Cybersécurité : l’Association médicale mondiale sonne le tocsin

Réunie à Taïwan fin octobre pour son assemblée annuelle, l’Association médicale mondiale (AMM) a jugé que « l’augmentation des dossiers médicaux et des systèmes de facturation électronique fragilise le secteur de la santé » face aux attaques informatiques, jusqu’à estimer que celui-ci constitue aujourd’hui « une cible de choix facile » pour les cybercriminels.

Dans un communiqué, l’AMM relève ainsi que « les systèmes d’information et de gestion des hôpitaux pourraient devenir des postes d’entrée pour les attaques cybernétiques qui mettent en péril les fichiers médicaux et financiers des patients ». Mais pas uniquement : l’association pointe également les menaces potentielles sur les « logiciels d’imagerie, les systèmes de vidéo conférences, les caméras de surveillance, les appareils portables, les imprimantes, les routeurs et les systèmes de vidéo numériques ».

L’association souligne également que « certains hôpitaux sont régulièrement piratés et parfois soumis à des chantages financiers ». Et l’actualité d’apporter l’illustration à ces propos : ce dimanche 30 octobre, le Northern Lincolnshire and Goole NHS Foundation Trust, qui gère plusieurs hôpitaux outre-Manche, a indiqué que ses systèmes informatiques étaient affectés par un logiciel malveillant. Des centaines de consultations et d’interventions ont été annulées, de même que dans les établissements gérés par le United Lincolnshire Hospitals NHS Trust où quatre systèmes cliniques critiques ont été touchés.

En début d’année, Philippe Loudenot, fonctionnaire de la sécurité des systèmes d’information au ministère des Affaires sociales, indiquait d’ailleurs à nos confrères de TICsanté que les établissements de santé français sont également confrontés à la menace des ransomwares de manière régulière. Une menace à laquelle le secteur apparaît mal préparé. Toutefois, selon lui, il n’avait pas encore été à déplorer d’interruption de service due à une attaque dans l’Hexagone.

Mi-septembre, le décret précisant les « conditions et modalités de mise en œuvre du signalement des incidents graves de sécurité des systèmes d’information » des organismes de santé a été publié au Journal Officiel. Il dispose notamment que ceux-ci devront signaler « sans délai » ces incidents et doit entrer en vigueur au 1^er octobre 2017. Eric Egéa, conseiller en cybersécurité et criminalistique, estimait alors que ce délai serait « très court » pour beaucoup. A juste titre est-on tenté de penser.

De fait, l’AMM estime que « les procédures actuelles de sécurité dans le secteur de la santé n’ont pas progressé au rythme du volume et de l’ampleur des attaques cybernétiques » et que « de nombreuses instances sanitaires manquent de ressources financières, des compétences requises ou de volonté » pour les prévenir.

L’assemblée de l’association a dès lors « soutenu une prise de position exhortant les gouvernements, les décideurs politiques et les opérateurs de systèmes de santé à travers le monde à coopérer avec les autorités compétentes pour anticiper et se défendre » contre la menace des attaques informatiques.