Discussion :

[Sandra Coret]

75 % des prestataires de santé utilisent des équipements au système d’exploitation obsolète, en France, seuls 10 % d'entre eux assurent que leurs équipements utilisent les dernières versions logicielles

Selon le dernier rapport de Kaspersky sur le secteur de la santé, seulement 20 % des prestataires de santé européens – et 10 % des Français – assurent que leurs équipements utilisent les dernières versions logicielles. Pire encore : en France, 50 % des sondés ont conscience d’utiliser des systèmes obsolètes et 40 % ne savent pas si leur système d’exploitation est à jour ou non. Une situation qui constitue une vulnérabilité supplémentaire vis-à-vis des risques cyber.


En médecine, l’innovation a toujours joué un rôle essentiel et littéralement vital. La récente pandémie a toutefois obligé le secteur à accélérer le déploiement de nouveautés : selon une récente enquête d’Accenture, 81 % des dirigeants dans le secteur de la santé ont en effet constaté cette numérisation à marche forcée. Ce virage massif s’accompagne-t-il d’une montée en puissance de la sécurité ? Pour le savoir, Kaspersky a interrogé des organisations médicales dans le monde entier.

Il en ressort que les logiciels obsolètes sont très répandus dans ces organisations. Les principales raisons invoquées sont, entre autres, le coût élevé des mises à jour, les problèmes de compatibilité ou l’absence de savoir interne en la matière. En France, le problème vient avant tout du manque d’expertise et de connaissances informatique des acteurs des organisations médicales.

L’utilisation d‘outils dépassés est une source potentielle d’incidents cyber. Lorsqu’un développeur arrête le support pour un produit, il arrête de publier des mises à jour, avec entre autres des améliorations ou des correctifs de sécurité pour des vulnérabilités récemment découvertes. En l’absence de correctif, ces failles peuvent rapidement devenir une première voie d’accès à l’infrastructure de l’organisation, et ce même sans grandes compétences d’attaque. Les organisations médicales, qui collectent de nombreuses données à la fois sensibles et précieuses, comptent parmi les cibles les plus lucratives. Or un appareil non mis à jour facilite les intrusions criminelles.

Quel est niveau de préparation du secteur médical en termes de cybersécurité ? Seulement 28 % des salariés ont confiance dans la capacité de leur organisation à repousser toute attaque ou intrusion dans son infrastructure. Plus étonnant, alors que les salariés français sont les premiers à déclarer manquer de compétences informatiques, 40 % d’entre eux estiment que leur organisation est bien armée face aux attaques. Cette confiance est paradoxale dans la mesure où ils ne sont que 20 % à penser que leur organisation dispose d’une bonne sécurité informatique avec du matériel et des logiciels appropriés et à jour (contre 27 % en Europe).

En parallèle, plus d’un tiers (34 %) des Européens et 20 % des Français admettent que leur organisation a déjà été la cible d’une attaque de ransomware.

Pour Sergey Martsynkyan, VP, Corporate Product Marketing, Kaspersky : « Le monde de la santé est en train de se tourner activement vers les dispositifs connectés. S’ils facilitent l’accès à l’assistance médicale, ils posent toutefois des questions de cybersécurité inédites, propres aux systèmes embarqués. Notre rapport confirme que de nombreuses organisations médicales utilisent encore des systèmes d’exploitation obsolètes, dont la mise à niveau pose problème. Une stratégie de modernisation s’impose mais, en attendant, diverses solutions et mesures peuvent contribuer à réduire les risques. En étant associé avec une sensibilisation du personnel médical, ces mesures améliorent notablement le niveau de sécurité et ouvrent la porte à l’évolution future du secteur de la santé. »

Afin de minimiser la probabilité d’incidents dus à des systèmes obsolètes et vulnérables, Kaspersky conseille aux organisations médicales de prendre les mesures suivantes :

