Les cyberattaques ne cessent de se généraliser. Si elles ne visaient autrefois que certaines entreprises et certains secteurs bien précis, tout établissement peut aujourd'hui en être la cible. Les hôpitaux n'échappent pas à la règle. Véritable trésor de données personnelles, leurs systèmes informatiques représentent un butin précieux pour certains hackers. Le bureau PwC a d'ailleurs récemment mené une étude sur les risques de cyberattaque pour le secteur des soins de santé et pointe certaines faiblesses.

"Le rapport dévoile les dangers potentiels d’une cyberattaque sur les systèmes de technologie opérationnelle (OT)", pointent les auteurs. Les systèmes OT sont les systèmes de ventilation, d’approvisionnement en eau et en oxygène, les ascenseurs, les portes électriques, l’éclairage, etc. "Ils sont essentiels au fonctionnement d’un hôpital, a fortiori pendant une pandémie mondiale."

Or, leur protection laisse à désirer. "Les équipes informatiques et de cybersécurité les négligent souvent quand il s’agit d’identifier les points d’accès potentiels pour les intrus", continue le rapport.

Une porte d'entrée comme une autre

Les systèmes OT peuvent également servir de porte d'accès aux hackers, qui se dirigent ensuite vers le reste des systèmes informatiques. "Les défenses informatiques modernes donnent de plus en plus de fil à retordre à ceux qui tentent de les percer, si bien que les hackers cherchent d’autres points d’accès. Les systèmes OT constituent donc de plus en plus un risque potentiel", explique Vito Rallo, Director Threat & Response Management chez PwC Belgique. "Même si ce risque ne paraît pas élevé, les cybercriminels cherchent toujours le point d’entrée le plus facile. D’où la nécessité absolue d’inclure les systèmes OT dans l’inventaire des risques. La violation d’un système OT peut d’ailleurs faciliter l’accès aux systèmes informatiques et aux données."

Pour PwC, les hôpitaux doivent donc faire preuve d'une rigueur absolue en matière de protection numérique. "Ils doivent réfléchir à instaurer une culture de la 'cyberhygiène' qui fasse écho aux efforts d’hygiène physique tellement répandus dans le secteur des soins de santé. Les hôpitaux devraient également mettre en place une approche générale qui englobe la technologie, les processus et les individus. Pour être véritablement efficace, le système doit aller au-delà des moments d’évaluation isolés et reposer sur une évaluation continue liée à l’évolution du paysage des menaces", préconisent ainsi les auteurs.