L’étude [1] publiée par l’ISE (Independent Security Evaluators), le 23 février 2016, dresse un portrait inquiétant du niveau de sécurité au sein des hôpitaux américains, sur un panel d’établissements audités, et propose un plan d’action détaillé pour aider à rehausser ce niveau.
Cette étude de 2 ans, de janvier 2014 à janvier 2016, a été réalisée sur un périmètre de 12 hôpitaux, 2 établissements de stockage de données médicales, 2 machines de traitement médical actif et 2 applications web. Elle est articulée en 3 parties :
- Une première partie retraçant le contexte et analysant les risques portant sur l’environnement médical
- Une deuxième partie décrivant la méthode d’audit réalisée et présentant les résultats
- Une troisième partie proposant un plan de sécurisation des établissements de la santé
Contexte et analyse de l’attractivité du milieu hospitalier
Pour réaliser la cartographie des risques menaçant les établissements médicaux, un inventaire des atouts présents dans l’écosystème de la santé a été réalisé. Ces atouts vont alors devenir les cibles des cyber-attaquants. On en distingue deux types :
- Des atouts pour le patient : sa santé, ses données de santé, la disponibilité du service de santé pour le patient et leur confiance dans le système de santé ;
- Des atouts pour l’hôpital : la propriété intellectuelle et scientifique produite par la recherche, l’avantage concurrentiel que peut avoir un hôpital, les finances de l’établissement, sa réputation globale et la réputation de chacun de ses médecins.
Il est également intéressant de constater les différents types d’attaques qui menacent les SI hospitaliers. Pour cela, on distingue :
- Les attaques ciblées (sur une personne ou un SI en particulier) des attaques opportunistes (périmètre cible large et diffus, essais multiples à moindre coût pour tenter de trouver les cibles les plus faibles) ;
- Les attaques basiques (non élaborées, automatisées, s’appuyant sur des vulnérabilités connues et classiques) des attaques sophistiquées (plus longues, pouvant s’appuyer sur une ou plusieurs vulnérabilités 0-day) ;
- Les ressources de l’attaquant : cela peut aller d’un simple individu isolé, jusqu’à un important groupe mafieux voire à un état entier aux ressources quasi-illimitées.
Il faut noter la constante évolution d’une part de l’industrie hospitalière (digitalisation de leurs outils & processus, accessibilité distante au SI et aux données médicales, multiplication des utilisateurs IT, etc.) et d’autre part de la cybermenace (nombre d’attaques, complexité, expertise pointue, agissements lents et stratégiques, etc.). Ces deux évolutions combinées renforcent le retour sur investissement des attaques, ce qui augmente considérablement l’exposition des hôpitaux.
On obtient ainsi le tableau ci-dessous qui résume les capacités et les motivations des attaquants menaçant le SI hospitalier. Deux cibles à forte valeur sont reprises : l’atteinte à la santé des patients et le vol de leurs données (de santé et personnelles).
![]()
La cellule jaune représente la seule menace aujourd’hui considérée par les hôpitaux. Les cellules rouges, elles, représentent les menaces encore ignorées jusqu’à aujourd’hui. Force est alors de constater que la couverture des risques reste jusqu’ici très faible et que la protection des données de santé est une priorité, au détriment de la santé des patients !
Les hôpitaux ne semblent pas conscients de la complexité de certaines attaques modernes – pouvant cibler directement leur secteur – et des mesures de sécurité IT nécessaires pour s’en protéger.
Les exemples d’attaque du milieu hospitalier restent aujourd’hui peu nombreux. Manque de visibilité ou secteur encore non ciblé, la réponse reste floue. Une chose est sûre, les risques auxquels certains grands industriels sont aujourd’hui exposés, restent identiques pour l’industrie hospitalière. C’est alors la santé même des patients qui est belle et bien visée.
Les stratégies de protection IT des hôpitaux ne sont pas adaptées aux nouvelles attaques sophistiquées. Les équipes SSI ne sont aujourd’gui concentrées que sur la protection des données médicales et ne constatent pas nécessairement les autres risques majeurs auxquels ils vont devoir faire face.
Résultats et constatations de l’étude
Pour établir des scénarios d’attaque, la méthodologie suivante a été réalisée :
- Collecte de données sur les hôpitaux (interview des acteurs clefs et récupération de la documentation des hôpitaux) ;
- Compromission et POC d’attaque sur des machines médicales hors réseau ;
- Réalisation d’attaques fictives directement sur les systèmes de production des hôpitaux (avec pour seule limite la non-perturbation du service médical) ;
- Partage des failles et vulnérabilités exploitées et définition d’un plan d’action long terme.
Afin de pouvoir construire et exploiter des scénarios d’attaques sur le SI de l’hôpital, un modèle de menaces a été conçu. Ce dernier est représenté par le schéma ci-dessous. Il affiche l’ensemble des éléments susceptibles d’être utilisés pour réaliser une attaque ciblant spécifiquement la santé du patient.
On peut par exemple créer un scénario d’attaque ciblant un objet de mesure médicale (barcode scanner), ce qui permettrait de modifier les données médicales affichées du patient (EHRs) et ainsi tromper leur interprétation par le médecin (qui pourrait alors se voir prescrire un traitement néfaste pour le patient)
![]()
Ce modèle de menace est organisé en 3 cercles autour du patient. Le premier cercle constitue la surface d’attaque primaire du patient, et liste les attaques qui peuvent blesser directement le patient. Le second cercle est la surface d’attaque secondaire du patient, qui le blesse au travers du premier cercle. Enfin, le troisième cercle (surface d’attaque tertiaire) est l’ensemble des éléments du SI de l’hôpital (tous n’étant pas représentés ici), permettant de s’introduire et d’atteindre à la santé du patient.
