Hôpitaux et établissements de santé : 6 erreurs de sécurité informatique fréquentes et faciles à corriger

Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.

Voici quelques erreurs de sécurité informatique pour lesquelles des solutions simples peuvent ainsi être envisagées afin de protéger les données sensibles des établissements de santé.

🟠 1 – L’oubli des mises à jour logicielles : une faille évitable

L’une des erreurs les plus courantes reste le manque de mise à jour des logiciels, un geste pourtant fondamental en matière de sécurité informatique. Les établissements de santé utilisent souvent des logiciels spécifiques dont les mises à jour sont parfois négligées, faute de temps ou de ressources. Cependant, chaque mise à jour apporte des correctifs qui comblent des failles potentielles exploitées par les cybercriminels.

Des solutions existent pour automatiser ces mises à jour ou pour planifier des créneaux spécifiques de maintenance afin de s’assurer que les outils utilisés sont toujours à jour et sécurisés. Une simple procédure régulière peut ainsi prévenir bien des vulnérabilités.

🟠 2 – Des mots de passe insuffisamment sécurisés

Le choix de mots de passe complexes et leur renouvellement fréquent semblent évidents, mais ils sont souvent ignorés dans les établissements de santé. Beaucoup d’employés utilisent encore des mots de passe simples ou des variantes de leurs identifiants de connexion, augmentant ainsi le risque de piratage.

Pour pallier ce risque, l’instauration de politiques de mots de passe robustes, couplée à une formation des employés sur l’importance de la sécurité, peut suffire à réduire le risque d’intrusion. Une autre option consiste à implémenter des solutions de gestion de mots de passe qui simplifient la création et la gestion de mots de passe forts pour l’ensemble du personnel.

🟠 3 – Une absence de segmentation des réseaux interne  

Dans de nombreux hôpitaux et établissements de santé, le réseau informatique est peu ou mal segmenté, facilitant ainsi l’accès des cybercriminels à l’ensemble du système en cas d’intrusion. Cette absence de cloisonnement interne rend l’attaque potentiellement dévastatrice, car une faille dans un sous-réseau peut compromettre tout l’écosystème numérique de l’établissement.

La segmentation des réseaux permet de limiter la propagation des menaces et de protéger les zones les plus sensibles. Par exemple, le réseau dédié aux dossiers médicaux peut être isolé des autres segments du réseau, réduisant ainsi l’impact potentiel d’une brèche de sécurité.

🟠 4 – Des sauvegardes non sécurisées ou incomplètes

Si les sauvegardes sont désormais une pratique courante, beaucoup d’établissements de santé n’appliquent pas de mesures de sécurité suffisantes pour les protéger. Certaines sauvegardes sont même réalisées sur des supports non sécurisés ou sans plan de récupération en cas de perte de données, ce qui laisse les informations sensibles exposées aux cyberattaques.

Pour éviter de tels risques, il est indispensable de stocker les sauvegardes sur des serveurs sécurisés et de tester régulièrement les procédures de restauration. Des sauvegardes sécurisées et fréquentes permettent de garantir la continuité des soins et la protection des données.

🟠 5 – Une sensibilisation insuffisante du personnel aux risques informatiques

Les cyberattaques réussissent souvent en raison d’un manque de vigilance ou d’une méconnaissance des bonnes pratiques par le personnel. Les erreurs humaines, comme l’ouverture de fichiers ou de liens frauduleux, sont l’une des principales sources d’incidents de sécurité.

Investir dans des programmes de formation réguliers et adaptés à tous les niveaux de l’organisation permet de sensibiliser le personnel aux risques informatiques et de leur apprendre à identifier les tentatives de phishing ou autres menaces courantes. La sensibilisation est un investissement peu coûteux mais qui peut s’avérer essentiel pour renforcer la sécurité informatique globale.

🟠 6 – Un manque de contrôle des accès au système

Enfin, de nombreux établissements de santé n’ont pas de politique stricte de gestion des accès. Les droits d’accès des utilisateurs sont souvent trop étendus, laissant un large éventail de personnes accéder à des données sensibles sans justification.

Une bonne pratique consiste à adopter une politique de « moindre privilège », où chaque employé dispose uniquement des accès nécessaires à l’exercice de ses fonctions. Cette approche limite l’exposition des données sensibles en cas de compromission d’un compte.

🟠 Conclusion

Bien que les cyberattaques visant les établissements de santé aient quelque peu ralenti, les erreurs de sécurité de base demeurent un problème récurrent. Les solutions pour y remédier ne nécessitent pourtant ni investissements massifs ni ressources excessives : des mises à jour régulières, des politiques de mots de passe renforcées, une segmentation des réseaux, des sauvegardes sécurisées, la sensibilisation du personnel et une gestion stricte des accès peuvent faire une réelle différence. En appliquant ces mesures simples, les hôpitaux et établissements de santé peuvent mieux protéger leurs données et assurer la continuité des soins en toute sécurité.

 

Pour en savoir plus / sources :

Le fichier de Traitement des Antécédents Judiciaires (TAJ), outil indispensable des forces de l’ordre, fait l’objet de critiques de la part de la Commission Nationale de l’Informatique et des Libertés (CNIL). Ce fichier, qui regroupe des données sensibles sur des millions de personnes, enfreint plusieurs dispositions de la Loi Informatique et Libertés, ainsi que les principes du Règlement Général sur la Protection des Données (RGPD).

Le 27 octobre 2024, Free, l’un des principaux opérateurs télécoms en France, a été frappé par une cyberattaque de grosse ampleur. Un pirate informatique a revendiqué le vol massif de données personnelles de millions d’abonnés et a diffusé un échantillon de coordonnées bancaires en guise de preuve. Cet acte, qualifié « d’avertissement », met en lumière les failles de sécurité des entreprises face à des cybermenaces toujours plus sophistiquées.

Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.

Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.