La cybersécurité dans le domaine de la santé : les anesthésistes ont-ils un rôle à jouer ?

Julian Goldman, MD, Jeffrey Feldman, MD

Cybersécurité de l’anesthésieAssurer la sécurité des patients en anesthésie est un défi aux multiples facettes. Les compétences et la vigilance de l’anesthésiste sont nécessaires mais ne suffisent pas. En définitive, l’ergonomie de l’environnement de soins, les systèmes de soin, la communication au sein de l’équipe comme entre les équipes et bien d’autres facteurs ont une incidence sur la sécurité des patients. Il semblerait désormais que nous ayons besoin d’ajouter un autre facteur qui intervient dans le combat pour la sécurité des patients : les risques liés à la cybersécurité.

L’une des plus célèbres failles en matière de cybersécurité dans le domaine de la santé a été l’attaque mondiale du logiciel malveillant (ou rançongiciel) WannaCry, qui a paralysé 600 organisations du système de santé britannique en 2017. Aucun décès n’a été signalé en conséquence de cette cyber-attaque, toutefois l’accès réduit aux systèmes de santé est bien documenté. Les répercussions sur le bien-être des patients est inconnu. Le coût pour le système de santé est estimé à quasiment 7 millions d’euros.1 Malheureusement, les cyberattaques surviennent de plus en plus fréquemment, nécessitant de la part des systèmes hospitaliers des dépenses importantes pour éviter qu’ils soient impactés. À l’heure actuelle, on estime que les établissements de santé subiront 2 à 3 fois plus d’attaques que ce que connaissent d’autres secteurs,2 pouvant représenter des milliers de cyberattaques par mois.

Les attaques sur les organisations de santé demeurent un problème international. Un hôpital universitaire en République tchèque a été contraint par une cyberattaque de retarder des interventions chirurgicales et à transférer des patients vers d’autres établissements.3

Cet hôpital était un important centre de test pour la COVID-19 ; par conséquent sa capacité à gérer la pandémie par des tests a également été impactée. Aux États-Unis, une grave menace liée à une cyberattaque a été identifiée en octobre 2020 et des organismes de santé ont subi plusieurs attaques réussies, qui ont perturbé les services de soins.4 Par exemple, le 28 octobre 2020, le jour même de la publication dans le New York Times d’un article sur un risque accru, une cyberattaque réussie paralysait la consultation des dossiers médicaux informatisés de l’Université de Vermont, impactant six hôpitaux en réseau.5 Bien que tous les aspects de la prise en charge des patients aient été affectés et que de nombreux patients n’aient pas pu se faire traiter, l’impact signalé sur les patients traités pour un cancer était particulièrement important. Cette cyberattaque a empêché l’accès à tous les dossiers décrivant les protocoles de soins de chimiothérapie. La prise en charge des patients arrivant pour leur traitement de chimiothérapie a été impossible parce que le personnel soignant ne pouvait pas consulter les dossiers et déterminer comment les traiter en toute sécurité. Il a fallu quasiment un mois pour pourvoir réaccéder à tous ces dossiers.

Les cyberattaques peuvent prendre des formes diverses. Les attaques par un logiciel de rançon bloquent les postes de travail ou l’accès aux dossiers informatisés (Electronic Medical Records = EMR), et les pirates proposent de rétablir l’accès après versement d’une rançon. Bien que le paiement d’une rançon ne conduise pas toujours au rétablissement de l’accès aux systèmes informatiques et qu’il ne soit pas recommandé, de nombreuses victimes payent les cybercriminels. Si le logiciel de rançon infecte et encode un système, il faut également présumer que les données peuvent avoir été volées (ou faire l’objet d’une « extra-filtration »), ouvrant la porte à une utilisation abusive des données médicales des patients (Patient Health Information = PHI). D’autres types de cyberattaque peuvent ne pas être aussi évidents. De nombreux appareils médicaux sont interconnectés pour recevoir et envoyer des données sur le réseau hospitalier et sont donc vulnérables en cas de cyberattaque. Les cybercriminels peuvent modifier les alarmes et le fonctionnement des appareils à distance et ces modifications peuvent ne pas être apparentes jusqu’à ce qu’un patient en subisse les conséquences graves.

