Comme toute grande entreprise, un hôpital moderne compte des centaines, voire des milliers, de travailleurs utilisant d'innombrables ordinateurs, smartphones et autres appareils électroniques vulnérables aux failles de sécurité, les vols de données et les attaques de ransomware. Mais les hôpitaux diffèrent des autres entreprises de deux manières importantes. Ils tiennent des dossiers médicaux, qui font partie des données les plus sensibles sur les personnes. Et de nombreux appareils électroniques hospitaliers aident à garder les patients en vie, surveiller les signes vitaux, administrer des médicaments, et même respirer et pomper du sang pour ceux qui sont dans les conditions les plus difficiles.

Une violation de données en 2013 au sein du groupe médical de médecine de l'Université de Washington a compromis environ 90, 000 dossiers de patients et a abouti à 750 $ US, 000 d'amende des régulateurs fédéraux. En 2015, le système de santé de l'UCLA, qui comprend un certain nombre d'hôpitaux, a révélé que les attaquants avaient accédé à une partie de son réseau qui gérait les informations de 4,5 millions de patients. Les cyberattaques peuvent interrompre les dispositifs médicaux, fermer les salles d'urgence et annuler les chirurgies. L'attaque WannaCry, par exemple, perturbé un tiers des organisations du National Health Service du Royaume-Uni, entraînant l'annulation de rendez-vous et d'opérations. Ces types de problèmes sont une menace croissante dans l'industrie des soins de santé.

La protection des réseaux informatiques des hôpitaux est cruciale pour préserver la vie privée des patients – et même la vie elle-même. Pourtant, des recherches récentes montrent que l'industrie des soins de santé est à la traîne par rapport aux autres industries en matière de sécurisation de ses données.

Je suis un scientifique des systèmes à la MIT Sloan School of Management, intéressé à comprendre les systèmes sociotechniques complexes tels que la cybersécurité dans les soins de santé. Un ancien élève, Jessica Kaiser, et j'ai interrogé des responsables hospitaliers en charge de la cybersécurité et des experts de l'industrie, pour identifier comment les hôpitaux gèrent les problèmes de cybersécurité. Nous avons constaté que malgré les inquiétudes généralisées concernant le manque de financement pour la cybersécurité, deux facteurs surprenants déterminent plus directement si un hôpital est bien protégé contre une cyberattaque :le nombre et la gamme variée d'appareils électroniques utilisés et la façon dont les rôles des employés s'alignent sur les efforts de cybersécurité.

Une large gamme d'appareils

Un défi majeur dans la cybersécurité des hôpitaux est le nombre énorme d'appareils ayant accès au réseau d'un établissement. Comme de nombreuses entreprises, ceux-ci incluent les téléphones portables, comprimés, ordinateurs de bureau et serveurs. Mais ils ont aussi un grand nombre de patients et de visiteurs qui viennent avec leurs propres appareils, aussi – y compris des dispositifs médicaux en réseau pour surveiller leur santé et communiquer avec le personnel médical. Chacun de ces éléments est une rampe d'accès potentielle pour l'injection de logiciels malveillants dans le réseau hospitalier.

Les responsables de l'hôpital pourraient utiliser un logiciel pour s'assurer que seuls les appareils autorisés peuvent se connecter. Mais même alors, leurs systèmes resteraient vulnérables aux mises à jour logicielles et aux nouveaux appareils. Une autre faiblesse majeure provient des équipements médicaux proposés sous forme d'échantillons gratuits par les fabricants d'appareils qui opèrent sur un marché concurrentiel. Ils ne sont souvent pas testés pour une sécurité adéquate avant d'être connectés au réseau de l'hôpital. L'une de nos personnes interrogées a déclaré :« Dans les hôpitaux … et puis un an plus tard, nous recevons une facture pour cela."

Lorsque les nouvelles technologies contournent les processus réguliers d'achat et d'évaluation des risques, ils ne sont pas vérifiés pour les vulnérabilités, ils introduisent donc encore plus d'opportunités d'attaque. Bien sûr, les administrateurs d'hôpitaux doivent trouver un équilibre entre ces préoccupations et les améliorations des soins aux patients que les nouveaux systèmes peuvent apporter. Nos recherches suggèrent que les hôpitaux ont besoin de processus et de procédures plus solides pour gérer tous ces appareils.