A l’aide de ce modèle, plusieurs scénario d’attaque ont été conçus et exploités avec succès, excepté la phase finale d’action. Voici les scénarios les plus significatifs exploités par ISE :
- Intrusion dans le SI depuis un site web, compromission du réseau et de machines médicales actives pour ensuite impacter physiquement les patients à l’aide de ces machines ;
- Accès au SI depuis une tablette mise à disposition à l’accueil de l’hôpital, propagation dans le réseau de l’hôpital et manipulation d’équipements de mesure (Barcode Scanner) pour qu’un mauvais traitement soit donné à un patient ;
- Intrusion dans le SI et élévation de privilèges au niveau administrateur en exploitant une vulnérabilité de type XSS puis manipulation des données médicales pour que pour qu’un mauvais traitement soit donné à un patient ;
- Propagation d’un malware sur clé USB par « baiting » (clés USB avec le logo de l’hôpital, oubliées volontairement dans des lieux fréquentés par les médecins et les infirmières) permettant de modifier les inventaires et les dispensaires de médicaments, provoquant l’administration de mauvais traitements aux patients.
Grâce à ce travail d’analyse, des vulnérabilités et failles de sécurité ont pu être identifiées et communiquées aux hôpitaux concernés. Les grandes catégories de manquements identifiés sont les suivantes :
- Manque de financement pour la conception et l’implémentation de la sécurité ;
- Manque de ressources informatiques et notamment dans la sécurité ;
- Manque de formation et de sensibilisation sécurité pour le personnel de l’hôpital ;
- Mauvaise organisation interne de la sécurité (pas de distinction hiérarchique entre l’informatique et la sécurité) ;
- Manque de politiques de sécurité (ou politiques non appliquées et non contrôlées) ;
- Manque de vision et de maîtrise du SI ;
- Manque d’audits et de procédures de contrôles ;
- Manque de surveillance temps réel du SI ;
- Manque de ségrégation dans l’architecture réseau ;
- Manque de contrôle d’accès efficaces et sécurisés ;
- Obsolescence forte de certains systèmes ;
- Manque de sécurisation des locaux IT physiques de l’hôpital.
Il est ainsi à noter qu’une majorité des bonnes pratiques de sécurité informatique ne sont pas respectées convenablement.
Plan de sécurisation des établissements de la santé
La couverture de l’ensemble de ces faiblesses sera longue et complexe. De manière générale, il est recommandé à l’industrie de la santé de privilégier la protection de la santé du patient à celle de ses données, bien que les deux soient importants. Il est également préconisé d’augmenter le financement de l’informatique au sein des établissements, d’adopter une réglementation claire et encourageant les hôpitaux à sécuriser leur SI, d’informer les patients sur les risques encourus et de renforcer le poids des DSI (et RSSI) au sein des instances de direction.
Au niveau des systèmes d’information, un plan de sécurisation détaillé a été proposé, en fonction de la taille de l’hôpital concerné. Ce plan s’articule autour de 10 thématiques, relativement classiques mais nécessaires à traiter : la planification, l’organisation, les ressources humaines, les politiques, l’architecture, l’inventaire, le durcissement, la sensibilisation, l’audit et la continuité d’activité.
Pour chacune de ces thématiques, plusieurs actions sont alors proposées. En voici quelques exemples :
- En matière de planification :
- Analyser et comprendre les risques pesant sur l’hôpital
- Réaliser un modèle de menaces afin d’évaluer la surface d’attaque, et les niveaux (primaire, secondaire, tertiaire) de chaque élément du SI ;
- Cadrer une cible de sécurisation du SI ;
- Faire une évaluation de l’écart de l’existant à cette cible, et proposer un plan de remédiation à long terme.
- En matière de politique :
- Définir formellement une politique de sécurité ;
- Décliner la politique en termes de procédures ;
- Anticiper le contrôle de la politique, chaque règle devant être auditable ;
- Mettre en place une amélioration continue de cette politique.
- En matière de d’architecture :
- Cartographier les flux d’informations sensibles ;
- Segmenter le réseau de l’hôpital par criticité à l’aide de la cartographie des flux ;
- Choisir des équipements réseaux et sécurités adaptés à l’architecture du réseau ;
- Mettre en place l’administration des équipements de manière sécurisée ;
- Restreindre et contrôler les accès distants et physique au SI.
- En matière de sensibilisation :
- Sensibiliser tous les employés de l’hôpital aux fondamentaux de la sécurité et à la politique de sécurité de l’hôpital ;
- Sensibiliser les responsables de l’hôpital aux enjeux de la sécurité SI ;
- Sensibiliser les équipes informatiques aux menaces, aux techniques d’attaque et de défense du SI.
Conclusion
L’objet de cette étude est d’offrir la vision actuelle de la SSI dans le milieu hospitalier. Elle montre leur niveau de sécurité à date, propose un plan d’actions d’amélioration mais permet surtout une réelle prise de conscience quant à l’ensemble des risques et des cyber-menaces que les hôpitaux encourent quotidiennement.
En définitive et à l’image d’autres secteurs, le milieu hospitalier n’a pas encore considéré la sécurité de ses systèmes d’information comme une priorité ; et ce, peut-être avant tout par ignorance des risques encourus. Pourtant, c’est précisément sur la nature de ces risques que ce secteur se démarque dangereusement.
En effet, les différents audits réalisés au cours de cette étude permettent de montrer très nettement quels pourraient être les impacts en cas d’attaques avérées. Les conclusions sont inquiétantes. Comme plusieurs acteurs industriels, l’humain – ici le patient – est la plupart du temps directement impacté. C’est alors que l’enjeu de la cybersécurité prend une toute autre dimension…
Source :