S’ils ne sont pas les seuls à être touchés par les attaques informatiques, les hôpitaux restent les victimes qui émeuvent le plus l’opinion. Des progrès sont possibles, même à court terme, mais la solution miracle n’existe pas encore.
Que sait-on de la sécurité d’un hôpital (à moins d’être un spécialiste en la matière) ? On doit se contenter de voir et d’analyser. Dans chaque service, des PC portables connectés en Wifi sur des « servantes » mobiles. Dans les couloirs, on voit des médecins, tablette en main, envoyant et recevant des données. Des points d’accès Wifi gratuits pour les patients (comme si on était dans un hôtel et que les clients mécontents de l’absence d’Internet « gratuit » allaient pouvoir menacer d’aller dans un autre établissement !). Rien qu’avec ça, on se doute bien que la sécurité est illusoire…
1 « J'aime »
C’est aussi malheureusement dans un hôpital qu’il y a le plus besoin d’interconnexions: transferts d’information sur les patients, co-diagnostiques, maintenance du matériel, évolutivité du matériel et du logiciel, … Tout ça avec les « moyens du bord » (regroupement d’hôpitaux et de services informatiques => besoin de connexion encore une fois). C’est sur que c’est la porte ouverte à tous les abus mais difficile de faire autrement.
Quel politique va dire « Ok, je mets du fric pour l’hôpital mais cela ne sera pas pour les soignants ni pour les malades »…
1 « J'aime »
Tu connais le prix d’un réseau en propre? 
Et de toute façon, il y aurait des passerelles vers internet (certes plus faciles à contrôler)
pour les fournisseurs, et donc de gros points faibles. Au final, attendu que les problèmes de sécurité sont à 90% à l’origine une erreur humaine, je pense que la formation est infiniment plus rentable.
1 « J'aime »
Je ne pense vraiment pas que financièrement cela soit possible. J’ai travaillé dans diverse industries sensibles et je n’ai plus vu de réseau privés depuis peut être 20 ans. Même les militaires dépendent d’internet, il n’y a que les communications hertziennes qui sont sur une techno de communication propre (et encore basée sur des composants OTS).
Et quand je parle de fournisseurs, je parle de la pharmacie, du matériel, de la bouffe, …
Soyons plus « optimiste », c’est l’ordi du premier « gaffeur ».
Comme pour tout incident ou accident, la faute est TOUJOURS partagée: il y a toujours une erreur humaine (formation insuffisante, procédures trop contraignantes donc non respectées, démotivation, dilution de la responsabilité, informations contradictoires, non prise en compte des biais cognitifs, …) et rarement une intention directe au niveau du « maillon faible ».
De ce que j’ai lu à chaque fois, le virus était dans un courriel ou une page web.
Un bon anti-virus possède une fonction de scan à l’ouverture (lecture) d’un document et à sa fermeture (écriture), quelque soit son origine (disque, disquette, CD, clé USB). Il existe des anti-virus pour serveur de courriel qui scannent les courriers entrants et sortants.
Faut-il en conclure que les responsables de l’informatique n’ont pas déployé d’antivirus ? ça parait incroyable. Dès le début des années 90 j’ai déployé un anti-virus sur tous les postes de travail de mon centre de recherche (60 personnes, budget famélique, 6 serveurs). J’étais à l’époque le service informatique à moi tout seul.
Bref, pas besoin d’une équipe de sécurité dans ce cas là.
Y en avait-il au moins un service info digne de ce nom ?
A bannir pour la très très grande majorité des utilisateurs. Cela peut être hyper contraignant mais je ne compte plus le nombre de fois ou j’ai eu vu des clefs usb perso des utilisateurs vérolée jusqu’à la moelle.
Sur des sites dits « sensibles », courriels et accès web doivent faire l’objet d’un traitement particulier. Ne pas faire cela, si ton personnel n’est pas formé et est un simple utilisateur, tu risques de courir à la cata si tu te limites à un simple antivirus. Ce dernier est le strict minimum certes, mais très largement insuffisant.
C’est sur. Car c’est bien connu, « ça n’arrive qu’aux autres » ^^.
Il est évident que pour une activité qui n’est pas obligatoirement la cible de pirates en tout genre, tu n’auras peut-être pas besoin des derniers Quantum de chez Check Point. Pourtant, même dans les petites structures, sans investir des budgets collossaux, demander parfois un simple audit peut au moins te faire prendre conscience de risques/failles/problèmes éventuels.
