Deux ans après avoir été gravement touché par l’épidémie WannaCryptor, le National Health Service (NHS) du Royaume-Uni a encore beaucoup de travail à faire pour éviter un autre cyberincident invalidant, selon un white paper de l'Institute of Global Health Innovation du Collège impérial de Londres.
Un trio de problèmes - des systèmes informatiques désuets, le sous-investissement dans la cybersécurité et un manque de sensibilisation et de compétences en matière de cybersécurité - ont mis l'établissement et la sécurité de ses patients en danger. Le white paper en question a été présenté avant-hier à la Chambre des Lords.
Les experts y donnent un avertissement sérieux au NHS : « Une cyberattaque sur le système informatique d'un hôpital peut empêcher le personnel médical d'accéder à des détails importants sur les patients, comme les résultats d'analyses sanguines ou de radiographies, ce qui signifie qu'il est incapable d'offrir des soins appropriés et opportuns. Elle peut également empêcher le bon fonctionnement de l'équipement ou des dispositifs médicaux qui sauvent des vies et, dans certains cas, entraîner le vol de données sur les patients », peut-on lire dans un avertissement des experts.
Ils mettent également en évidence les risques liés à l'utilisation des nouvelles technologies dans le système de santé, notamment « la robotique, l'intelligence artificielle, les dispositifs médicaux implantables et les médicaments personnalisés basés sur les gènes de l'individu, » et demandent que la sécurité soit intégrée dans la conception de ces technologies.
Ensuite, il y a bien sûr la nécessité de gérer les risques liés aux tierces parties, car le recours à des fournisseurs de services informatiques externes peut rendre les données des patients vulnérables au vol et à l'exploitation.
Jake Moore, spécialiste de la cybersécurité d’ESET, explique que « De plus en plus d'entreprises technologiques tierces sont amenées à aider les organisations gouvernementales dans leur travail quotidien car l'externalisation est considérée comme une option moins coûteuse. Cependant, lorsque de telles opérations tierces sont choisies, la raison principale peut parfois être uniquement liée au coût, ce qui peut inévitablement placer la sécurité et la protection des systèmes en bas de la liste des priorités. »
Il ajoute : « Par conséquent, la protection des données confidentielles sur la santé de ses patients devrait être considérée comme la priorité numéro un, quel qu'en soit le coût. »
Des progrès, mais beaucoup de travail à venir
Le white paper reconnaît le travail qui est en cours dans l'ensemble du système de santé pour renforcer sa cyberpréparation, y compris un plan annoncé par le ministère de la Santé et des Affaires sociales en octobre 2018 incluant des dépenses de 150 millions £ (188 millions $US) au cours des trois prochaines années pour renforcer la cyberpréparation du NHS.
Cela dit, le rapport indique également que des investissements supplémentaires sont nécessaires de toute urgence et suggère d'autres mesures que les organismes du NHS devraient mettre en place en vue d'améliorer leur capacité à repousser les cyberattaques.
Entre autres choses, il exhorte le NHS à embaucher des professionnels de la cybersécurité, à veiller à ce que le personnel sache où il peut demander de l'aide et des conseils en matière de sécurité informatique et à mettre en œuvre des stratégies de segmentation et de ségrégation du réseau pour empêcher les menaces potentielles de se propager davantage et limiter les dommages.
WannaCryptor a coûté au NHS £ 92 millions ($115 millions).