Monsieur Nafzger, le groupe vaudois Vidymed a récemment été victime d'une cyberattaque. En juin dernier, plusieurs cliniques anglaises ont été paralysées par des pirates informatiques. Malgré leur connaissance du danger, comment expliquez-vous que les institutions de santé ne soient pas mieux protégées contre de telles attaques?
Dans de nombreux hôpitaux, l'infrastructure est souvent obsolète et la réflexion se limite à: «Jusqu'à présent, il ne s'est rien passé, alors pourquoi changer?» D'une part, la sensibilisation au risque fait défaut ; d'autre part, les coûts et les efforts nécessaires sont redoutés. Les hôpitaux sont actuellement confrontés à d'autres défis, et la cyberprévention est souvent négligée… jusqu'à ce qu'un incident survienne. C'est alors que l'on prend brutalement conscience du problème.
Les hôpitaux disposent pourtant de programmes de cybersécurité. Ne sont-ils pas suffisants?
Certains hôpitaux investissent effectivement dans la surveillance de leurs systèmes, mais l'accent est rarement mis sur la prévention. Il est crucial d'identifier les vulnérabilités à temps et d'y remédier avant qu'une attaque ne se produise.
Sandro Nafzger est le CEO de Bug Bounty Switzerland, une organisation spécialisée dans la prévention des cyberattaques. Avant de cofonder cette entreprise, cet expert en informatique de gestion a travaillé à la sécurisation des données pour la Poste suisse.
Comment garder une longueur d'avance sur les pirates informatiques?
La règle principale est la suivante : il faut rendre leur tâche aussi difficile que possible. Pour les cybercriminels, une attaque repose toujours sur un équilibre entre l'effort à fournir et le gain espéré. Si l'effort est trop important, ils iront chercher une autre cible. Le problème, c'est que les systèmes bien protégés sont souvent complexes et coûteux à mettre en place. Dès qu'on identifie des failles de sécurité, il faut s'en occuper rapidement et de manière proactive. Pourtant, beaucoup continuent de sous-estimer ce besoin d'anticipation.
«Les vérifications techniques des vulnérabilités potentielles à l'aide de logiciels de sécurité sont importantes, mais seules des personnes bien réelles sont capables de comprendre le raisonnement des cybercriminels.»
L'hôpital cantonal de Thoune s'est livré à un exercice de hacking éthique pour détecter les failles de son système informatique. Le résultat fut impressionnant…
En peu de temps, les hackers éthiques ont identifié plusieurs failles majeures. Ils ont même découvert que l'hôpital avait déjà été la cible d'une cyberattaque. Il est difficile, a posteriori, d'évaluer la gravité potentielle de cet incident. Grâce à ces découvertes, l'hôpital a pu corriger ses vulnérabilités.
Sous le terme «programme de bug bounty», on entend une «prime aux failles de sécurité». Les hackers éthiques reçoivent généralement une récompense (bounty) pour la découverte de failles ou de points faibles (bugs) dans un système informatique.
Depuis 2021, l'hôpital universitaire de Zurich se soumet lui aussi à des contrôles réguliers de ce type. Quels en ont été les résultats?
Là aussi, des vulnérabilités potentielles ont été détectées, alors qu'elles n'avaient pas été identifiées lors des tests précédents. Depuis, le programme de Bug Bounty est intégré de manière continue à la stratégie de sécurité de l'information de l'USZ. Cela se révèle également judicieux d'un point de vue financier, car remédier aux conséquences d'une cyberattaque majeure coûte bien plus cher que des mesures préventives.
Comment les hackers éthiques procèdent-ils dans leur travail?
En général, nous invitons plusieurs hackers vérifiés et leur attribuons une somme déterminée sous forme de «bounty wallet». Ils reçoivent une prime proportionnelle au degré de dangerosité des bugs qu'ils découvrent. S'ils ne trouvent rien, ils ne sont pas rémunérés.
«L'avenir appartient à la proactivité. Les hôpitaux doivent abandonner une attitude réactive au profit d'une stratégie de sécurité prévoyante.»
Des mesures appropriées peuvent alors être engagées sur la base des failles identifiées. Un des grands avantages du Bug Bounty est qu'il simule une situation réelle.
Bien que les vérifications techniques automatisées soient importantes, seules des personnes peuvent réellement anticiper le raisonnement des cybercriminels.
Quand on parle de piratage, on pense inévitablement à un acte criminel. L'entreprise n'est-elle pas exposée à un risque?
Les entreprises ne courent pas de risque supplémentaire. Au contraire, elles gagnent une meilleure compréhension des cyber-risques qu'elles encourent déjà. Les hackers éthiques opèrent dans un cadre contractuel clair, appelé «safe harbor juridique». Si un hacker dépasse les limites, il perd cette protection et peut être poursuivi.
D'après votre expérience, quels sont les principaux objectifs des cybercriminels lorsqu'ils attaquent un hôpital?
Les hôpitaux sont des cibles attrayantes, car leurs données sont cruciales pour la sécurité des patients. Avec la numérisation croissante, leur dépendance aux systèmes informatiques augmente, ce qui les rend encore plus vulnérables. Les criminels visent souvent un paiement rapide de rançons.
Quel rôle jouent les obstacles organisationnels au sein des hôpitaux en matière de cybersécurité?
Bien souvent, il manque une stratégie claire et une capacité de réaction rapide. Même lorsque des failles sont identifiées, les actions tardent parfois, ce qui donne un avantage aux pirates. À cela s'ajoutent des budgets limités et une sous-estimation de l'importance des investissements dans la prévention.
Quel est l'avenir de la cybersécurité dans les hôpitaux? Qu'est-ce qui doit changer?
L'avenir appartient à la proactivité. Les hôpitaux doivent passer d'une attitude réactive à une stratégie de sécurité prévoyante. En investissant tôt dans la prévention, ils peuvent éviter de nombreux problèmes. Les contrôles réguliers et la collaboration avec des hackers éthiques devraient devenir la norme.
Interview traduite de l'allemand.
