Environ 40 % des vulnérabilités détectées risque d’être divulguées

Selon l’agence du numérique en santé ANS, plus du tiers des failles de sécurité détectées, soit 37 % lors des audits de la branche de sécurité informatiques de ladite agence risque de causer la divulgation des données confidentielles des patients.

La confirmation a été donnée par un spécialiste de la cyber-surveillance de l’agence du numérique en santé Cédric Bertrand durant une conférence en ligne le 5 octobre dernier.

Le service de surveillance informatique de l’agence du numérique en santé se déploie depuis presque 1 ans pour effectuer des audits externes de sécurité informatique, à la demande à des structures de santé. Depuis son entrée en service il y a plus d’un an maintenant, l’agence à auditer a audité une soixantaine de structures, en particulier des groupements hospitaliers de territoire » note l’expert Cédric Bertrand.

Le service de cyber-surveillance se sert aussi des signalements des incidents à la cellule d’accompagnement de sécurité informatique des structures de santé, un autre service rattaché à l’Agence nationale du numérique en santé.

On rappelle que depuis le 1er octobre 2017, les organismes de santé ont l’obligation de relayer tous les incidents de sécurité informatique ayant un caractère grave ou même significatif près des Agences Régionales de Santé (les ARS). Une fois fait, l’agence de numérique en santé est chargée alors d’appuyer la structure touchée par l’incident informatique. De façon concrète, le service chargé de la surveillance informatique procède à l’analyse des sous domaines des établissements concernés. L’objectif est détecté l’éventuelle faille de sécurité, tu pourrais permettre par exemple un accès à des données confidentielles non protéger. Parlant de sous domaines, il faut noter que ce sont des extensions du nom de domaine principal, permettant ainsi d’accéder ab section particulier du site ou de l’application à travers un lien. Prenons l’exemple de cette adresse : « etablissements.fhf.fr ». Ici le sous domaine est « établissements » du nom de domaine « fhf.fr ».

Les organismes de santé qui ont été audités par le service de cyber-surveillance possédaient en tout 103 noms de domaines. « Cela peut paraître énorme, mais c’est dû au fait que nous auditons principalement des GHT qui se composent d’un CHU et de plusieurs petits CH qui ont chacun leurs domaines » ont signifié Cédric Bertrand. « Certains grands CHU ont jusqu’à 400 ou 500 domaines qui représentent autant de portes d’entrée potentielles pour un attaquant » ajoute ce dernier.

Au-delà de la divulgation d’information des patients, les failles de sécurité les plus répandus touchent :

– à 23 % l’implémentation de la cryptographie

– à 11 % la gestion de la configuration logicielle

– à 18 pourcents la gestion des correctifs de sécurité

– à 10 % le défaut de contrôle d’accès

Il a été détecté en moyenne environ 27 failles de sécurité par structures auditées. 8 de ces vulnérabilités ont été qualifié de forte et 12 de moyennes. 7 sont considérées comme étant faible selon l’ANS.

On note que les vulnérabilités les plus graves qui ont été détectées sont :

– l’absence de mise à jour dans un système d’exploitation dans 37 pourcents des cas

– la présence dans le système de composants obsolète dans 37 pourcents des cas

– la possibilité d’injecter des codes malveillants dans une application hauteur de 21 % des cas

– l’accessibilité des serveurs de développement à 21 % des cas

Selon Cédric Bertrand, les deux dernières vulnérabilités sont causées par de « mauvaises pratiques de développement ». Et pire encore, 80 % des établissements audités, une faille de sécurité répandue « permettait de prendre le contrôle d’au moins un serveur ou d’accéder à des données confidentielles ».

Le risque est devenu aujourd’hui notoire. Dans tous les sens, on se rend compte que la cybercriminalité qui est beaucoup en hausse, est en train de bouleverser d’une certaine manière l’intégrité et l’efficacité des structures de santé. Ce qui signifie, que les responsables de ses structures et des agences gouvernementales doivent encore plus redoubler d’efforts. Plus de moyens doivent être consacrés à cette lutte. D’un notre côté, la sensibilisation doit être au cœur de cette stratégie, car comme on le sait l’humain est le maillon faible de la chaîne de la cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :