Epic, Cistec, Ines: cybersécurité défaillante des hôpitaux suisses

L'Institut national de test de cybersécurité (NTC) de la ville de Zoug a identifié de sérieuses failles de sécurité dans les systèmes d'information hospitaliers (SIH). Les produits de l'entreprise américaine Epic, de la société zurichoise Cistec ainsi que d'Ines, fabricant allemand, ont été soumis à des tests.

En Suisse, il existe entre trois et cinq solutions SIH utilisées quotidiennement. Conçues spécialement pour répondre aux exigences et aux particularités du système de santé suisse, ces solutions sont employées par presque tous les grands hôpitaux du pays. Une série d'entretiens menés auprès de différents hôpitaux a révélé que, malgré l'importance critique de ces systèmes, les contrôles de sécurité ne sont que rarement effectués, relève le NTC: «Il s’agit notamment de prendre en compte les exigences en matière de cybersécurité dès l’étape de l’acquisition de l’informatique et de réaliser des analyses de vulnérabilité régulières en vue d’un contrôle continu. En particulier dans les petits hôpitaux, les responsabilités en matière de cybersécurité doivent être clairement définies et les ressources nécessaires doivent être mises à disposition.»

L'examen a été réalisé à l'initiative de l'Institut national des tests et à l'aide de ses ressources. Les hôpitaux impliqués l'ont appuyé sur le plan organisationnel et ont contribué à ses coûts, à l'instar du groupe bernois Insel. À défaut de pouvoir citer des noms, le NTC fait état de difficultés rencontrées lors de l'examen: certains fabricants auraient demandé à signer des accords de confidentialité, non seulement avec lui, mais aussi avec les hôpitaux. Le NTC se montre toutefois catégorique : de tels accords seront systématiquement refusés s'ils ne servent pas la protection des données des patients, mais uniquement les intérêts des fabricants.

Les hôpitaux impliqués, comme les hôpitaux cantonaux de Zoug, Winterthur, Grisons et Argovie, auraient soutenu cette position «avec engagement».

Les tests révèlent qu'il est urgent de procéder à des vérifications de cybersécurité, souligne le rapport. De graves vulnérabilités ont été identifiées dans chacun des systèmes examinés, certains étant nettement plus touchés que d'autres. Au total, ce sont plus de 40 vulnérabilités moyennes à graves qui ont été recensées.

Trois d'entre elles affichent un niveau de gravité maximal. Les principaux problèmes concerneraient l'architecture de base, un cryptage absent ou incorrectement appliqué, des systèmes périphériques vulnérables et une séparation insuffisante entre les environnements de test et de production.

«Certaines des failles identifiées permettaient d’accéder à l’ensemble des systèmes et des données des patients en l’espace de quelques heures», peut-on lire dans le communiqué accompagnant le rapport. Si la plupart des vulnérabilités concernées ont été entre-temps corrigées ou désamorcées par des mesures mitigatoires, certains problèmes fondamentaux nécessiteraient une refonte complète de l'architecture logicielle – «ce qui, d’après les fabricants, prendra plusieurs années».

Les détails relatifs aux vulnérabilités ne sont volontairement pas mentionnés dans le rapport. En revanche, une note générale aurait été diffusée via le NTC Vulnerability Hub et les hôpitaux concernés auraient été informés de manière ciblée via le Cyber Security Hub (CSH) de l'Office fédéral de la cybersécurité (Bacs). Tous les fabricants ont reconnu «qu'une architecture qui prend en compte la sécurité dès le début est indispensable», précisent les examinateurs du NTC. Si certains fabricants ont entamé ce changement très tôt et sont déjà bien avancés, d'autres n'en sont encore qu'au début.

Interrogé par le «Tagesschau» de la SRF, Cistec déclarait à propos des résultats: «Le test n'a révélé qu'une seule faille critique dans notre système. Celle-ci ne pouvait être exploitée que par une personne disposant de toutes les permissions dans le réseau interne de l'hôpital. Cette faille a été refermée entre-temps».

Les deux autres entreprises, Ines et Epic, ont fait savoir qu'elles accordent une grande importance à la cybersécurité et qu'elles accueillent favorablement de tels tests de vulnérabilité.

Le rapport contient également huit recommandations principales pour améliorer durablement la cybersécurité dans les hôpitaux suisses. «Il s’agit notamment de prendre en compte les exigences en matière de cybersécurité dès l’étape de l’acquisition de l’informatique et de réaliser des analyses de vulnérabilité régulières en vue d’un contrôle continu. En particulier dans les petits hôpitaux, les responsabilités en matière de cybersécurité doivent être clairement définies et les ressources nécessaires doivent être mises à disposition», constate le NTC, qui recommande en outre une mise en réseau renforcée entre les hôpitaux et l'accès au Cyber Security Hub. Le résultat de ces examens souligne la nécessité de procéder à des contrôles de sécurité réguliers et de définir clairement les responsabilités, conclut l'institut.

Interview de Kristian Schneider, vice-président de H+, la faitière des hôpitaux suisses, et directeur du Centre Hospitalier de Bienne, émission «Forum» de la «Radio Télévision Suisse» (RTS), 23 janvier 2024.