La semaine dernière, des problèmes ICT avaient déclenché le plan-catastrophe interne au sein des hôpitaux du réseau ZNA. Le consultant en sécurité Rudolf de Schipper n'est pas surpris. "C'était la chronique d'un incident annoncé. ZNA peut encore parler de chance car je n'ose même pas imaginer ce qui se serait passé, si un cybercriminel s'en était pris à cette infrastructure", écrit-il.

Partager

Panne informatique dans des cliniques anversoises: 'Que cela serve de leçon car des vies pourraient en dépendre'

"Ouf!", telle fut ma réaction spontanée à l'annonce des problèmes IT dans les cliniques du réseau anversois ZNA, à la suite desquels le fonctionnement de différents bâtiments et services fut fortement perturbé. Mais ma réaction se doubla aussitôt d'une préoccupation justifiée: "Auront-ils cette fois enfin compris?"

Partager

Il y a deux à trois ans, j'ai, en tant que consultant en sécurité, visité de nombreux hôpitaux dans tout le pays. Ce que j'ai alors entendu et vu, dépasse tout entendement.

Rudolf de Schipper

Quelques explications s'imposent: Il y a deux à trois ans, j'ai, en tant que consultant en sécurité, visité de nombreux hôpitaux dans tout le pays. Nous voulions bien entendu leur vendre à terme des produits et services de sécurité, mais en première instance, nous souhaitions surtout établir un état des lieux de l'ensemble des cliniques sur base d'interviews du département ICT de chacune d'elles.

Ce que j'ai alors entendu et vu, dépasse tout entendement:

"Si notre équipement médical est connecté au réseau? Je ne sais pas vraiment. Non, je ne peux pas dire qui a accès à ces appareils."

"Nous voudrions avoir du soutien pour notre software, mais XP n'est malheureusement plus supporté."

"Ce serait bien que nous ayons un site de sauvegardes."

"Cela m'intéresserait d'effectuer des backups, mais nous n'avons hélas pas de budget pour cela."

Aucune des remarques susmentionnées ne sort de mon imagination, malheureusement. Et ce que j'ai vu, s'avérait souvent encore plus grave que ce que j'avais entendu lors des interviews.

Chronique d'un incident annoncé

La seule conclusion que nous avons pu tirer de nos visites aux cliniques, c'est que les ICT-managers savent pertinemment bien comment sécuriser suffisamment l'infrastructure en place, mais que quasiment aucun d'eux ne parvient à obtenir le budget nécessaire auprès de sa direction. Pour ces ICT-managers, il faut donc faire avec les moyens du bord et espérer ne pas être touché par une avarie quelconque. Les problèmes chez ZNA furent dans cette optique la chronique d'un incident annoncé.

Il me faut ici ajouter encore la réflexion suivante: cela aurait pu être nettement plus grave que les problèmes actuels, qui sont principalement dus à une panne système. Je n'ose imaginer ce qui se serait passé, si un cybercriminel s'en était pris sciemment à cette infrastructure avec de mauvaises intentions.

Facteur de risque 5: des vies menacées

Je comprends évidemment que les hôpitaux, tout comme n'importe quelle organisation finalement, sont aux prises avec des budgets limités et que l'ICT n'est actuellement pas considérée comme l'une des missions fondamentales de ces organismes de santé. Mais il y a un 'détail' qu'ils ont peut-être négligé un peu vite. Lors de l'évaluation des risques de sécurité, on envisage par défaut cinq catégories de dangers, afin que les entreprises puissent plus facilement estimer l'importance de la sécurité pour elles en tant qu'organisation. Ces catégories varient de 1 (impact minimal sur le fonctionnement de l'entreprise ou sur d'autres effets) à 5 (menaces maximales pour les vies humaines). Tout le monde est d'accord pour dire qu'au moins une partie de l'infrastructure hospitalière appartient à la catégorie supérieure. Tout le monde sauf la haute direction donc.

Partager

Il faut prendre conscience que la situation aurait pu être nettement plus grave. Une indisponibilité totale de l'infrastructure numérique peut coûter réellement des vies, et elle donc être sécurisée comme telle.

Mais trop souvent, on voit resurgir le même modèle. Les ICT-managers plaident pour une augmentation de leur budget sécurité et évoquent généralement les risques liés à une sécurité trop faible - y compris le danger pour les patients et les collaborateurs. La direction les écoute avec bienveillance, mais décide en fin de compte qu'il y a des projets encore plus urgents, qui s'intègrent "plus étroitement à la mission de l'entreprise et aux priorités correspondantes". Si un incident se manifeste alors, comme c'est à présent le cas chez ZNA, ces mêmes managers se disent surpris de 'découvrir'... subitement que leur sécurité et la reprise après sinistre sont insuffisantes. Dans le pire des cas, ils essuient la sueur de leur front, se disent heureux que les dommages ne soient pas plus graves et ils poursuivent simplement leur chemin.

On ne peut qu'espérer que les problèmes chez ZNA soient un révélateur pour l'ensemble des hôpitaux. Qu'ils prennent conscience que cela aurait pu être nettement plus sérieux car une indisponibilité totale de l'infrastructure numérique peut coûter réellement des vies, et elle doit donc être sécurisée comme telle. On pourrait alors conclure après coup en toute sérénité que non seulement le réseau ZNA, mais toutes les cliniques belges peuvent souffler un ouf de soulagement du fait que l'incident soit plutôt limité. Et c'est sans parler de la réaction des patients.