – de petits bouts de logiciels qui leur assurent une sécurisation supplémentaire. C’est d’ailleurs pour cette raison que Windows a annoncé il y a un bon moment déjà la fin du support pour ces deux systèmes d’exploitation.»
Besoin d’un code de conduite
Un informaticien actif au sein d’un hôpital de taille moyenne aurait déclaré à la VRT qu’un certain nombre d’appareils onéreux ayant déjà quelques années au compteur ne sont pas remplacés «parce que cela coûte une fortune»… «mais ils n’en sont pas moins connectés à internet sans aucune attention aux risques potentiels». Une désinvolture qui n’est sans doute pas sans lien avec le fait que l’entretien peut alors se faire à distance et à moindre coût, puisqu’il n’est pas nécessaire de faire venir quelqu’un sur place. Là encore, l’effet des économies pour les établissements de soins se fait donc clairement sentir: l’achat de nouveaux appareils plus sûrs est reporté et les services informatiques sont sous-staffés. «Sachant que notre groupe hospitalier emploie plusieurs milliers de personnes, nous pouvons difficilement contrôler que chaque connexion internet est effectivement sûre», témoigne un autre informaticien, qui plaide avant tout en faveur d’un code de conduite. «Pour l’instant, n’importe qui peut pousser la porte et connecter son portable au réseau.»
Marc Monballieu, directeur IT à l’AZ Maria Middelares à Gand, a connaissance de deux appareils qui utilisent encore Windows XP dans son établissement, «mais ils ne sont pas connectés. Nous contrôlons aussi en permanence les éventuels risques auxquels notre réseau pourrait être exposé et nous disposons de deux ‘pare-feux’ (firewalls), l’un interne et l’autre externe. Lorsqu’une entreprise extérieure veut accéder à un appareil, elle aura accès uniquement à celui-ci.»
Maria Middelares assure à son réseau une protection supplémentaire en le compartimentant, de telle sorte qu’un pirate informatique qui parvient à y pénétrer ne pourra jamais le bloquer complètement. Un point important puisque, «comme dans bien d’autres secteurs, il n’est jamais possible d’éviter complètement tout risque d’attaque». Une réalité confirmée par Frank Robben, le big boss d’e-Health, qui préconise de son côté les mesures suivantes: “Plutôt que de concentrer les dossiers-patients sur un serveur unique, mieux vaut les répartir entre différents endroits. Il est également important que les messages échangés entre prestataires de soins soient encryptés: s’ils sont interceptés, il sera alors impossible de les lire.”
Les hôpitaux représentent pour les hackers une cible passablement convoitée, comme l’a encore démontré il y a deux semaines l’attaque lancée contre l’hôpital André Renard de Herstal. Les pirates – vraisemblablement un groupe russe – sont parvenus à paralyser complètement le réseau de l’établissement, à qui ils ont ensuite réclamé quelques milliers d’euros pour le débarrasser du virus.
Bien consciente qu’un certain nombre d’appareils reposant sur un système d’exploitation dépassé sont encore en circulation, la fédération des producteurs de technologies médicales BeMedTech appelle les hôpitaux à faire entretenir leurs appareils en temps utile et à les remplacer si nécessaire. L’association réclame également des directives univoques pour l’entretien des appareils hospitaliers.
L’an dernier encore, l’AZ Turnhout a été victime d’une tentative de chantage aux données-patients dérobées, mais heureusement sans grand succès. Karel Dekyvere, responsable sécurité chez Microsoft, avait prédit ces risques de longue date; il a eu l’occasion de venir en parler au congrès MemHo organisé l’an dernier par Le Spécialiste.
> Lire également: L’AZ Turnhout victime de chantage pour des données de patients volées
C'est une bonne chose de rappeler au corps médical cette réalité connue depuis plus de dix ans : il existe un sous-investissement en informatique médicale pour les systèmes et les compétences qui ne relèvent pas du dossier patient informatisé, ce dernier focalisant l'attention.
— Sébastien Jodogne (@sjodogne) 10 avril 2019
C’est un peu comme en #Wallonie: sous investissement dans l’infrastructure, sous investissement dans l’éducation… Et on paye des salaires, des congés, de l’indexation, des lobbys, des avantages sociaux…
— Gilbert Bejjani (@drbejj) 12 avril 2019
Il faut en tout cas renforcer l'éducation aux technologies dans le domaine médical. Tout étudiant devrait avoir accès à des logiciels qui leur permettent de se familiariser à un environnement professionnel depuis leur domicile. C'est un des buts d'Orthanc en imagerie médicale.
— Sébastien Jodogne (@sjodogne) 12 avril 2019
Et après l’éducation, intégrer l’idée que le médecin a besoin d’outils performants pour travailler....
— Gilbert Bejjani (@drbejj) 12 avril 2019