Les systèmes cliniques des hôpitaux suisses sont vulnérables
Selon l’analyse de l’Institut national de test pour la cybersécurité, les systèmes cliniques utilisés dans les hôpitaux suisses présentent des failles de sécurité et ne sont pas suffisamment testés, alors même qu’ils traitent des informations sensibles et supportent des processus critiques.
L’Institut national de test pour la cybersécurité (NTC) s’est penché sur les systèmes cliniques employés dans les hôpitaux suisses. Et les résultats ne sont pas bons. Les spécialistes ont découvert une quarantaine de vulnérabilités dans les trois systèmes évalués, à savoir le logiciel KISIM de l’éditeur alémanique Cistec, la solution allemande inesKIS et le système de l’américain Epic, utilisé par l’Hôpital de l’Ile à Berne et favori dans les procédures d'achat en cours du CHUV et de l’Hôpital universitaire de Zurich.
Le NTC souligne le caractère pivot de ces systèmes dans les hôpitaux, servant à traiter aussi bien les données sensibles des patients que les résultats des laboratoires ou encore la communication entre services. «Une panne du système aurait des répercussions considérables tant sur les soins médicaux que sur les processus organisationnels», avertissent les auteurs du rapport.
En dépit de leur caractère critique, la cybersécurité des systèmes cliniques est rarement testée, relève le NTC. La faute notamment à la pression sur les coûts, au manque de sensibilisation en la matière et à des responsabilités mal définies, relèvent encore les auteurs sur la base de leurs entretiens avec les hôpitaux.
Lors des tests effectués dans les hôpitaux dans des conditions réelles, le NTC a identifié quatre types de vulnérabilités: problèmes fondamentaux liés à l’architecture, absence ou mise en œuvre incorrecte du cryptage des communications entre les systèmes concernés, systèmes connexes vulnérables, et séparation insuffisante entre les environnements de test et de production.
Certaines vulnérabilités se sont avérées particulièrement critiques. «De nombreuses failles découvertes sont si flagrantes et faciles à exploiter qu’elles ont permis de prendre le contrôle total du système et des données de patients contenues en l’espace de quelques heures après le début des tests», indique le rapport. Il est précisé que les vulnérabilités ont été communiquées aux éditeurs et que la plupart des failles importantes ont été éliminées ou désamorcées par des mesures d’atténuation.
Le rapport du NTC, et c’est là l’essentiel, fait plusieurs recommandations aux responsables de la cybersécurité des hôpitaux. Les auteurs préconisent noptamment de formuler clairement les exigences de cybersécurité lors des appels d’offres, de bien séparer les environnements de test et de production, d’installer régulièrement les mises à jour y compris pour les dispositifs médicaux en réseau et d’opérer régulièrement des analyses de vulnérabilités, voire des tests de pénétration et autres bug bounty pour les applications les plus critiques.
Il leur est également conseillé de bien définir les responsabilités en matière de protection des données et de continuité des systèmes, d’échanger régulièrement avec les autres hôpitaux et de ne pas signer d’accords de confidentialité préservant uniquement les intérêts des éditeurs.
