De graves failles de sécurité découvertes dans les systèmes d'information hospitaliers
Selon un rapport de l'Institut national de test pour la cybersécurité NTC, de graves failles de sécurité ont été constatées dans les systèmes d'information des hôpitaux. Le rapport émet des recommandations sur la manière d'améliorer durablement la cybersécurité dans les hôpitaux suisses.
Les systèmes d'information hospitaliers constituent le cœur des hôpitaux modernes. Ils gèrent le flux d'informations, traitent les données sensibles des patients et assurent le bon fonctionnement de l'environnement hospitalier. L'enquête menée par l'Institut national de test de cybersécurité (NTC) a révélé que la cybersécurité de ces systèmes essentiels était insuffisante dans de nombreux cas.
Résultats de l'analyse
Selon le rapport, de graves failles de sécurité ont été constatées dans tous les systèmes examinés. Au total, le rapport identifie plus de 40 vulnérabilités moyennes à graves. Trois d'entre elles présentent la criticité la plus élevée. Les solutions basées sur des architectures obsolètes se sont révélées particulièrement vulnérables. Les principaux problèmes comprennent des problèmes d'architecture fondamentaux, un cryptage manquant ou mal mis en œuvre, des systèmes périphériques vulnérables ainsi qu'une séparation insuffisante entre les environnements de test et de production, selon le rapport.
Des tests ont montré que certaines des vulnérabilités identifiées permettaient un accès complet aux données des patients et aux systèmes en l'espace de quelques heures. Alors que la plupart des vulnérabilités pertinentes ont été corrigées entre-temps ou atténuées par des mesures d'atténuation, certains problèmes fondamentaux nécessitent une refonte complète de l'architecture logicielle, ce qui, selon les fabricants, prendra plusieurs années. En outre, l'analyse a permis de découvrir plusieurs vulnérabilités critiques dans des systèmes périphériques qui ne faisaient pas partie du périmètre d'examen défini, mais qui ont été identifiées comme des découvertes fortuites en raison de leur caractère frappant.
Le rapport ne donne volontairement pas de détails sur les points faibles. En lieu et place, il a été procédé à une information générale sur le Centre de vulnérabilité NTC ainsi qu'une notification ciblée des hôpitaux concernés via le Cyber Security Hub (CSH) de l'Office fédéral de la cybersécurité (BACS).
Recommandations pour les hôpitaux
Le rapport contient huit recommandations centrales pour améliorer durablement la cybersécurité dans les hôpitaux suisses. Il s'agit notamment de prendre en compte les exigences en matière de cybersécurité dès l'acquisition de matériel informatique et de réaliser des analyses de vulnérabilité régulières pour un contrôle continu. Dans les petits hôpitaux en particulier, les responsabilités en matière de cybersécurité doivent être clairement définies et les ressources nécessaires doivent être mises à disposition. En outre, il est recommandé de renforcer la mise en réseau entre les hôpitaux et d'accéder au Cyber Security Hub (CSH) de l'Office fédéral de la cybersécurité (BACS).
Source et informations complémentaires : www.ntc.swiss
Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/gravierende-sicherheitsluecken-in-klinikinformationssystemen-entdeckt/