La cybersécurité dans le domaine de la santé :

Pourquoi les cybercriminels ciblent-ils les systèmes de santé en particulier ?

Les données de santé sont particulièrement utiles car elles contiennent des données à la fois personnelles et financières et elles peuvent être vendues sur le « dark web » au prix fort par rapport aux données de simples cartes de crédit. La valeur élevée des données, associée à une infrastructure de cybersécurité relativement faible, font des établissements de santé des cibles très attractives. Malheureusement, la pandémie de COVID-19 a amplifié l’impact potentiel d’une cyberattaque réussie sur les soins des patients, créant une occasion unique d’exploiter la vulnérabilité des systèmes informatiques du secteur de la santé. En fait, la hausse du nombre de cyberattaques sur les organisations de santé qui a suivi la notification d’un niveau de risque accru en octobre 2020 n’est peut-être pas motivée par des raisons financières. L’augmentation récente des attaques ciblant des établissements de santé fait suite aux efforts réussis des agences gouvernementales américaines d’empêcher les pirates d’interférer avec le processus électoral américain. L’augmentation actuelle du nombre d’attaques peut constituer des représailles et un effort pour montrer clairement que ces pirates sont encore extrêmement efficaces.

Malheureusement, il est impossible d’écarter la possibilité que la motivation de ces cyberattaques soit une simple malveillance à l’égard de populations vulnérables. Les établissements de santé sont extrêmement vulnérables en raison de l’importance toujours plus grande des systèmes informatiques pour fournir les soins aux patients, mais ils sont nombreux à ne pas disposer des ressources nécessaires pour investir dans la cybersécurité, comme le font les grandes sociétés. Les patients malades, en particulier pendant une pandémie, représentent une cible attractive pour les criminels, en raison de la possibilité de générer de la crainte ou de la panique.

Est-il possible de se prémunir des cyberattaques ?

Kevin Mitnick, l’un des plus célèbres parmi les anciens pirates informatiques, a été actif des années 80 à 1995, lorsqu’il a été emprisonné pour ses crimes. Depuis, il est devenu consultant en sécurité informatique, mais l’histoire de son passé de pirate informatique est intéressante.6 Un enseignement important est que la stratégie de « l’ingénierie sociale » a été essentielle à son succès et demeure la stratégie principale des pirates actuels. D’après Mitnick, « l’ingénierie sociale utilise la tromperie, la manipulation et l’influence pour convaincre une personne qui a accès à un système informatique de faire quelque chose, comme cliquer sur une pièce jointe dans un courriel. »6

Cette même approche continue à être une stratégie essentielle de piratage. Elle peut être extrêmement efficace étant donnée l’utilisation constante des messages électroniques dans les institutions modernes.

Les services informatiques sont principalement responsables de veiller à ce que les cyberattaques échouent. Une stratégie consiste à utiliser l’architecture matérielle et logicielle pour créer des niveaux successifs de sécurité (appelés « défense en profondeur »), qui compliquent la navigation dans le système par un pirate et limite la propagation du logiciel malveillant. La mise en œuvre de politiques destinées aux utilisateurs, permettant de réduire la réussite liée aux failles de l’ingénierie sociale est une autre stratégie importante. Certaines stratégies plus visibles du service informatique pour les anesthésistes consistent à interdire l’accès à certains sites Internet ou à la messagerie électronique personnelle depuis un réseau ou un ordinateur sur le lieu de travail. Les services commerciaux de surveillance de sites Internet permettent d’identifier ceux qui contiennent un logiciel malveillant et fournissent aux établissements vulnérables des informations pour en bloquer l’accès depuis des réseaux internes.

Quel est le rôle de l’anesthésiste en matière de cybersécurité dans le domaine de la santé ?

