Des laboratoires bretons seraient concernés par le piratage de données révélé ce mardi. Yves Duchesne est expert en cybersécurité à Rennes. Il rappelle que la sécurisation des logiciels n'est pas seulement l'affaire des établissements de santé mais aussi et surtout, celle de leurs concepteurs.
La fuite de données médicales appartenant à des laboratoires qui vient d'être révélée montre que ce genre d'incidents devient de plus en plus fréquent. Comment l'expliquez-vous ?
Cela arrive de façon régulière, oui, car les données de santé se revendent malheureusement bien. Il y a un enjeu d'argent. Ensuite, la santé, c'est un domaine où la cybersécurité est en construction. On part de très loin, notamment dans les établissements qui fonctionnent sur des systèmes informatiques anciens, compliqués à sécuriser. Le processus est lent mais il est en cours. Les hôpitaux, comme les laboratoires, n'ont pas forcément un expert en cybersécurité dans leurs rangs. Un labo n'a pas la capacité de dire si le logiciel qui lui permet de gérer les données médicales est sécurisé ou pas. Il se fie aussi à ce qu'on lui vend.
Vous voulez dire que rien n'oblige les concepteurs de logiciels à sécuriser leurs produits ?
Ils n'ont cette obligation de produire une certification sécurité que pour ce que l'on appelle les opérateurs d'importance vitale (OIV) comme les transports, l'énergie, les activités militaires, judiciaires, la santé, l'information etc. En dehors de ces secteurs, c'est le grand marché du privé où chacun est libre d'acheter ce qu'il veut à qui il veut, où le plus offrant remporte la mise. C'est du commerce classique.
En outre, tous les éditeurs ne font pas le boulot d'assurer la sécurité de leur logiciel. Mais il est clair que les applications métiers utilisées par les entreprises, peu importe le domaine d'activité, doivent être sécurisées car elles hébergent des données sensibles. Dans un monde idéal, tout éditeur devrait veiller à la sécurité de ses logiciels.
Si les éditeurs de logiciels ne font pas ce travail en amont de vérification de la sécurité de leurs produits, qui peut le faire ?
Toutes les applications devraient passer par les fourches caudines des experts en cybersécurité. Nous, par exemple, nous avons l'agrément de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour faire passer les tests aux logiciels avant qu'ils ne soient installés : on fait du hacking-éthique pour voir où se situent les failles.
Il y a encore aujourd'hui énormément d'applis qui sont utilisées sans avoir fait l'objet de ces tests de sécurité. La vulnérabilité est partout.
L'ANSSI a également mis en place des labels confiance et des visas de sécurité, comme le certificat de sécurité premier niveau qui n'est pas, je le rappelle, obligatoire en dehors des OIV. Mais cela avance dans le bons sens, la cybersécurité est en phase de structuration, les réglementations évoluent.
La prise de conscience du risque est désormais bien réelle ?
Absolument. Ce n'est pas tant à un manque de considération pour la cybersécurité auquel on est confronté mais plutôt à un manque de moyens dans les entreprises. Faire évoluer son système informatique ou le changer complètement, cela demande un budget. C'est aussi une question de priorité dans la gestion des risques. Et puis, la cybersécurité, c'est complexe, parfois lointain. Tout le monde n'a pas le même niveau de maturité par rapport à cela.
Un système informatique bien protégé, c'est quoi ?
En gros, la cybersécurité repose sur quatre piliers : juridique, technique, organisationnel et humain. Il faut posséder un réseau informatique qui a été bien sécurisé dès sa conception, cloisonner le système, filtrer les communications à l'intérieur du système, faire des mises à jour, etc. Voilà pour l'aspect technique.
Côté organisation, l'entreprise ou l'établissement de santé doit définir un plan de sécurité, une stratégie qui permettent de conserver un haut niveau de sécurité. Enfin, il faut sensibiliser au maximum les salariés qui peuvent, par méconnaissance, cliquer sur le mauvais mail et sans le savoir ouvrir la porte à du piratage.
