Alarmant : moins de 5 heures pour contourner le système de sécurité d’un hôpital !

Selon une enquête récente dans le milieu des hackers , 39% des pirates informatiques déclarent pouvoir accéder et dérober des données sensibles dans un hôpital en moins de 5 heures. Le secteur de la santé s’avère être l’un des plus vulnérables aux attaques.
La société australienne Nuix, spécialisée dans la gestion de données à grande échelle, a publié son « Black Report 2018 », une exploration des questions de sécurité informatique du point de vue des hackers. Le rapport de 70 pages révèle le fossé entre réalité et idées reçues sur la cybersécurité.
Nuix a récolté les réponses de 112 "pirates", spécialistes en tests d’intrusion (hackers professionnels qui opèrent dans un cadre légal), et intervenants en cas d’incident de sécurité, provenant de plusieurs continents.

L’enquête a porté entre autres sur les 3 étapes pour avoir accès et dérober des données sensibles : contourner le système de sécurité (ou exploiter une faille de sécurité) ; localiser les données ; extraire ces données de la plateforme piratée.

Les résultats sont alarmants : tout secteur confondu, 54% des professionnels en piratage estiment que ces 3 étapes sont réalisables endéans 15 heures.

Le secteur hospitalier particulièrement vulnérable

23% des pirates sondés déclarent pouvoir effectuer les 3 étapes en moins de 5 heures dans un hôpital ou un organisme de soins de santé. Il s’agit du secteur où l’intrusion est potentiellement la plus rapide à mettre en place. La majorité (61%) ont précisé pouvoir le faire en moins de 15 heures.

15% des hackers estiment qu’il leur faut moins d’1 heure pour identifier et pénétrer une faille d’un hôpital, contre 12% tout secteur confondu.

Concernant la localisation des données sensibles, l’enquête rapporte qu’une fois qu’ils ont pénétré le système, les pirates peuvent l’explorer facilement. Le secteur hospitalier est le plus vulnérable à cette recherche de données (37% estiment pouvoir accomplir cette étape en moins d’1 heure, contre 26% pour tous les secteurs).

Enfin pour l’extraction de données, les hôpitaux restent les plus malléables : 51% des répondants estiment pouvoir exfiltrer les données en moins d’1 heure (contre 40% pour l’ensemble des secteurs).

Vulnérabilité, Conformité, Sécurité.

Le rapport tord enfin le cou aux idées reçues. Les attaques ne sont pas de plus en plus sophistiquées et les intrusions ne sont pas plus difficiles à prévenir. Quasi 1/4 des sondés déclarent utiliser les mêmes techniques pendant un an ou plus…parce qu’elles fonctionnent encore (la faille n’a pas été réparée). Il est utile également de préciser que 1 hacker sur 4 n’enfreint aucune loi.

Le rapport pointe du doigt les résultats inférieurs à la moyenne du secteur de la santé, alors que les organismes de soins de santé sont tenus de respecter plusieurs chartes de sécurité, dont par exemple la Health Insurance Portability and Accountability Act (HIPAA), votée en 1996 aux Etats-Unis.
Les auteurs démontrent que les chartes de mise en conformité ne garantissent ni la mise en application de ces mesures par les acteurs concernés ni leur impact positif sur la régulation des données, « Conformité n’égale pas Sécurité ».
L’auteur principal du rapport explique « la plupart des organismes investissent massivement dans les barrières de sécurité de type anti-virus ou pare-feu, et ceux-ci sont requis dans beaucoup de chartes de conformité. Mais la plupart des pirates informatiques interrogés trouvent ces mesures très facile à contourner »

Vous souhaitez commenter cet article ?

L'accès à la totalité des fonctionnalités est réservé aux professionnels de la santé.

Si vous êtes un professionnel de la santé vous devez vous connecter ou vous inscrire gratuitement sur notre site pour accéder à la totalité de notre contenu.
Si vous êtes un patient interessé par des informations médicales validées, consultez notre site grand public www.vivasante.be.
Si vous êtes journaliste ou si vous souhaitez nous informer écrivez-nous à redaction@rmnet.be.

Derniers commentaires

  • Pascal JOUKOVSKY

    19 Avril 2018

    Ah ah, ça ne m’étonne pas !
    Dr P Joukovsky