Un rapport récent met en lumière des lacunes préoccupantes en matière de cybersécurité au sein des hôpitaux suisses. Selon une étude menée par un institut de test indépendant, de nombreux établissements de santé négligent la sécurité de leurs systèmes informatiques, exposant ainsi des données médicales sensibles au risque de vol par des cybercriminels.
Des failles alarmantes dans les systèmes hospitaliers
Les résultats de l’analyse effectuée par le National Testing Institute for Cybersecurity (NTC) révèlent que plusieurs hôpitaux et cliniques en Suisse utilisent des systèmes informatiques présentant d’importantes vulnérabilités. Dans certains cas, les testeurs ont réussi à obtenir un contrôle total sur les systèmes, accédant ou modifiant ainsi toutes les données des patients sans grande difficulté.
Des responsabilités mal perçues
Tobias Castagna, responsable des experts en tests du NTC, indique qu’il existe une perception erronée parmi certains établissements. « Notre principale tâche est de traiter les patients, pas de gérer l’informatique« , se justifient ces hôpitaux, qui délèguent la sécurité informatique aux fabricants de logiciels. Castagna souligne qu’une telle approche est inacceptable et souligne la nécessité d’une amélioration significative en matière de sécurité.
Cyberattaques : un danger croissant
Les hôpitaux, cliniques et cabinets médicaux sont régulièrement ciblés par des cybercriminels, tant au niveau national qu’international. Les attaques peuvent entraîner des fermetures de services d’urgence et empêcher les médecins de réaliser certaines procédures. Par exemple, l’année dernière, plusieurs hôpitaux londoniens ont dû reporter des centaines d’opérations suite à une attaque par ransomware.
En Suisse, en décembre dernier, le prestataire de services de santé Vidymed a subi une cyberattaque, laissant près de 100 médecins sans accès à leurs données patients, contraints de revenir à des méthodes de travail manuelles.
Évaluation des systèmes d’information hospitaliers
Le NTC a examiné un échantillon représentatif des systèmes d’information clinique dans les hôpitaux suisses, notamment à l’Hôpital cantonal de Zug et à l’Hôpital de l’Île à Berne. Les chercheurs ont testé des systèmes de trois fournisseurs majeurs, qui sont considérés comme les plus utilisés en Suisse.
Parmi ces produits, on trouve Kisim du fabricant zurichois Cistec, inesKIS de la société allemande Ines, et Epic, une solution américaine présente dans environ 2000 hôpitaux à travers le monde, dont certains en Suisse.
Les résultats des tests de sécurité
Les experts du NTC ont identifié un total de 40 vulnérabilités, dont plusieurs étaient à la fois significatives et facilement détectables lors d’évaluations de sécurité standards. Les principales faiblesses identifiées incluent une architecture obsolète, un chiffrement défectueux des communications et des faiblesses dans les systèmes tiers intégrés.
Les tests ont été effectués avec un accès au réseau hospitalier, ce qui a facilité la détection de ces vulnérabilités. Cependant, Castagna met en garde : « Les hôpitaux sont des lieux ouverts, où l’accès peut être relativement aisé. »
Un besoin urgent d’amélioration
Le rapport du NTC souligne non seulement les responsabilités des hôpitaux et des fabricants de logiciels, mais aussi le manque de fonds et de sensibilisation à l’importance des vérifications de sécurité au sein des établissements. Le NTC, qui a financé l’analyse de manière indépendante, appelle à une prise de conscience accrue et à des actions concrètes pour renforcer la sécurité des systèmes d’information dans le secteur de la santé.
En conséquence, le Bureau fédéral de la cybersécurité soutient cette initiative, reconnaissant que les vérifications de sécurité sont essentielles pour offrir des services numériques fiables et renforcer la résilience de la Suisse face aux cyberattaques.