Monsieur Ruef, de plus en plus d’hôpitaux suisses misent sur Epic. Comment percevez-vous cette évolution du point de vue de la sécurité informatique?
Le produit d’Epic est de plus en plus introduit en Suisse, car il promet notamment standardisation, traçabilité et contrôle d’accès. S’il est correctement mis en œuvre, il constitue un atout pour la sécurité. Néanmoins, des systèmes aussi étendus peuvent présenter des risques de compromission à grande échelle si les configurations sont erronées ou s’il existe des points faibles. Il est donc d’autant plus important de prendre la cybersécurité au sérieux.
Certaines critiques mettent en garde contre une dépendance vis-à-vis d’un fournisseur américain. Comment voyez-vous cela?
Depuis des années, je plaide pour que l’indépendance soit prise au sérieux en tant qu’objectif stratégique, tant dans l’administration que dans l’économie privée. Dans de nombreux domaines, cet aspect est ignoré lors des acquisitions, souvent par manque d’alternatives. Dans le domaine de la santé également, nous devons être conscients de ce qu’implique la dépendance à un fournisseur étranger.
A savoir?
Cela commence souvent dès la négociation du contrat, en particulier concernant les différences de conception juridique, notamment le lieu de juridiction et le droit applicable. L’application de ce dernier après un accord peut s’avérer compliquée et coûteuse. Les dérives politiques aux États-Unis et les tensions militaires en Europe de l’Est montrent en outre que les intérêts géopolitiques peuvent saper des accords économiques existants. Dépendre de partenaires comporte toujours un risque, surtout en situation de crise.
Où se situent généralement les points faibles typiques des grands systèmes d’information hospitaliers?
Les systèmes non patchés, surtout lorsqu’ils contiennent des composants obsolètes, constituent un risque typique dans l’environnement de la santé. Il en va de même pour l’absence de segmentation cohérente du réseau, notamment lors de l’utilisation d’appareils médicaux. S’y ajoute parfois l’utilisation de comptes partagés, ce qui augmente le risque d’abus et complique la traçabilité en cas d’incident.
«Faire des économies dans le domaine de la cybersécurité revient à jouer une partie de poker en misant tout ce que l’on a. C’est possible. Mais le risque de tout perdre est extrêmement élevé.»
Quel est l’attrait de tels systèmes centralisés du point de vue des cybercriminels ?
Les solutions centralisées sont toujours très attractives pour les hackers, car une seule compromission leur permet souvent de gagner beaucoup. Dans le cas de solutions décentralisées, les hackers sont en revanche contraints de compromettre laborieusement chacun des composants. L’hétérogénéité permet ainsi de limiter les risques de compromission complète d’une organisation.
Quels sont les scénarios d’attaque les plus pertinents actuellement?
Les attaques par ransomware restent un risque très concret. Elles continuent souvent d’être combinées avec le phishing.
La cybersécurité est souvent considérée comme un facteur de coûts. Que répondez-vous aux directions d’hôpitaux qui veulent faire des économies dans ce domaine?
Faire des économies dans le domaine de la cybersécurité revient à jouer une partie de poker en misant tout ce que l’on a. C’est possible. Mais le risque de tout perdre est extrêmement élevé. De nombreuses directions d’hôpitaux négligent ce risque. Mais se présenter après coup comme une victime innocente, je ne le tolère plus. J’ai donc pris l’habitude de rappeler, lors de conférences et d’interviews, que les mesures d’économie peuvent transformer la victime présumée en complice. En effet, on a souvent tendance à économiser au détriment de ceux qui ne peuvent pas se défendre: les patients et les collaborateurs.
«La gestion sécurisée des données doit être assurée de manière conséquente, en professionnalisant le chiffrement et les sauvegardes.»
Comment les hôpitaux peuvent-ils s’assurer que les données des patients sont protégées, tant au niveau local qu’international, en particulier dans le cas de solutions cloud?
Une certaine parcimonie dans la collecte des données serait conseillée: moins il y en a, moins elles risquent d’être perdues ou utilisées à mauvais escient. Ce principe de base entre toutefois en contradiction avec les objectifs poursuivis dans la gestion des données de santé. Il est donc essentiel que les données stockées dans le cloud soient protégées sur les plans technique, contractuel et juridique: leur localisation doit être réglementée et elles doivent être transmises et stockées de manière chiffrée. Des audits réguliers doivent également être effectués afin de vérifier le respect de ces directives et de permettre d’identifier et de corriger les anomalies le plus tôt possible.
À quoi devrait ressembler, selon vous, un écosystème informatique hospitalier sûr et tourné vers l'avenir?
Dans le domaine de la santé, il est essentiel d’exploiter les possibilités offertes par la cybersécurité moderne. Des mécanismes classiques, comme un réseau modulaire et clairement segmenté, peuvent notamment être utilisés. La gestion sécurisée des données doit également être assurée de manière conséquente, en professionnalisant le chiffrement et les sauvegardes. La protection des accès doit quant à elle être garantie par des rôles stricts, des autorisations réduites au minimum et une authentification forte.
Marc Ruef est cofondateur de la société scip AG à Zurich, qui propose depuis 2002 des conseils dans le domaine de la cybersécurité. L’entreprise est spécialisée dans les contrôles de sécurité des systèmes informatiques et se concentre entre autres sur l’analyse des dispositifs médicaux.
