SI des hôpitaux : pourquoi sont-ils si vulnérables ?*
Le SI des établissements de santé comporte de nombreuses failles. La société Stormshield explique qu’il est, par exemple, facile de se connecter au réseau des patients grâce à un réseau wifi puis d’intercepter le réseau médical, pour accéder ensuite au réseau administratif. Soumis à une obligation de continuité de service – impossible d’interrompre les soins -, le personnel (médical et administratif) conserve généralement ses appareils allumés lorsque l’infrastructure informatique évolue, et compose ensuite avec l’ancienne informatique plutôt que de s’adapter à la nouvelle.
L’urgence met aussi à mal les principes de base de sécurité, comme le verrouillage de session en quittant un poste de travail. De plus, l’absence fréquente d’experts en sécurité informatique au sein de l’hôpital et l’utilisation, par les médecins qui se partagent entre un cabinet privé et l’hôpital, de leurs outils personnels non sécurisés, aggravent la vulnérabilité.
Les nouvelles technologies médicales (appareils connectés…) manquent de sécurité à la conception. En outre, la gestion technique des bâtiments (GTB) qui permet le contrôle d’équipements à distance (air conditionné, détection incendie, ascenseurs…), est de plus en plus utilisée ; sécurisés physiquement, ces dispositifs présentent une faible sécurité numérique ; leur piratage pourrait conduire à l’évacuation forcée de l’hôpital.
Vous êtes un acteur de la santé ? Nous pouvons échanger avec vous sur les solutions de sécurité possibles, sur votre site ou de manière déportée.
*Propos recueillis par la rédaction Weka – www.weka.fr
