Hôpitaux: la guerre de la sécurité informatique

À la uneRédigé par Charaf Abdessemed

  • Nos données informatiques médicales sont-elles suffisamment protégées?
  • Difficile pour l’heure de répondre à cette question cruciale. 
  • Seule certitude: les établissements médicaux doivent renforcer leur sécurité contre hackers et autres virus informatiques toujours plus virulents.

  • Des systèmes informatiques complexes dont il faut assurer la sécurité et la continuité. DR

    Des systèmes informatiques complexes dont il faut assurer la sécurité et la continuité. DR

«Le monde médical devient aussi sensible que le monde bancaire»

Alison Hick, clinique de La Source

Los Angeles, février 2016. Infecté par un malware qui a paralysé la totalité de son système informatique, un hôpital s’est vu demander par les hackers responsables de l’attaque, une rançon d’une vingtaine de milliers de francs, en échange de la clé de déverrouillage. Un épisode inquiétant qui illustre la fragilité des systèmes informatiques des établissements hospitaliers outre-Atlantique, mais aussi sous nos latitudes.

Signe que le sujet est particulièrement épineux, aucun des responsables romands contactés n’a souhaité s’exprimer. «En matière informatique, le monde médical devient aussi sensible que le monde bancaire, constate Alison Hick, de la Clinique de La Source, à Lausanne. Raison pour laquelle nous ne souhaitons pas nous exprimer sur cette question, afin de ne pas donner de mauvaises idées. Mais évidemment, nous prenons ce risque très au sérieux.»

Suisse moins ciblée

«Des tentatives d’attaques par des programmes malveillants ainsi que des attaques visant les éventuelles failles de sécurité sont fréquentes, confirme sans grande surprise, le Dr Claude Kaufmann, responsable de la communication du Groupe de cliniques privées Hirslanden. Compte tenu de l’importance de la sécurité de l’information, nous mettons en œuvre des dispositifs de protection techniques à plusieurs niveaux, en plus de la protection physique afin de protéger l’infrastructure informatique.»

Quel que soit l’interlocuteur abordé, il sera difficile d’en savoir plus. Alors, nos données informatiques médicales sont-elles suffisamment protégées dans les hôpitaux suisses?

Difficile de répondre, même si une certitude demeure: si les attaques contre les systèmes informatiques hospitaliers existent en Suisse, elles sont sans aucun doute moins fréquentes et moins massives qu’aux Etats-Unis. Et pour cause: là-bas, l’acquisition des données personnelles d’un malade et surtout de son numéro de sécurité sociale, ouvre la voie à toutes les possibilités, y compris celle de pouvoir ouvrir des comptes bancaires bidon, voire même de se créer des identités fictives.

«En Suisse, les hôpitaux constatent les mêmes tentatives d’attaques que d’autres entreprises, précise un expert genevois. Des demandes de rançons ont pu être émises, mais elles se sont cantonnées au niveau d’un seul PC infecté et pas à des échelles globales.» Et d’ajouter: «La question de la confidentialité est ici suffisamment sous contrôle avec les mesures existantes. Même s’il faut bien sûr rester attentif car les menaces évoluent rapidement.»

Alors, tranquille, le patient? Oui et non, car comme toujours en matière de sécurité, informatique ou non, tout est une question de gestion des priorités afin de maintenir les risques dans une zone acceptable.

«La gestion des risques dans le domaine de la sécurité informatique est basée sur la probabilité d’un risque par rapport à un autre», explique encore notre expert. Avec un constat: les hôpitaux suisses ont moins d’argent à investir dans l’informatique que les hôpitaux américains.

L’incendie, scénario noir

«Par exemple, les grands hôpitaux cantonaux consacrent généralement moins de 3% de leur budget à l’informatique, alors que les hôpitaux américains de taille comparable dépensent 4% à 5%, ajoute l’expert. Nous devons donc être plus parcimonieux. Mais la réalité, c’est que les protections essentielles contre les virus et autres maliciels coûtent beaucoup moins cher que se prémunir contre les dégâts causés par un incendie.» L’incendie, véritable cauchemar des responsables informatiques hospitaliers! Car bien avant la confidentialité des données, la priorité de ces derniers est de garantir la disponibilité du système informatique désormais indispensable au fonctionnement des infrastructures hospitalières, dont la moindre altération aurait un impact immédiat sur la qualité des soins et la santé du patient. Ainsi, en 20 ans, la dépendance des hôpitaux vis-à-vis de leurs systèmes informatiques s’est considérablement accrue, avec pour corollaire un risque de paralysie en cas de dysfonctionnement.

Incontestablement, la mise hors-service d’une salle informatique pour cause d’incendie ou d’inondation est un cas classique craint par tous les responsables informatiques hospitaliers. «Aujourd’hui, le dossier patient n’existe plus sur papier, donc il faut absolument avoir un plan pour assurer la continuité du fonctionnement de l’hôpital en cas de sinistre informatique majeur, conclut notre expert. Il convient notamment de prévoir une deuxième salle informatique située dans un autre bâtiment. Certains hôpitaux suisses l’ont fait, d’autres pas encore, car cela coûte cher.» 