Sécurité informatique
Sécurité informatique dans les homes
Les maisons de retraite et les homes médicalisés suisses sont des cibles vulnérables pour les pirates informatiques. Une attaque entraîne au mieux des conséquences financières et, au pire, elle peut mettre en danger des vies humaines, selon Philine Richert, experte en sécurité.
Texte: Roger Welti, Image: Fotolia, 24 juin 2019
La Suisse compte environ 1500 maisons de retraite et homes médicalisés. Sauf quelques rares exceptions, tous sont des PME. Il n’est donc pas surprenant que très peu de homes soient équipés d’un dispositif de sécurité informatique puissant et adapté à l’état actuel des menaces. Dans cette interview, l’experte en sécurité Philine Richert explique comment la numérisation croissante devient un défi pour les homes suisses en termes de sécurité des données et que la meilleure protection est souvent atteinte grâce à l’aide de professionnels externes.
De nombreuses PME en Suisse ont déjà été la cible d’attaques de pirates. Qu’est-ce qui rend ce type d’entreprises et d’institutions aussi attrayantes pour les attaques?
Les PME en général, et donc aussi celles du secteur de la santé et du social, font partie des entreprises qui manquent souvent de sensibilisation, de savoir-faire et de budget pour une protection efficace contre les cyberattaques. On comprend bien que les compétences de base et l’attention de ces entreprises se concentrent dans des domaines complètement différents.
À première vue, les maisons de retraite et les homes médicalisés ne semblent pas être des cibles intéressantes. Mais pourquoi le sont-ils tout de même?
Le danger est bien réel, comme l’ont montré plusieurs cas concrets dans le secteur de la santé et du social ces dernières années et ces derniers mois. Il est important de comprendre le caractère de ce type d’attaques. Dans la grande majorité des cas, elles ne visent pas une seule institution afin d’y causer des dommages. Les attaquants font en réalité un grand nombre de tentatives pour pénétrer dans le plus grand nombre de systèmes possible. Les attaques réussies sont souvent suivies d’une demande de rançon, par exemple afin de redonner accès à des données cryptées au cours de l’attaque. Les attaquants jettent un filet dans lequel se font prendre les entreprises qui se sont trop peu protégées contre de telles attaques.
Quels types d’attaques sont particulièrement fréquents dans les secteurs de la santé et du social?
Chez Swisscom Health, nous surveillons les risques informatiques pour le secteur de la santé à l’aide d’un radar des menaces spécifique. Il est alimenté par des informations et des évaluations de l’Office fédéral de la santé publique, de Swisscom et d’autres sources, et offre une vue d’ensemble de l’état des menaces dans le secteur de la santé. Les 3 principaux risques sur ce radar sont tous liés au piratage.
Concrètement, quels sont les risques?
Premièrement, ce que l’on appelle les malwares, c’est-à-dire les virus, les vers et les chevaux de Troie qui sont introduits par hameçonnage via des liens dans des e-mails ou sur des pages Internet et qui dérobent des données ou des mots de passe à la victime, par exemple. Deuxièmement, ce que l’on appelle les ransomwares qui cryptent les données de la victime. Et troisièmement, il s’agit du phénomène par lequel un attaquant envoie énormément de requêtes à un serveur afin de le paralyser. Dans le jargon technique, cela s’appelle un «Denial of service».
Les dommages ainsi causés peuvent être graves, particulièrement dans le secteur du social et de la santé.
Clairement. Les attaques contre les établissements de santé peuvent non seulement avoir des conséquences financières, mais elles peuvent aussi mettre des vies en danger. Il est donc très difficile d’estimer la gravité des conséquences potentielles. Dans certains cas concrets, des traitements ou des opérations ont dû être reportés, des parties d’une clinique ont dû être fermées et des patients ont dû être transférés. Dans les homes, il peut par exemple arriver que les plans de traitement et de médication numériques ne puissent plus être ouverts.
Comment les maisons de retraite et les homes médicalisés se protègent-ils contre les cyberattaques aujourd’hui?
De nombreux homes disposent d’une protection de base, mais pas de beaucoup plus. Dans les secteurs de la santé et du social, l’accent est très peu mis sur la sensibilisation, le savoir-faire et le budget en matière de sécurité informatique. Lors des contacts avec les professionnels de la santé, on remarque souvent qu’il est difficile de les faire changer de comportement. Nous leur recommandons un changement de mot de passe régulier ou l’utilisation d’une double authentification, par exemple pour se connecter avec un mot de passe et un code supplémentaire envoyé par SMS. Les personnes concernées répondent alors souvent que ceci est difficile à intégrer dans leur travail quotidien. Comme dans d’autres secteurs, les hôpitaux, les homes et les cabinets médicaux investissent souvent dans la prévention seulement après avoir été victimes d’une cyberattaque.
Que conseillez-vous aux homes et autres institutions qui ne veulent pas devenir des victimes?
La première étape consiste à prendre conscience des risques. Les responsables d’hôpitaux et de homes doivent accorder l’importance qui convient à la sécurité informatique et veiller à ce que tous leurs collaborateurs soient sensibilisés à la question et formés à la manipulation des données des patients. Dans une deuxième étape, des précautions techniques préventives de base doivent être prises. Une protection contre les malwares et une bonne stratégie de sauvegarde des données sont un bon début. Troisièmement, il est conseillé de se faire aider par des professionnels spécialisés en sécurité informatique. Swisscom emploie environ 200 experts dans ce domaine, qui proposent aussi leurs connaissances et leurs services aux PME dans le secteur de la santé et du social.
Mais cela va coûter beaucoup d’argent aux maisons de retraite et aux homes médicalisés?
Les dépenses pour la sécurité informatique doivent toujours être comparées au risque que l’on prend si on décide de les économiser. Pour évaluer le coût d’une protection efficace, il faut toujours tenir compte des conséquences financières d’une cyberattaque et de l’impact sur la réputation en tant que prestataire de santé et qu’employeur.
Philine Richert: «Les dépenses pour la sécurité informatique doivent toujours être comparées au risque.»
À propos de Philine Richert
Philine Richert est Chief Information Security Officer chez Swisscom Health SA. La filiale de Swisscom propose des solutions numériques pour le secteur de la santé. Philine Richert possède de nombreuses années d’expérience dans la prévention et la lutte contre les cyberattaques.
En savoir plus sur ce thème