• Inculquer à votre personnel des principes de base en matière de cybersécurité, car beaucoup d’attaques ciblées sont exécutées à partir de courriels de phishing ou par des techniques d’ingénierie sociale ;
• Conduire un audit de cybersécurité sur votre réseau et résorber toute faille détectée à l’intérieur ou dans le périmètre du réseau ;
• Installer des solutions anti-APT et EDR, qui offrent des capacités de détection et de découverte des menaces, d’investigation et de traitement des incidents. Fournir aux SOC l’accès aux toutes dernières données en matière de menaces et leur dispenser des formations régulières pour les aider à actualiser leurs compétences. Toutes ces mesures sont intégrées dans la solution Kaspersky Expert Security ;
• En plus d’une protection efficace des terminaux, certains produits ciblés peuvent aider à se défendre contre les attaques de grande ampleur. La solution Managed Detection and Response permet d’anticiper et de bloquer les attaques avant que les acteurs malveillants n’arrivent à leurs fins ;
• Renforcer les systèmes embarqués dans des dispositifs médicaux rarement mis à jour. La solution Kaspersky Embedded System Security offre une efficacité opérationnelle même sur les logiciels anciens et les systèmes hérités ou peu performants, sans surcharger le système. Dans sa dernière mise à jour, elle offre des fonctionnalités de gestion dans le cloud, et permet donc de piloter les dispositifs embarqués depuis la même console d’administration que les autres terminaux.

A propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde.

Source : Kaspersky

Et vous ?

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
A votre avis, pourquoi autant d'organisations médicales utilisent toujours des systèmes obsolètes ?

Voir aussi :

Les cyberattaques ont augmenté de 50 % en 2021 et atteint un pic en décembre, à cause de la faille qui a impacté la bibliothèque logicielle Log4J, d'après une analyse Check Point Research

Microsoft confirme l'acquisition de la société d'IA, Nuance Communications, pour près de 20 milliards $, soit la plus importante acquisition après LinkedIn

52 % des applications du secteur de la santé présentent au moins une vulnérabilité sérieuse - classée "élevée" ou "critique" sur l'échelle CVSS - ouverte tout au long de l'année, selon NTT

Plus de 102 millions de dossiers médicaux exposés suite à des cyberattaques en 2020, d'après Tenable, les ransomwares sont à l'origine de la majorité des compromissions dans le domaine de la santé

[tabouret]

Parce qu'ils flippent à l'idée de tout faire planter en faisant un upgrade.
Mais c'est clair si la team sécurité/admin système ne pousse pas à fond pour planifier des upgrades d'OS, rien ne sera fait du coté des prestataires de santé.

[GLDavid]

Parce qu'ils flippent à l'idée de tout faire planter en faisant un upgrade.
Mais c'est clair si la team sécurité/admin système ne pousse pas à fond pour planifier des upgrades d'OS, rien ne sera fait du coté des prestataires de santé.

Bonjour

Justement, je suis responsable des migrations de postes de laboratoires vers Windows 10, de la Compliance et de l'Intégrité des Données.
Mes clients sont principalement des sociétés pharma et des biotech'.
Tu as raison, migrer n'est jamais évident et la plupart du temps, les récalcitrants me disent:

Pourquoi migrer alors que ça marche depuis longtemps ?

Oui, ça marche... Mais pour combien de temps ? Par ailleurs, il y a une dimension réglementaire à prendre en compte. Les réglementations en vigueur, qu'elles soient 21 CFR Part 11 ou GAMP5, préconisent des systèmes à jour et non obsolètes. Consultez par exemple les Warning Letters de la FDA et vous verrez que la plupart du temps, les entreprises sont mis en cause dans leur lutte contre l'obsolescence et des problèmes d'intégrité de données par conséquent. Par ailleurs, il ne vous aura pas échappé que certaines boîtes se font attaquer par des ransomwares et ceux que j'ai eu à traiter ont été impactés sur les systèmes en production et obsolètes ou non mis à jour. Enfin, croyez moi, les départements IT sont là plus pour la bobologie des PC et les mises en place que pour ces aspects de maintenance. Sans compter que toutes les équipes croulent sous les projets.
Après, je déploies mes équipiers pour que la migration s'effectue de manière sécurisée: experts IT et CSV pour les aspects documentaires et réglementaires.
Vous n'avez pas idée des dinosaures encore en production que je peux trouver !

