Interview Trend Micro : Vol massif de données de patients aux USA : et les hôpitaux en France ?

Récemment, le vol des données de 4,5 millions de patients d’une chaîne d’hôpitaux aux Etats-Unis (206 établissements, 29 Etats) a fait du bruit. En cause : la faille HeartBleed (vulnérabilité affectant la sécurité du protocole SSL) aurait été exploitée pour mener cette cyber-attaque menée probablement dans la période avril- juin.

De nombreuses organisations avait ainsi dû prendre des mesures en urgence pour combler cette faille mais il reste des lacunes de sécurité IT. HeartBleed représente toujours un danger.

Sommes-nous en sécurité avec nos hôpitaux en France ? Loïc Guézo, Evangéliste Sécurité de l’Information pour l’Europe du Sud chez Trend Micro, revient sur ce thème et explique pourquoi la vigilance s’impose.

L’éditeur de solutions de sécurité (d’origine japonaise) s’intéresse notamment au secteur de la santé (tout comme d’autres secteurs), en collaboration avec des partenaires spécialisés comme APX.

(Interview réalisée par écrit dans la semaine du 1 au 5 septembre 2014)

ITespresso.fr : Les hôpitaux français pourraient-ils rencontrer des soucis semblables à ceux de la chaîne d’hôpitaux visée par une attaque aux Etats-Unis ?

Loïc Guézo : L’incident de sécurité relatif à la chaîne d’hôpitaux aux USA est intéressant à plusieurs égards. Il s’agit tout d’abord d’une importante fuite de données sensibles : noms, adresses, dates de naissance, numéros de téléphone et numéros de sécurité sociale de quelques 4,5 millions de patients. Il est intéressant de noter que cette situation a été rendue publique mi-août alors que l’attaque initiale est supposée avoir eu lieu en avril et juin, soit 3 mois avant.

Pourquoi ce délai ? La société Community Health Systems, basée dans le Tennessee, a communiqué par le biais d’une obligation de déclaration auprès de l’US Security and Exchange Commission. Elle a ainsi indiqué avoir été victime d’une attaque ciblée persistante (APT) provenant d’un groupe probablement basé en Chine, ayant utilisé des logiciels malveillants spécifiques pour attaquer et s’introduire dans son système d’information.

Les technologies informatiques utilisées dans les systèmes de suivi de patients en France et aux Etats-Unis étant  les mêmes, il n’y a aucune raison que ce type d’attaque ne se produise pas en France. Il est bien entendu de la responsabilité de l’hôpital de protéger les données nominatives personnelles ou médicales qui lui sont confiées, mais, si des hôpitaux français utilisent des moyens « externes » mutualisés (dans le cadre d’un Groupement), alors le niveau de sécurité va bien évidemment dépendre de celui des sous-traitants. Aujourd’hui, de nombreuses attaques (comme Target) utilisent ces moyens détournés, plus simples qu’une attaque frontale…

Concernant la préparation spécifique du secteur hospitalier français, je vous recommande la lecture du Rapport MIPS 2014 du CLUSIF qui en dresse un excellent panorama (voir document PDF). On y constate qu’en 2010, 37% d’entre eux avait un RSSI (responsable de la sécurité des systèmes d’informations) et que ce chiffre est aujourd’hui de 60%, reflet d’une accélération de la sensibilisation aux risques numériques.

ITespresso.fr : L’organisation de la santé est différente entre la France et les Etats-Unis. Mais les menaces autour de la digitalisation sectorielle sont-elles semblables ?

Loïc Guézo : Les menaces sont effectivement semblables. En France, elles sont appréhendées dans le cadre du programme « Hôpital Numérique », lancé fin 2011. Cette stratégie a défini un plan de développement et de modernisation des systèmes d’information hospitaliers (SIH), avec des priorités et objectifs à 6 ans, en mobilisant tous les acteurs concernés et en accompagnant les établissements de santé dans leur transformation par les technologies de l’information et de la communication.

La stratégie et le programme ont été élaborés et sont suivis par une équipe projet pilotée par la DGOS, et associent la Délégation à la Stratégie des Systèmes d’Information de Santé (DSSIS), l’Agence Nationale d’Appui à la Performance des établissements de santé et médico-sociaux (ANAP) et l’Agence des Systèmes d’Informations Partagées de santé (ASIP Santé). Au sein de cette dernière, la sécurité du SIH est clairement une priorité, comme le montre son dernier rapport d’activité (messageries sécurisées, DMP, agrément des hébergeurs de données de santé, référentiels de sécurité, carte CPS…)

ITespresso.fr : Avez-vous déjà entendu parler d’un piratage important sur des établissements hospitaliers en France ?

Loïc Guézo : Curieusement ces sujets ont peu fait l’actualité en France. Pourtant le contexte y est malheureusement favorable.

Le rapport CLUSIF MIPS montre bien que l’emploi des technologies anti attaque ciblée est plus faible et moins répandu dans les hôpitaux que dans les autres industries. Par ailleurs, dans les cas de recours à l’infogérance, 70% des établissements n’auditent pas leur prestataire (un pourcentage qui passe à 50% pour les établissements de plus de 1 000 lits). Dans ces conditions, il est difficile pour un hôpital français de savoir quel est son niveau de risque face à ces attaques potentielles : seuls 28% des interrogés déclarent faire un test d’intrusion par an…

Toujours selon ce rapport, aujourd’hui, le principal moteur de progrès reste le programme Hôpital Numérique : 9 établissements sur 10 affirment être conformes ou en cours de mise en conformité aux prérequis sécurité d’Hôpital Numérique (fiabilité, disponibilité, confidentialité) ; la conformité par rapport aux exigences de la CNIL restant, quant à elle, à améliorer. Cette même CNIL n’a pour l’instant mis en demeure qu’un centre hospitalier pour non-respect de la confidentialité des données de santé (décision d’octobre 2013 à l’encontre du Centre Hospitalier de Saint-Malo).

Un nouveau sujet majeur est apparu récemment et concerne bien évidemment la déclinaison de l’IoT (objets connectés) grand public en milieu hospitalier : les multiples équipements sondes, scanners, etc. sont désormais totalement informatisés et peuvent être maintenus à distance par Internet… Dans quelle mesure leurs risques associés sont-ils perçus et comment sont-ils sécurisés ? L’avenir nous le dira.

Quiz : Connaissez-vous l’e-réputation ?