Les serveurs DICOM étaient accessibles sans protection

1,7 millions d’euros de fonds d’encouragement : c’est ce dont ont disposé six partenaires de projet de MITSicherheit.NRW afin d’analyser les failles de sécurité informatique et d’élaborer des recommandations. Ce projet n’a pas encore connu de clôture officielle en raison de l’épidémie de coronavirus, mais les résultats définitifs sont déjà disponibles. Et ils offrent à voir une infrastructure informatique qui devrait inciter à réfléchir certains cabinets, ainsi que bon nombre de patientes et patients.

Monsieur Saatjohann, pourquoi la FH Münster a-t-elle décidé de rejoindre le projet ? Qu’est-ce qui a motivé cette démarche ?

Le laboratoire de sécurité informatique de l’école FH Münster est spécialisé dans les protocoles cryptés, c’est-à-dire dans l’échange chiffré de données. Nous avons par le passé mené d’intenses recherches dans le domaine de la sécurité des e-mails. Et nous avons donc été ravis de mettre cette expertise à contribution en faveur de la sécurité informatique des hôpitaux. L’interdisciplinarité du projet nous a vraiment attiré, au même titre que la possibilité d’aborder les questions de différents points de vue. Nos connaissances ont été complétées par l’expérience des utilisateurs au sein des cabinets et des hôpitaux, ainsi que par celle des développeurs de solutions informatiques de santé, comme VISUS. Cette coopération en réseau a été extrêmement fructueuse et c’est l’un des grands succès du projet.

En quoi a consisté concrètement votre mission ?

Nous avons examiné les protocoles de communication utilisés au sein des hôpitaux, principalement HL7 et DICOM, et y avons recherché diverses sources d’erreurs. Par exemple par une analyse manuelle des spécifications, des documents, qui décrivent le protocole. Notre objectif a consisté à définir le statu quo en termes de sécurité de ces protocoles et d’élaborer des recommandations sur cette base.

Avez-vous trouvé des failles de sécurité ?

Oui. Et des failles graves. Nous avons alors développé un scanner qui nous a permis de filtrer le web selon différents protocoles de communication. Cette approche était autorisée par la loi dans le cadre d’un projet de recherche. Et la pêche a été bonne : divers DICOM, HL7, serveurs web et connecteurs TI étaient accessibles sans protection ni mesure de sécurité, ou presque. Les données de patient, des radios pour la plupart, auraient en théorie pu être téléchargées sans problème.

Que s’est-il passé avec ces serveurs « passoires » ?

Nous nous sommes adressés aux exploitants par le biais du Bureau fédéral allemand en charge de la sécurité informatique (BSI) afin d’attirer leur attention sur cette grave lacune en termes de sécurité. Les exploitants des serveurs situés en Allemagne ont tous réagi et ont corrigé la faille. Mais on ne peut en dire autant des prestataires de services DICOM étrangers. Bon nombre d’entre eux n’ont pas répondu ou ont sciemment opté pour cette variante. Ces serveurs peuvent donc continuer à être la cible d’attaque.

Quelle est l’importance de ces graves failles à l’égard de l’échange futur de données médicales ou de clichés radiologiques ? Quelles conclusions en tirez-vous?

Le standard DICOM peut servir de levier pour de futures applications en radiologie. DICOM est un protocole ancien qui ne comporte que peu de mécanismes de sécurité. Lorsqu’il a été développé dans les années 1980, cela n’avait tout simplement pas d’importance.

À l’avenir, et il s’agit d’une recommandation de notre part, il serait certainement pertinent de poursuivre le développement de ce standard vers plus de sécurité. Il contient d’ores et déjà d’importants éléments en ce sens, mais ils ne sont pas pris en charge par les fournisseurs de modalités. Un autre problème à résoudre réside dans la gestion des certificats de cryptage qui permettent un chiffrement global de la communication DICOM au sein d’un cabinet.
Il serait souhaitable d’établir ici la responsabilité des fournisseurs et, après un délai de transition, de n’autoriser que les modalités qui prennent en charge les exigences de sécurité.

Il s’agit d’un levier d’action, en voyez-vous d’autres ?

De manière générale, ce sont les exploitants, et donc les cabinets et les cliniques eux-mêmes qui sont responsables de la sécurité informatique. Désormais, la garantie d’une protection optimale des données sur la base de l’état actuel de la technique n’est plus réservée aux infrastructures critiques, mais elle concerne aussi tous les autres établissements. Tous sont néanmoins loin de satisfaire cette exigence. Et ce, parce que bon nombre d’entre eux redoutent les coûts associés.
Pour moi, c’est un peu paradoxal : il ne viendrait à l’idée d’aucun cabinet de se charger lui-même de l’infrastructucture technique du bâtiment. Cette mission est confiée à des prestataires. Mais pour les services informatiques, personne ne souhaite consentir à la dépense et on préfère alors faire appel au neveu d’une connaissance. Cette attitude selon laquelle la sécurité informatique ne saurait être que gratuite doit fondamentalement évoluer parmi les responsables. Et bien entendu, les utilisateurs peuvent encore faire levier pour mettre la pression sur les fournisseurs.

Merci de cet entretien !

Placés sous l’égide de MedEcon Ruhr, membre de la fédération de téléradiologie Westdeutschen Teleradiologieverbund, les entreprises G Data Advanced Analytics, Visus Health IT et le groupe de centres de soins médicaux Radprax ont eu la possibilité de tester de nouveaux produits et prestations informatiques au sein de 400 hôpitaux de Rhénanie-du-Nord-Westphalie. Les résultats de recherche de l’Université de Bochum ainsi que de l’école technique supérieure FH Münster ont été intégrés au développement. Les solutions élaborées dans le cadre du projet seront librement accessibles sur une plate-forme de compétences en cybersécurité dans l’économie de la santé.

Partenaires du projet

• MedEcon Ruhr
• G DATA
• VISUS
• Radprax
• FH Münster
• Université de Bochum
• Krankenhausgesellschaft NRW
   

De plus amples informations sont disponibles sur : mits.nrw