Les hôpitaux suisses sont-ils armés pour contrer des attaques informatiques? Dossier électronique du patient, intelligence artificielle, automatisation des processus… la numérisation galopante des services hospitaliers pose la délicate question de la sécurité. En mai 2017, plusieurs hôpitaux britanniques ont été paralysés par des attaques informatiques à la suite de l’intrusion d’un logiciel malveillant infectant des milliers d’ordinateurs. En novembre 2019, c’est le Centre hospitalier universitaire de Rouen, en France, qui a subi les assauts de pirates informatiques. La Suisse est tout aussi exposée.
Matthias Spielmann dirige l’hôpital de Wetzikon (ZH). A l’automne 2019, le directeur a mené un test de sécurité en chargeant un hacker de tester le système informatique interne de l’hôpital. Le pirate informatique, déguisé en médecin, s’est fondu dans la masse du personnel soignant, obtenant au passage les mots de passe pour entrer dans les systèmes informatiques de l’hôpital. Face à ce risque humain, Matthias Spielmann a pris des mesures de sensibilisation du personnel. Il sera l’invité des Swiss Cyber Security Days qui se dérouleront du 12 au 13 février 2020 au Forum Fribourg.
Pourquoi avez-vous mené un test d’intrusion dans votre hôpital en automne dernier et comment avez-vous réagi face aux failles sécuritaires?
Je voulais avant tout savoir si la structure que je dirige était en sécurité. J’ai donc demandé un audit qui s’est terminé par ce test d’intrusion. Nous avons fourni une blouse blanche à notre hacker complice. Grâce à cet uniforme, il a pu obtenir les mots de passe des systèmes de l’hôpital en les demandant tout simplement au personnel. Les collaborateurs n’ont jamais douté que derrière la blouse blanche se cachait un pirate criminel. En matière de cybersécurité, le risque humain est important.
Avec la numérisation galopante et la démocratisation de l’intelligence artificielle, les structures hospitalières sont-elles plus particulièrement exposées aux attaques informatiques?
Par rapport aux banques, les hôpitaux étaient jusque-là épargnés. Mais cette époque est révolue. Le danger ne cesse de croître à mesure que l’on augmente la mise en réseau des appareils. Mis à part la prise de la tension artérielle et de la température, tout est automatisé. En cas de piratage, c’est le bon fonctionnement de l’hôpital et la qualité des soins qui sont en danger. Les hôpitaux doivent investir davantage dans la cybersécurité. Face aux risques, il faut améliorer la formation du personnel soignant. Parce qu’il représente toujours la principale porte d’entrée pour les cyberattaques.
Quelles mesures avez-vous prises pour réduire ce risque humain et renforcer la sécurité de votre hôpital?
Nous avons tout d’abord renforcé la sécurité des systèmes, puis nous avons axé toutes nos mesures sur la formation, la communication et le partage de cas concrets. La sécurité totale n’existe pas, mais si nous augmentons la prise de conscience des collaborateurs, nous parviendrons à réduire un certain nombre de risques. Les gens viennent à l’hôpital pour être soignés. Ils ne se doutent pas que la structure peut être la cible d’attaques. Ensuite, nous avons réfléchi aux moyens que nous avions à disposition pour lutter contre les cybercriminalités. Beaucoup d’hôpitaux n’ont pas de protocole. Nous avons donc établi un protocole d’urgence en cas d’attaque. La mise sur pied de ces standards de sécurité prend du temps, mais c’est crucial.