La vulnérabilité des systèmes informatiques des établissements de santé selon L’ANSSI
Face à la situation grandissante des cyberattaques qui ciblent les établissements de santé en France, l’autorité en charge de la cybersécurité l’Agence Nationale de sécurité des systèmes d’information a décidé de dresser un portrait des failles de sécurité qui affecte les systèmes d’exploitation et d’informations des établissements de santé dans leur ensemble.
Dans un rapport édité le 22 février dernier, intitulé « l’état de la menace cyber sur les établissements de santé », l’autorité administrative en charge de la sécurité informatique essaie de décrire les failles de sécurité des institutions de santé.
Cet article va aussi vous intéresser : L’ANSSI s’inquiète et alarme
Aujourd’hui force est de constater que les établissements de santé sont « fortement dépendants de solutions informatisées », les systèmes de santé sont « soumis au triple impératif de disponibilité, d’intégrité et de confidentialité », précise l’Agence Nationale de Sécurité des Systèmes d’Information. Ces systèmes d’information « présentent une large surface d’attaque du fait d’infrastructures hétérogènes et de l’ouverture fréquente d’interconnexions destinées aux prestataires, équipementiers ou personnels » décrit l’autorité administrative.
Par ailleurs que « La rationalisation des moyens demandée aux établissements de santé ne permet pas toujours d’attribuer les capacités suffisantes à la sécurité des systèmes d’information », et « la gestion, au quotidien, de nombreuses situations critiques par le personnel ne facilite pas les efforts de sensibilisation ». « Des efforts constants sont ainsi nécessaires pour pouvoir maintenir le niveau de sécurité attendu de ces établissements, malgré les nombreuses contraintes métiers auxquelles ils sont soumis. » ajoute cette dernière.
On peut aussi lire dans le rapport que : « la multiplicité de fonctions (pour ce qui concerne les systèmes d’exploitation), exercées par des métiers différents, entraîne une grande variabilité des attendus et une addition des contraintes d’un grand nombre d’utilisateurs. L’affectation fréquente de postes à des fonctions plutôt qu’à des individus complique fortement la mise en place d’identification systématique des utilisateurs par des mots de passe forts non réutilisés. ».
On peut noter que, selon le rapport, Le Gendarme de la cybersécurité considère l’identification des impacts causés par les différentes interruptions de chaque service des établissements de santé comme très importante. Car cela permet dans une certaine mesure de préciser et de déterminer les priorités si jamais des incidents futurs ou potentiels survenaient ou affectaient d’une certaine manière ces même services ou d’autres ayant un lien très proche. Cela est pareil pour « l’intégration de SI communs entre plusieurs sites peut encore compliquer la maîtrise de ces parcs informatiques », surtout lorsqu’il s’agit de groupements hospitaliers de territoires. L’exemple ici est pris sur l’attaque informatique qui a affecté le CHU de Albertville Moutiers, une cyberattaque qui d’une manière simultanée, a affecté deux site appartement à l’établissement de santé.
Par ailleurs, Le Gendarme de la cybersécurité déplore un fait. « Dans certains cas, le niveau de sécurité des logiciels est volontairement diminué à l’installation pour en faciliter l’accès par le personnel soignant, ou pour en permettre la connexion à des SI ne disposant pas de fonctionnalités de cybersécurité compatibles ».
On peut retenir aussi du rapport que : « Les établissements de santé sont affectés par la multiplication des SI fantômes (Shadow IT), qui regroupent les logiciels, matériels et technologies de l’information déployées de manière autonome au sein d’une organisation sans l’implication du service informatique, ce qui complique la cartographie, la maintenance, le suivi et finalement la maîtrise des systèmes d’information ».
Le plus souvent, les équipes en charge des systèmes d’informations « sont souvent trop restreintes pour gérer efficacement les parcs informatiques, et les ressources allouées aux problématiques de sécurité des systèmes d’information ne permettent pas toujours de proposer des solutions sécurisées disposant d’une qualité de service suffisante pour décourager les utilisateurs de recourir à des services », souvent sans même l’accord des équipes informatiques.
En outre, « Les connexions entre les SI hospitaliers et ceux des prestataires ne sont cependant pas toujours suffisamment sécurisées et l’accès par le prestataire aux données médicales n’est pas systématiquement soumis à un contrôle d’accès, comme le montrent des incidents signalés à l’Anssi », explique Le Gendarme de la sécurité informatique sur ces incidents.
On peut retenir de ce qui précède que le tableau n’est pas reluisant. C’est pour cela que l’Agence nationale de sécurité des systèmes d’information ne ménage pas ses efforts.
Accédez maintenant à un nombre illimité de mot de passe :