1 « J'aime »
Les militaires américains oui. Mais on ne peut pas dire que les français aient vraiment participé à la création d’Arpanet, encore moins les russes… 
Je ne vois pas le rapport.
Un VPN (ou équivalent) n’est en aucun cas une protection suffisante, ça ne sert qu’à assurer que les transmissions ne seront pas interceptées, mais rien de plus, les points d’entrée du VPN sont aussi les postes qui très probablement servent à l’attaque. Au hasard mais probable: un mail vérolé ouvert sur le poste d’un fournisseur ou d’un administratif, donc le VPN n’y pourra pas grand chose…
La seule vraie protection est effectivement la déconnexion, mais totale: aucune passerelle, aucun périphérique connectable (et encore il a bien fallu installer un système et les logiciels, une merde dormante peut toujours être là). C’est le cas pour certains systèmes critiques, mais ça reste très rare, j’en ai vu passer des systèmes et je n’ai vu ça que 2 fois.
Il faudrait avant tout mutualiser les si.
De ce que j’ai compris les centres hospitaliers n’ont pas les mêmes outils du coup c’est de l’argent inutilement dépensé
Hello
Hélàs, la déconnexion complète c’est juste impossible (en terme de service) 
Quid des rendez-vous en ligne, compte-rendus d’hospitalisation numériques dispo pour le patient sur son compte etc…
On fait à l’ancienne, envoi par courrier pour l’un et rendez-vous par tel uniquement pour l’autre ?
CàD welcome back to 1990
Sinon - dans un cadre général - beugler que les IT dans l’hopital n’ont rien foutu etc, c’est bien joli mais quand on voit que même des boites de sécurité réputées (non pas Orange) se font pawn (Sunburst et SolarWinds : que faut-il savoir de la cyberattaque d'ampleur qui a touché les États-Unis ?)…
1 « J'aime »
Pour moi comparer le dernier km qui se connecte à un réseau mutualisé avec une infrastructure internationale complète à refaire pour un besoin très spécifique, ça n’a pas trop de sens… Et si tu veux mutualiser le réseau « spécial hôpital » avec un réseau « spécial administration » par exemple, on retombe dans le même problème de la multiplication des risques.
Certes, si tu compares individu a individu. Seuls les « spécialistes » avait accès au système et les menaces étaient moins variées. Mais pour moi le problème vient maintenant de la démocratisation de l’informatique, on a TOUS accès a plusieurs machines depuis plusieurs périphériques, donc le nombre failles potentielles (humaine, matérielle, logiciel, …) explose.
Ce n’est plus possible de puis longtemps. Tout se fait à distance, toutes les informations sont mutualisées et échangées, quasiment toutes les maintenances, tous les contrats sont négociés et exécutés d’une manière ou d’une autre via le web. Ca simplifie, accélère et sécurise beaucoup de choses mais cela a une contrepartie importante sur la surface d’attaque. On y peut rien sauf à tout remettre à plat, ce qui est bien sûr impossible, va dire à GE qu’ils ne peuvent plus intervenir sur leur scanner à distance et qu’ils doivent avoir un technicien sur place, à un médecin qu’il ne peut plus avoir accès à un dossier patient dans la seconde, à la pharmacie qu’il ne peuvent plus faire de demandes express de médocs, aux infirmières de faire des dossiers papier, …
1 « J'aime »
Malheureusement c’est quasi impossible comme l’avance scudo.
Y a déjà une multitude de logiciels spécialisés qui demandent un accès net pour fonctionner, c’est une plaie mais faut faire avec.
Et n’oubliez pas les simples appareils comme les photocopieurs - pour ne citer que ceux-là - qui demandent des accès web à tout va (relevés de compteurs, scan-mail, rapports d’activités-pannes-consommables) et qui peuvent devenir de véritables nids à exploits suivant les modèles.
C’est faisable de distribuer le net, sécuriser au mieux même si rien n’est infaillible mais ça demande des moyens conséquents que ce soit en matos et en personnel un minimum qualifié, ce que les hôpitaux ne semble malheureusement pas disposer.
1 « J'aime »
Ce qui veut dire que chaque médecin, chaque pharmacie, devrait être connecté à ton réseau sécurisé… Et ce via un poste dédié, non connecté à Internet, sinon ça sert à rien. Le coût d’un tel système serait énorme…
Et puis non, les rendez-vous à l’hôpital ne sont pas forcément pris par le médecin. Le médecin prescrit le rendez-vous. Après le patient se débrouille pour prendre le rendez-vous. En général de chez lui, avec son propre appareil.
