Qu’est-ce qui rend les systèmes informatiques de santé difficile à protéger ?

Aujourd’hui la protection des systèmes informatiques des services de santé pose un réel problème.

Et cela dans un contexte où nous pouvons observer librement la multiplication des attaques informatiques dans le secteur. La question n’est plus de savoir pourquoi ces attaques augmentent de plus en plus. On doit juste pas chercher à comprendre Ce qui rend aussi vulnérable les systèmes informatiques des établissements de santé ? Est-ce dû à quelques complications liées intimement au secteur ? La question est juste posée. Les spécialistes les spécialistes tablent là-dessus.

Cet article va aussi vous intéresser : Les recommandations de l’Union Européenne pour la protection des hôpitaux contre les attaques informatiques

« La sûreté, qui consiste à lutter contre les défaillances et les erreurs, et la sécurité, qui vise les attaques délibérées, sont aujourd’hui traitées comme des activités distinctes. Or, dans le domaine de la santé où les données sont bien souvent confidentielles, il s’agit de concepts étroitement liés, en particulier depuis la mise en œuvre du RGPD. Faute de solutions idéales, il faut alors se contenter de compromis imparfaits. », explique LEIF Nixon, expert en sécurité informatique chez Sectra Communications. « Les accès aux bases de données ont ainsi été strictement limités aux seules personnes authentifiées via une procédure sécurisée. Mais l’urgence médicale s’accommode mal des verrouillages d’écran et autres mots de passe oubliés. D’où la mise en place de dispositifs de type « bris de glace » permettant de contourner le contrôle d’accès normal en cas d’urgence, voire de solutions plus pragmatiques consistant à placer la souris d’ordinateur à l’intérieur d’un agitateur pour empêcher l’activation du verrouillage d’écran. » précise le spécialiste.

La nature des systèmes informatiques des établissements des santés est tripartite. Le fait qu’elle se constituent à trois niveaux aggrave sa complexification. Il se détaille comme suit :

– Le premier niveau est destiné typiquement à la gestion des tâches quotidiennes de bureautique. Cette partie ne fait pas l’exclusivité pour le système de santé. Donc la pratique Générale peut aider à l’améliorer

– Quand au second niveau, il est beaucoup misé sur les dispositifs médicaux. « Beaucoup contiennent des ordinateurs intégrés dont les mises à jour ne sont plus supportées par le fabricant. Les placer dans des réseaux entièrement isolés peut alors empêcher les personnels d’accéder à leurs données médicales depuis un poste distant, ce qui peut être problématique pour assurer la continuité des soins ou échanger avec des opérateurs tiers. » explique notre spécialiste.

– Quant au troisième niveau, il n’est pas très bien connu il faut l’avouer.  C’est à ce stade qu’on parle de système de contrôle et d’acquisition de données. Un système qui gère l’ensemble des aspects plus ou moins vital de l’établissement à savoir l’électricité, le chauffage, la ventilation… S’il est certain que cette partie est plus que vitale pour l’établissement, elle généralement négligée voir mis de côté lors de la définition de la sécurité informatique du système dans son ensemble. Pourtant il n’est pas à l’abri des attaques informatiques dont les conséquences peuvent s’avérer dramatiques. On pense par exemple à un rançongiciels qui pourrait faire stopper le fonctionnement de la ventilation ou même de l’électricité lors d’une opération chirurgicale par exemple, mettant alors en danger les patients sur le coup.

« À cette complexité technique s’ajoute un véritable dédale règlementaire. Par exemple, en ce qui concerne le système de distribution d’oxygène médical, la responsabilité des canalisations physiques revient à l’installateur, tandis que celle du produit médical est du ressort d’un professionnel de santé. L’industriel n’est pas en reste, la règlementation imposant la mise en place d’un service interne de sécurité pour les gaz sous pression. À qui incomberait alors, en dernier ressort, la sécurité informatique ? Ce manque de clarté dans les chaînes de responsabilité augmente les risques et complexifie la mise en œuvre d’une politique de sécurité informatique cohérente. » note Leif Nixon.

Malheureusement selon plusieurs approches techniques, on ne peut pas résoudre tout ce problème avec une solution universelle. Car il en existe pas. Il faudra alors procéder par étape et être patient. À ce propos, Leif Nixon souligne : « Trouver des solutions efficaces sera long et nécessitera une étroite collaboration entre toutes les parties prenantes. Les fabricants d’équipements médicaux doivent s’efforcer d’améliorer la sécurité de leurs produits, les tutelles doivent tenter d’établir une coopération internationale efficace, et les établissements de santé doivent s’attacher à renforcer leur sécurité de manière continue et progressive. »