Les systèmes d'information hospitaliers de plusieurs hôpitaux suisses présentent de graves failles de sécurité. Plus de 40 vulnérabilités moyennes à graves ont été identifiées dans les trois systèmes examinés par l'Institut national de test pour la cybersécurité (NTC).
Les systèmes d'information hospitaliers (SIH) constituent le cœur des hôpitaux modernes. Ils gèrent le flux d'informations, traitent les données sensibles des patients et assurent le bon fonctionnement de l'environnement hospitalier, rappelle jeudi le NTC.
Selon ce dernier, trois à cinq solutions SIH sont essentiellement utilisées en Suisse. Elles sont spécialement conçues pour répondre aux exigences et aux spécificités du système de santé helvétique et sont utilisées par presque tous les grands hôpitaux suisses. Le NTC en a examiné trois.
D'importantes failles ont été constatées dans tous les systèmes examinés. Les solutions basées sur des architectures obsolètes sont particulièrement vulnérables. Des problèmes fondamentaux liés à l'architecture, l'absence d'un cryptage ou sa mise en œuvre incorrecte, des systèmes connexes vulnérables et une séparation insuffisante entre les environnements de test et de production menacent notamment la sécurité des systèmes.
Certaines des vulnérabilités identifiées permettent un accès complet aux données des patients et aux systèmes en quelques heures. Alors que la plupart des failles importantes ont été corrigées ou atténuées par des mesures, certains problèmes fondamentaux nécessitent une refonte complète de l'architecture logicielle. Selon les fabricants, cela prendra plusieurs années.
Par ailleurs, l'analyse a permis de détecter plusieurs failles importantes dans des systèmes connexes qui n’entraient pas dans l’étendue du contrôle, mais qui ont été découvertes fortuitement en raison de leur caractère flagrant.
Le rapport ne donne volontairement pas de détails sur les failles. Mais le NTC a formulé des recommandations techniques et organisationnelles à l'intention des responsables de la cybersécurité dans les hôpitaux.
Ceux-ci devraient notamment contrôler la cybersécurité des systèmes dès leur acquisition. En outre, des analyses de vulnérabilité et des mises à jour doivent être effectuées régulièrement. Enfin, les responsabilités doivent être clairement définies. (jah/ats)