2 « J'aime »
Un truc a été oublié dans les conversations : les VIP.
Cette population d’individus non techniques (d’un point de vue SI) imposent leurs 4 volontés aux responsables d’infrastructure : « j’veux un ipad», « j’veux un wifi wpa1 domestique », « j’veux le nouveau PC qui vient de sortir avant les autres » … et il n’est pas possible de leur dire non car ce sont des VIP.
Le meilleur RSSI de la planète ne pourra rien faire face à ce genre de pratique où des personnes non-compétentes imposent des façons de travailler complètement déconnantes.
4 « J'aime »
J’ai travaillé en milieu hospitalier il y a 15 ans. Un brancardier ayant un PC chez lui pouvait être muté au service Informatique, car pas de postes créés. Des médecins utilisaient les Portables « offerts » par des partenaires comme PAMPERS ou autre, sans protection, sur le réseau, des utilisateurs très peu formés et sensibilisés (L’informatique faisait chier de ne pas mettre les utilisateurs admin des postes…) J’espère que cela a changé depuis, car sinon, je ne m’étonne pas des problèmes. Un vrai organisme, soit financé par l’état, ou par un fonds des hôpitaux, pour mettre des stratégies en place, des formations, des conseils non mercantiles mais logiques. J’entends que chaque Hôpital décide de sa stratégie, alors même qu’ils manipulent des données de Santé! Pas très logique et même risqué.
2 « J'aime »
Ben si, ils ont usage d’Internet pour autre chose. Ne serait ce que pour la facturation. Mais aussi pour des recherches, pour de la veille (pour rappel, l’un des buts premiers d’Internet, c’était le partage des publications scientifiques hein…).
Et même sans ça, le problème fondamental, c’est pas qu’ils auront besoin de plusieurs machines. Mais le fait qu’il faut que chaque cabinet soit raccordé à ce réseau privé… Le coût serait énorme…
Mettre une gestion manuelle derrière un portail Internet, c’est une galère sans nom. Parce qu’il faut en permanence que ça soit synchronisé entre ce qui est sur le portail Internet et ce qui est sur le réseau « privé » de l’autre côté. Donc en gros faut que tu ais un secrétaire dont le SEUL boulot, c’est de recopier les rendez-vous qui apparaissent d’un côté vers l’autre côté. Et ce 24h/24. Soit grosso modo 5 équivalent temps plein, juste pour ça.
Ou alors on revient à l’ancienne… Prise de rendez-vous uniquement sur les plage 8h-12h et 13h-17h du lundi au vendredi, et uniquement par téléphone. Ça ça permet d’avoir un seul secrétaire pour s’en occuper. Mais quelle terrible régression ça fait d’un point de vue confort pour le patient (j’en sais quelque chose avec mon ophtalmo qui prend pas les rdv en ligne… ça fait 3 semaines de suite que j’appelle 2 fois par semaine, attends 20 min puis raccroche, pour toujours pas avoir pu prendre de rdv…).
1 « J'aime »
Ca existe déjà: l’ANSSI.
Mais les hôpitaux n’ont que quelques gus reclassés pour leur SI, et ils font ce qu’ils peuvent. Les recommandations ou les audits ANSSI ne servent pas à grand chose quand les PCs sont sous Win3.1 gérés par des spécialiste du firewall OpenOffice avec un budget proche de 0€ par an! Je caricature, mais je pense que tu vois ce que je veux dire.
2 « J'aime »
N’oubliez pas d’activer votre Dossier Médical Partagé et Mon Espace Santé.
Ce sera plus facile pour les hackers. 
Les caprices de VIP sur toutes les merdouilles à la mode justement portent sur du matériel en lien avec le réseau d’entreprise, voire sur du matériel où des vies en dépendent (par exemple : les labos vs les généralistes).
Les médecins et autres professeurs « renommés » ne font que cultiver leur ego et l’image qu’ils dispensent. Toutes les merdes bling-bling qui peuvent servir leur image et leur notoriété est bonne à prendre … même si cela doit mettre en péril des éléments de leur périmètre de travail (personnes, entités, outils de travail …). Ce sont des enfants gâtés à qui la direction de l’établissement ne peut rien refuser.
Les VIP ne font pas la différence entre l’outil accessoire et l’outil primordial. La seule chose importante est leur carrière.
1 « J'aime »