Des SI particulièrement à risques

Qu’est-ce qui amènent les hackers à « pousser » la porte des établissements de santé ? Sur le plan technique, leur surface d’attaque est nettement plus étendue que dans la plupart des entreprises ou entités publiques. Président de l’Apssis (association pour la promotion de la sécurité des systèmes d’information de santé) et ex-DSI de l’hôpital du Mans, Vincent Trély estime : « Un établissement important peut compter 300 applications. » Autre facteur, la majeure partie des équipements médicaux sont aujourd’hui numériques et connectés aux SI. Des équipements souvent prévus pour des durées d’utilisation longues, parfois 20 ans ou plus. Résultat, la connexion qui passe largement par des réseaux sans fils n’est pas toujours sécurisée au mieux. Illustration, le protocole d’échange entre un scanner ou une IRM en fonction depuis 10 ans et le serveur qui récupère les images est souvent obsolète. Les RSSI n’ont bien sûr pas le pouvoir de refuser la mise en place de ces dispositifs et ont un peu de mal à imposer aux fournisseurs des exigences en termes de sécurité. Conséquence, sur le terrain, ces équipements de pointe sont encore souvent basés sur des OS anciens. « Les fournisseurs ne mettent pas toujours à jour les firmwares des IoT médicaux », confirme François-Christophe Jean, Field Technical Director de Cohesity France, qui a travaillé dans l’IT hospitalière. De son côté, Pierre-Antoine Failly Crawford de Varonis décrit : « Une mission récente pour un hôpital français nous a amené entre autres à superviser les requêtes DNS. Surprise, un séquenceur, chargé d’effectuer les analyses de sang, tentait régulièrement de se connecter à des serveurs connus pour être des vecteurs de diffusion du vers Conficker. » Pour rappel, ce vers est connu pour sa rapidité de contamination et sa capacité à saturer les réseaux. Utilisé depuis 2009, le séquenceur fonctionnait sur Windows XP avec les failles connues de l’époque. « Un changement d’OS était impossible parce qu’une partie du hardware avait été adaptée spécifiquement pour XP », ajoute Pierre-Antoine Failly Crawford. Une « infection » heureusement sans conséquences, Conficker a été stoppé depuis quelques années. Aujourd’hui, les équipements présentent toujours des failles critiques. Le Cert santé a lancé une alerte**** le 29 mai dernier listant 11 vulnérabilités dont 4 critiques sur un appareil de la gamme GE HealthCare Vivid Ultrasound et sur les logiciels associés. Les conséquences de ces dernières pouvant aller de l’implantation de rançongiciel sur cet échographe à l’accès et à la manipulation des données des patients stockées sur ces appareils. Pour exploiter ces failles, l’attaquant a besoin d’un accès physique à l’appareil pendant une minute seulement. Les risques liés à ces équipements IoT médicaux sont d’autant plus d’actualité que leur nombre augmente sans cesse. Outre les scanners, séquenceurs, … déjà en place, les fourchettes, cannes … connectées se banalisent. Et, « en matière de protection, une fourchette égale un IRM », souligne Vincent Trély de l’Apssis.  

Plus classique, le SI de gestion, en particulier l’Active Directory de Microsoft est également une porte d’entrée utilisée par les cybercriminels. « Si beaucoup d’hôpitaux gardent les données médicales sur site, la même proportion a opté pour 365 et l’AD de MS », décrit Vincent Trély. Un choix qui ne s’accompagne pas toujours d’une gestion rigoureuse des comptes à privilèges. Facteur aggravant, une fois les cyberattaquants entrés dans les SI, les attaques sont facilitées parce qu’« une partie des réseaux hospitaliers sont toujours à plat », souligne Pierre-Antoine Failly Crawford de Varonis. Sur un autre plan, la fragilité de ces SI tient à la nature de l’hôpital : Il n’est pas imaginable de contrôler toutes les allées et venues des patients, visiteurs, familles, professionnels de santé ou autres. Ce qui facilite les accès à une bonne partie des équipements numérique et même de certains postes de travail. Un risque aggravé par le manque de maturité d’une partie des utilisateurs sur le sujet de la cybersécurité. Trop de postes restent ouverts. « La centaine de tests d’intrusion que j’ai mené dans ces établissements en tant qu’auditeur et consistant à infecter un poste ont toutes réussies », résume Pierre-Antoine Failly Crawford. Une autre faiblesse, plus contextuelle, découle du rattachement en cours des SI des petits hôpitaux à celui des Groupement Hospitalier de Territoire – GHT - dont ils dépendent. Depuis la loi de santé 2016, quelques 850 hôpitaux doivent se coordonner et mutualiser leurs ressources dans 135 GHT. Au niveau de l’IT, cette mutualisation se traduit par des risques cyber.