L’American Society of Anesthesiologists (ASA) a récemment formé un groupe de travail sur la cybersécurité (cybersecurity task force = CSTF), dans le but de comprendre l’étendue de l’impact des cyberattaques sur la pratique de l’anesthésie et également, de collaborer avec d’autres organisations, afin de développer des recommandations visant à assurer la sécurité des patients. Un article de présentation de ce groupe de travail publié dans ASA Monitor expose le contexte de l’étendue et de l’échelle des risques potentiels des cyberattaques pour nos patients.7 Étant donné que nous ne sommes pas formés pour être des informaticiens, les anesthésistes ont-ils un rôle à jouer dans la sécurité des patients face aux effets de la cyberguerre ?

En réponse à la recommandation du gouvernement des États-Unis, intitulée « Activité de logiciel de rançon ciblant le secteur des soins et de la santé publique », publiée en collaboration avec l’Agence de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency = CISA), le Bureau fédéral d’investigation (FBI) et le Département de la Santé et des Services sociaux (Department of Health and Human Services = HHS), y compris la FDA,8 le Comité sur la technologie de l’APSF a publié des directives qui peuvent être adoptées par chaque anesthésiste, afin de réduire le risque des cyberattaques pour les patients (Tableau 1).9 Les directives contiennent des stratégies personnelles, comme la vigilance an matière de courriels et la sécurité des mots de passe, ainsi que des stratégies au niveau des services. Le comité recommande des simulations d’évènements causant des interruptions de service, qui doivent englober tous les processus nécessaires pour maintenir la prise en charge des patients si un ou plusieurs systèmes informatiques ne fonctionnent pas. Prenons l’exemple d’un patient polytraumatisé, admis aux urgences et devant être transporté d’urgence au bloc opératoire pour contrôler une hémorragie. Pourrez-vous assurer la continuité des soins complexes requis par ce patient sans les systèmes informatiques pendant son transport du service des urgences au bloc opératoire puis à l’unité de soins intensifs (USI) ? Comment le degré d’urgence sera-t-il communiqué afin que le bloc opératoire soit prêt ? Comment la banque du sang et les laboratoires seront-ils coordonnés ? Les médicaments seront-ils disponibles ? Qui saura qui est de garde dans un service spécifique ? Quels sont les systèmes informatiques qui pourraient encore fonctionner ? Les formulaires papier sont-ils adaptés pour assurer la continuité du processus de soins ? Les résultats de ces simulations peuvent renseigner le développement des procédures de soins en cas de cyberattaque et orienter la formation des soignants.

TABLEAU 1 : Recommandations relatives à la cybersécurité.

En réponse à la menace constante des cyberattaques sur les établissements de soins, le comité Technologie de l’APSF recommande que tous les anesthésistes prennent les mesures suivantes.
RENFORCER LES PROCÉDURES EN CAS DE PANNE DES ÉQUIPEMENTS
  • Consulter les procédures existantes relatives aux pannes
  • Engager d’autres leaders périopératoires dans la planification.
  • Informer tous les soignants des moyens de poursuite des soins à l’aide des procédures relatives aux pannes
  • Dans la mesure du possible, simuler une panne.
ACCROÎTRE LA VIGILANCE
  • Gérer ses courriels ! NE PAS SAISIR SON VOTRE MOT DE PASSE OU SON IDENTIFIANT DU SYSTÈME en réponse à une demande reçue dans un courriel. Signaler les courriels suspects aux services informatiques.
  • Les cyberattaques peuvent affecter n’importe quel appareil médical connecté au réseau. Être vigilant(e) par rapport à des modifications inattendues des paramètres, du comportement des alarmes ou du fonctionnement des appareils tels que les pompes à infusion et les ventilateurs.
ÉTUDIER LES SIGNALEMENTS
Signaler dès que possible au service informatique de l’hôpital et/ou au service biomédical les problèmes liés aux performances des appareils médicaux et des systèmes.