@++

[Eric80]

Si on regarde les PC dans les hopitaux, bcp sont encore avec un Windows 7 voire XP.
Ou un 10 pas MAJ.

M est avis que les départements IT des hôpitaux (et de l administration en général) sont en sous effectifs (comme à peu prés toutes les équipes dans les hôpitaux!).
Par ailleurs, les hôpitaux et autres admin n'offrent PAS les salaires de l industrie, donc ne peuvent pas avoir les personnels les plus compétents (hors exceptions).

Certains sont aidés par des boites externes (dont la tienne, GLDavid?). J imagine que le plus convaincant sur ces sujets et de simuler une attaque, par ex détourner des données. Mais j imagine que c est compliqué dans un cadre légal...

[Steinvikel]

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Il semble logique et cohérent, et se conforme assez bien à ce que j'ai pu croisé dans le milieu médical.
A ceci près : parmi les "organisations médicales" ou les "acteurs de la santé", il faut comprendre qu'il y a des grosses structures, hôpitaux, laboratoires, CPAM... et puis l'autre moitié du tissu de la santé >> les professionnels de santé isolés.
C'est à dire : les cabinets médicaux (à 1 ou plusieurs médecins), les pharmacie, les kiné, ophtalmo, etc.
Et pour toute cette 2e moitié, il y a à la fois une sous-estimation de l'importance que revêt l'informatique dans leur fonctionnement (et leur impact sur le pouvoir de production), et bien souvent une méconnaissance totale sur l'ampleur des risques actuellement encourus par l'état de leur parc. Certains fonctionnent même avec des anti-virus gratuits, voir sans AV du tout. ^^'

Cette face de la réalité, qu'un décideur en TPE ne souhaitera jamais dépenser plusieurs milliers d'euros pour renouveler des machines qui fonctionnent très bien, s'il n'est pas convaincu qu'il risque gros. La plupart des cas de migration que j'observe, c'est dû à l'arrêt de support des plateforme (ex : AMELI ne supporte plus Win 7, et ne fourni aucun support technique en conséquence).

A votre avis, pourquoi autant d'organisations médicales utilisent toujours des systèmes obsolètes ?
(voir ci-dessus) >> budget à alloué sur un sujet non seulement méconnu, mais avec des préjugés contraires aux faits (qui ne sont pas forcément visibles), et dont la revendication par les technicien/experts paraît être une bataille de clochers du point de vu des non techniques.

[GLDavid]

Si on regarde les PC dans les hopitaux, bcp sont encore avec un Windows 7 voire XP.
Ou un 10 pas MAJ.

M est avis que les départements IT des hôpitaux (et de l administration en général) sont en sous effectifs (comme à peu prés toutes les équipes dans les hôpitaux!).
Par ailleurs, les hôpitaux et autres admin n'offrent PAS les salaires de l industrie, donc ne peuvent pas avoir les personnels les plus compétents (hors exceptions).

Certains sont aidés par des boites externes (dont la tienne, GLDavid?). J imagine que le plus convaincant sur ces sujets et de simuler une attaque, par ex détourner des données. Mais j imagine que c est compliqué dans un cadre légal...

Tu as parfaitement raison. Après, simuler une attaque chez le client n'est pas la bonne solution pour des raisons d'assurances et évidemment de confidentialité, de sécurité et plus généralement de légalité.
D'où la difficulté de convaincre nos clients de migrer. Mais, au regard d'une attaque l'année dernière chez une pharma française, l'actualité peut nous aider et est une bonne dose de rappel

@++