Adhésion du personnel

Faire comprendre aux administrateurs d'hôpitaux l'importance de la cybersécurité est assez simple :ils nous ont dit qu'ils s'inquiétaient des coûts, réputation institutionnelle et sanctions réglementaires. Faire participer le personnel médical peut être beaucoup plus difficile :ils ont dit qu'ils se concentraient sur les soins aux patients et n'avaient pas le temps de s'inquiéter de la cybersécurité.

Les gens considèrent généralement les protections de cybersécurité comme secondaires par rapport à ce qu'ils essaient de faire. Une personne que nous avons interrogée a décrit pourquoi certains membres du personnel ont commis le péché cardinal de cybersécurité consistant à partager un mot de passe :« Pour utiliser un appareil à ultrasons [vous avez besoin d'un mot de passe, qui] doit changer tous les 90 jours. [Le personnel] veut juste utiliser l'échographe. Il ne contient pas beaucoup de données sur les patients… alors ils créent un identifiant partagé afin de pouvoir prodiguer des soins aux patients. »

Les besoins peuvent varier considérablement d'un hôpital à l'autre, d'une manière qui peut surprendre, comme l'accès à des sites susceptibles de contenir des logiciels malveillants. Un directeur de l'information d'un hôpital de recherche nous a dit :« Personnellement, je pense que la pornographie hardcore n'a aucun but sur les appareils pris en charge par les hôpitaux. Qu'ai-je fait il y a cinq ans ? J'ai mis en place des filtres de contenu Internet qui ont empêché les gens d'accéder à la pornographie. En cinq minutes, le directeur de psychiatrie m'appelle pour me dire que nous avons une bourse pour étudier la pornographie dans un contexte médical [nous avons donc dû modifier nos filtres]. »

Ces expériences sont la raison pour laquelle nous avons conclu que les limitations budgétaires ne sont pas aussi cruciales pour la cybersécurité des hôpitaux que l'implication des employés. Un hôpital peut acheter autant de matériels et de logiciels qu'il le souhaite. Si les travailleurs ne suivent pas les procédures organisationnelles, la technologie ne gardera pas les hôpitaux en sécurité. Nos recherches suggèrent que la cybersécurité concerne autant la gestion des personnes que la technologie.

La conformité n'est pas la sécurité

La menace est nationale, et devient de plus en plus difficile à défendre, comme nous l'a dit un responsable de la sécurité de l'information :« La nature des attaques est de plus en plus sophistiquée. Autrefois, ma plus grande menace était … les étudiants. Aujourd'hui, ce sont des attaques parrainées par l'État, le terrorisme et le crime organisé. Ce sont plus de menaces que jamais d'une nature plus sérieuse."

Malheureusement, de nombreux administrateurs d'hôpitaux semblent croire que la protection des données est aussi simple que de respecter les réglementations nationales et fédérales. Mais ce sont des normes minimales qui ne répondent pas adéquatement à la menace. Comme l'a dit l'une de nos personnes interrogées, « La conformité est une barre basse. Je garantis que les petites organisations de soins de santé et les hôpitaux ne feraient rien (sans réglementation). Ils auraient un morceau de papier sur une étagère appelé leur politique de sécurité. Mais être conforme ne résout pas le problème plus important de la gestion des risques. »

Nos recherches montrent que les hôpitaux doivent penser au-delà de la conformité. Aussi, avec si peu d'hôpitaux bien défendus contre les cyberattaques, tous les hôpitaux semblent plus attrayants comme cibles potentielles. Dans notre vision, il ne suffit pas que les hôpitaux améliorent leurs propres défenses – ni que les régulateurs élèvent les normes. Ils doivent gérer, et évaluer la sécurité de, les appareils sur leurs réseaux et s'assurer que le personnel médical comprend comment une bonne cyber-hygiène peut favoriser de bons soins aux patients. Plus loin, créateurs de politiques, les dirigeants des soins de santé et les hôpitaux eux-mêmes devraient travailler ensemble pour rendre l'industrie dans son ensemble moins vulnérable aux attaques qui menacent la vie privée des gens et leur vie même.

Cet article a été initialement publié sur The Conversation. Lire l'article original.