Les recommandations seront complétées et mises à jour sur le site https://www.apsf.org/news-updates/the-apsf-issues-preliminary-guidance-on-cybersecurity-threats-to-u-s-health-care-systems/

Heureusement, le gouvernement et les autres agences s’activent pour identifier les risques de cyberattaque et réduire ou en éliminer l’impact. Le problème continue de s’amplifier, malgré la vigilance et le soutien du secteur public et du secteur privé pour faire face aux dangers de la cybersécurité. Comme les virus humains, un logiciel malveillant, une fois introduit dans le cyberespace, représente un risque persistant pour les systèmes informatiques non protégés. Les entreprises cybercriminelles ne semblent pas gênées d’attaquer les systèmes de santé.8

Étant donné la dépendance de notre organisation de santé par rapport aux systèmes informatiques et aux appareils en réseau, les cyberattaques continueront à être une préoccupation croissante pour la sécurité des patients. Les habitudes individuelles de gestion des courriels et des sites Internet au travail peuvent réduire le risque de la réussite d’une attaque. Cependant, comme toujours, il faut être vigilant par rapport aux dysfonctionnements des appareils médicaux et des systèmes informatiques et également, de mettre en place des plans de sauvegarde, afin de permettre le maintien de soins en toute sécurité en cas de pannes des appareils et des systèmes.

 

Julian M. Goldman, MD, est anesthésiste au Massachusetts General Hospital, directeur médical de Biomedical Engineering à Mass General Brigham, directeur du programme d’interopérabilité et cybersécurité des appareils médicaux prêts à l’emploi (MD PnP) et organisateur, ISO/TC 121/WG 3 Cybersécurité pour le matériel d’anesthésie et les respirateurs.

Le Dr Jeffrey Feldman, MSE, est président du Comité sur la technologie de l’APSF et professeur d’anesthésiologie clinique, École de médecine Perelman de l’Hôpital pour enfants de Philadelphie, Philadelphie.


Les auteurs ne signalent aucun autre conflit d’intérêts.


Documents de référence

  1. Ghafur S, Kristensen S, Honeyford K, et al. A retrospective impact analysis of the WannaCry cyberattack on the NHS. npj Digit Med. 2, 98 (2019). https://doi.org/10.1038/s41746-019-0161-6. Accessed December 21, 2020.
  2. 2020 Healthcare Cybersecurity Report, https://www.herjavecgroup.com/wp-content/uploads/2019/12/healthcare-cybersecurity-report-2020.pdf. Accessed December 21, 2020.
  3. Bizga A. Mysterious cyberattack cripples Czech hospital amid COVID-19 outbreak, https://hotforsecurity.bitdefender.com/blog/mysterious-cyberattack-cripples-czech-hospital-amid-covid-19-outbreak-22566.html Accessed November 18, 2020.
  4. Perlroth, N. Officials warn of cyberattacks on hospitals as virus cases spike. New York Times. Oct. 28, 2020. https://www.nytimes.com/2020/10/28/us/hospitals-cyberattacks-coronavirus.html Accessed November 26, 2020.
  5. Barry E, Perlroth N. Patients of a Vermont hospital are left ‘in the dark’ after a cyberattack. New York Times. November 25, 2020. https://www.nytimes.com/2020/11/26/us/hospital-cyber-attack.html? Accessed November 26, 2020.
  6. Mitnick K. Ghost in the wires—my adventures as the world’s most wanted hacker. Little, Brown and Co. New York, 2011.
  7. Goldman JM, Minzter B, Ortiz J, et al. Formation of an ASA Cybersecurity Task Force (CSTF) to protect patient safety. ASA Monitor. September 2020;84:34. https://doi.org/10.1097/01.ASM.0000716908.49348.5a Accessed December 10, 2020.
  8. CISA Alert (AA20-302A), October 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a Accessed December 10, 2020.
  9. The APSF issues preliminary guidance on cybersecurity threats to U.S. health care systems. APSF Newsletter online. November 2, 2020. https://www.apsf.org/news-updates/the-apsf-issues-preliminary-guidance-on-cybersecurity-threats-to-u-s-health-care-systems/ Accessed November 10, 2020.