Les hôpitaux deviennent une cible de plus en plus tentante pour les cybercriminels. Ils profitent des failles sur les réseaux pour partager des logiciels de rançon ou pour tenter de voler des données personnelles sensibles sur les patients.

Aujourd’hui, l’ENISA, l’agence de l’Union européenne pour la cybersécurité, a publié des conseils pour améliorer la cyberdéfense des hôpitaux.

Bien que cette liste vise les infrastructures médicales, la plupart des recommandations peuvent être applicables dans de nombreux secteurs.

Pour plus de détails consulter le document officiel « Procurement Guidelines For Cybersecurity in Hospitals« .

Mettre en œuvre un processus d’identification et de gestion des vulnérabilités

Malheureusement, il existe des produits qui contiennent des vulnérabilités, connues ou non encore découvertes. La mise en place d’une stratégie pour gérer les vulnérabilités tout au long du cycle de vie d’un appareil peut aider l’équipe de cybersécurité à garder le contrôle des problèmes de potentiels.

Élaborer une politique pour les mises à jour matérielles et logicielles

Les chercheurs en sécurité découvrent souvent de nouvelles vulnérabilités dans les appareils et les systèmes d’exploitation. Cependant, les réseaux médicaux ont toujours été incapables de garantir l’application des correctifs. C’est notamment l’une des raisons pour lesquelles le logiciel de rançon WannaCry a eu un impact aussi important sur le NHS (système de santé britannique). Le document recommande aux départements informatiques de déterminer le moment le plus approprié pour appliquer les correctifs dans chaque segment du réseau, ainsi que de déterminer des solutions de contournement pour les machines qui ne peuvent pas être corrigées, comme la segmentation.

Renforcer les contrôles de sécurité pour les communications sans fil

L’accès aux réseaux hospitaliers doit être limité par des contrôles stricts, ce qui signifie que le nombre d’appareils connectés doit être surveillé et connu, de manière à identifier tout appareil inattendu ou indésirable qui tenterait d’y accéder. Le document recommande que le personnel non autorisé n’ait pas accès au Wi-Fi et que les mots de passe des réseaux soient forts.

Établir des politiques de test

Les hôpitaux qui acquièrent de nouveaux produits informatiques devraient établir un ensemble minimum de tests de sécurité à effectuer sur les nouveaux appareils ajoutés aux réseaux, y compris simuler de fausses attaques une fois qu’ils sont ajoutés au réseau, pour tenir compte de la manière dont les pirates pourraient tenter d’abuser des failles.

Prendre en compte les questions d’interopérabilité

La capacité des machines à transférer des informations et des données est essentielle au bon fonctionnement des hôpitaux – mais elle pourrait être compromise en cas de cyberattaque ou de panne. L’hôpital doit disposer de plans de secours au cas où cette opération serait compromise.

Crypter les données personnelles sensibles

Pour assurer le respect du règlement général sur la protection des données et pour garantir la sécurité des patients et du personnel, les informations sensibles doivent être cryptées, de sorte que si des personnes extérieures accèdent aux systèmes, elles risquent de leur être inutiles.

En suivant ces conseils, les organismes de santé peuvent s’assurer que les réseaux, le personnel et les patients sont aussi bien protégés.