Projets

La cybersécurité des hôpitaux connectés est trop négligée

Les hôpitaux manquent de vigilance sur leur vulnérabilité et celles de leur éco-système (photo DR).

De plus en plus exposés eux-mêmes ou par leurs prestataires, les hôpitaux doivent réagir estiment Hitrust et Trend Micro.

PublicitéAu mois de mai 2017, le rançongiciel Wanacry a répandu ses méfaits dans 150 pays et sur 300 000 ordinateurs, s'en prenant à des entreprises aussi diverses que FedEx ou Renault. Il a aussi infecté un grand nombre d'établissements hospitaliers, particulièrement en Grande-Bretagne et en Espagne. Un cauchemar. De telles attaques peuvent atteindre aussi bien des systèmes de soins, paralyser un service de chirurgie par exemple, que des données de santé, essentielles pour un traitement ou pour la connaissance médicale et la protection personnelle des patients.

Hitrust, organisme non lucratif spécialisé dans la protection des données de santé, est revenu dans une étude, en association avec Trend Micro, sur cet aspect de la cybersécurité. Et sur un paradoxe : les patients bénéficient de plus en plus de services connectés, en même temps la surface d'attaque augmente. Les cybercriminels vont pénétrer les systèmes médicaux, voler des données, exécuter des botnets, installer des rançongiciels. Les chercheurs de Trend Micro mettent plus en particulièrement en lumière la vulnérabilité de la chaîne d'approvisionnement des hôpitaux. Les systèmes de santé sont de plus en plus dépendants de leurs fournisseurs et des opérations réalisées dans le cloud.

Des infrastructures réseau mal configurées

L'étude observe que trop de systèmes de santé sont détectables via l'Internet public. Le terminal ou le protocole est alors accessible à distance souvent suite à des négligences. Par exemple, des infrastructures réseau mal configurées favorisent un accès direct aux périphériques, à l'IoT, et au système, de même des connexions internet requises pour que le système ou le terminal fonctionne correctement offrent des vulnérabilités. Enfin, les accès à distance, activés pour le dépannage ou les opérations à distance, sont également très critiques dans le monde de la santé.

L'étude scrute plusieurs points particuliers. L'imagerie médicale avec la norme Dicom, Digital imaging and communications in medicine, permet de stocker et d'afficher des informations d'imagerie médicale, de manière interopérable sur des dispositifs tels que les scanners, les serveurs, les stations de travail, les imprimantes, les réseaux. Utile pour les IRM, l'échographie, la radiographie, la radioscopie, l'angiographie, la mammographie, l'endoscopie. En se basant sur le moteur de recherche Shodan, l'étude montre qu'une vingtaine de pays ont des serveurs Dicom exposés, les Etats-Unis arrivent largement en tête, la France est dixième.

Des bases de données cryptées par des ransomwares

Concernant les bases de données, Hitrust et Trend Micro notent évidemment qu'elles constituent des trésors de données critiques ce qui les rend potentiellement lucratives pour des pirates. Avec deux menaces majeures : le vidage complet de bases de données et leur cryptage par des ransomwares, les pirates exigeant le paiement pour libérer des clés de décryptage. Selon Shodan, MySQL est la base de données la plus utilisée et la plus exposée dans les hôpitaux, devant MS-SQL et PostgreSQL. MongoDB, base de données NoSQL, est en progression dans ce secteur.

PublicitéSouvent oubliées, les chaînes d'approvisionnement sont particulièrement menacées. La liste est longue des méfaits potentiels. Un pirate peut exfiltrer des informations confidentielles, introduire une fonction ou un design non désiré, perturber les opérations quotidiennes, manipuler des données, installer logiciels malveillants, introduire des dispositifs contrefaits, et affecter la continuité des activités. Ces chaînes, leurs systèmes de gestion, le traitement d'opérations dans le cloud avec ses fournisseurs et sous-traitants ouvrent de multiples failles. Les systèmes de santé sont passés trop rapidement de systèmes fermés à systèmes ouverts.