La sécurité IT des hôpitaux: une étude pointe les risques pour la vie du patient

Pratique
Par · 07/03/2016

Une enquête a été réalisée, pendant une période de deux ans, aux Etats-Unis afin de déterminer la situation réelle d’un échantillonnage représentatif d’hôpitaux face aux risques informatiques. Elle est l’oeuvre de Independent Security Evaluators (ISE), une société de conseils en sécurité, issue en 2005 d’un programme de doctorat de l’Information Security Institute de Johns Hopkins. Cette société emploie aussi bien des informaticiens, des cryptographes, des spécialistes de la rétro-ingénierie que des… hackers.

Les résultats ne sont guère encourageants: “Nous avons découvert des manquements flagrants en termes de gestion, dans chaque hôpital, en ce compris des insuffisances en termes de financement, de personnel, de formation, un manque de directives, de prise de conscience des impacts réseau, et bien d’autres carences encore…”, déclare Steve Bono, fondateur de ISE. Le tout mettant en danger la vie-même des patients lors d’attaques menées à distance.

L’une des erreurs fondamentales qui est commise à l’heure actuelle, selon les auteurs de cette enquête, est la focalisation quasi exclusive des mesures et des solutions de sécurité sur la protection des dossiers patients. Ce qui est négligé, c’est l’impact potentiel sur la vie-même des patients.

“Notre étude avait pour but de déterminer dans quelle mesure ces menaces sont réalistes. Ce que nous avons établi, c’est que ces menaces sont bien réelles et – pire encore – que le secteur de la sécurité est mal préparé pour y faire face de manière efficace.”

Steve Bono (ISE): “Les vulnérabilités en matière de sécurité dans le secteur des soins de santé sont le résultat de défaillances opérationnelles systémiques.”

Les conclusions du rapport peuvent être téléchargées via ce lien. Le document inclut un blueprint destiné à aider les institutions hospitalières “à aider les hôpitaux à mieux appréhender la complexité et les défis opérationnels et régulatoires et à renforcer leur situation en matière de sécurité.”

Les résultats de l’étude ont fait l’objet d’un exposé à l’occasion de la récente conférence de l’HIMSS (Healthcare Information and Management Systems Society) qui se tenait à Las Vegas, le 2 mars. Un exposé a également été réalisé, la veille, lors de la conférence RSA de San Francisco.


Méthodologie de l’enquête: pendant deux ans, les chercheurs ont observé et analysé la situation de 12 établissements de soins, de 2 centres de données dédiés au secteur de la santé,  de 2 plates-formes technologiques, de 2 dispositifs médicaux actifs et d’une série d’autres dispositifs et applications.