Trois problèmes pourraient avoir un impact sur la cyber-résilience de
l'organisation et risquent de la mettre dans la ligne de mire des
cyberattaques.
Deux ans après avoir été gravement touché par
l’épidémie WannaCryptor, le National
Health Service (NHS) du Royaume-Uni a encore beaucoup de travail à faire pour
éviter un autre cyberincident invalidant, selon un white paper de
l’Institute of Global Health Innovation du Collège impérial de Londres.
Un trio de problèmes – des systèmes informatiques
désuets, le sous-investissement dans la cybersécurité et un manque de
sensibilisation et de compétences en matière de cybersécurité – ont mis l’établissement
et la sécurité de ses patients en danger. Le white paper en question a été
présenté avant-hier à la Chambre des Lords.
Les experts y donnent un avertissement sérieux au
NHS : « Une cyberattaque sur le système informatique d’un hôpital peut empêcher
le personnel médical d’accéder à des détails importants sur les patients, comme
les résultats d’analyses sanguines ou de radiographies, ce qui signifie qu’il
est incapable d’offrir des soins appropriés et opportuns. Elle peut également
empêcher le bon fonctionnement de l’équipement ou des dispositifs médicaux qui
sauvent des vies et, dans certains cas, entraîner le vol de données sur les
patients », peut-on lire dans un avertissement des experts.
Ils mettent également en évidence les risques liés
à l’utilisation des nouvelles
technologies dans le système de santé,
notamment « la robotique, l’intelligence artificielle, les dispositifs
médicaux implantables et les médicaments personnalisés basés sur les gènes de
l’individu, » et demandent que la sécurité soit intégrée dans la
conception de ces technologies.
Ensuite, il y a bien sûr la nécessité de
gérer les
risques liés aux tierces parties,
car le recours à des fournisseurs de services informatiques externes peut
rendre les données des patients vulnérables au vol et à l’exploitation.
Jake Moore,
spécialiste de la cybersécurité d’ESET, explique que « De plus en plus
d’entreprises technologiques tierces sont amenées à aider les organisations
gouvernementales dans leur travail quotidien car l’externalisation est
considérée comme une option moins coûteuse. Cependant, lorsque de telles
opérations tierces sont choisies, la raison principale peut parfois être
uniquement liée au coût, ce qui peut inévitablement placer la sécurité et la
protection des systèmes en bas de la liste des priorités. »
Il ajoute : « Par conséquent, la protection
des données confidentielles sur la santé de ses patients devrait être
considérée comme la priorité numéro un, quel qu’en soit le coût. »
Des progrès,
mais beaucoup de travail à venir
Le white paper reconnaît le travail qui est en
cours dans l’ensemble du système de santé pour renforcer sa cyberpréparation, y
compris un plan annoncé par le ministère de la Santé et des Affaires sociales
en octobre 2018 incluant des
dépenses de 150 millions £ (188 millions $US)
au cours des trois prochaines années pour renforcer la cyberpréparation du NHS.
Cela dit, le rapport indique également que des
investissements supplémentaires sont nécessaires de toute urgence et suggère
d’autres mesures que les organismes du NHS devraient mettre en place en vue
d’améliorer leur capacité à repousser les cyberattaques.
Entre autres choses, il exhorte le NHS à embaucher
des professionnels de la cybersécurité, à veiller à ce que le personnel sache
où il peut demander de l’aide et des conseils en matière de sécurité
informatique et à mettre en œuvre des stratégies de segmentation et de ségrégation du réseau pour
empêcher les menaces potentielles de se propager davantage et limiter les
dommages.