À force de raisonner essentiellement en termes de vulnérabilités, on parasite la gestion des risques avec d’improbables conjectures – au détriment d’autres hypothèses. Le scénario-catastrophe du moment : le cyber-assassinat de personnes hospitalisées.
L’Internet des objets soulève de plus en plus de questions en matière de sécurité informatique. Ainsi, dans le secteur hospitalier, on redoute que certains appareils (moniteurs de signes vitaux, perfusions, pompes à insuline, respirateurs artificiels,…) soient utilisés, via les réseaux informatiques, par des personnes malintentionnées afin d’attenter à la santé voire à la vie des patients.
L’hypothèse évoquera à l’amateur de séries télévisées une fameuse séquence de Homeland (saison 2, épisode 10) au cours de laquelle un hacker travaillant pour une organisation terroriste parvient à tuer le vice-président américain en prenant le contrôle à distance de son stimulateur cardiaque.
Ce scénario-catastrophe peut-il se transposer dans le monde réel, plus spécialement entre les murs des hôpitaux ?
J’ai lu sur le sujet pléthore d’articles, écrits par des professionnels de la sécurité informatique.
[Pour se faire une idée de l’importance qu’a pris cette question dans les médias spécialisés, on lira par exemple ce dossier du site Search Health IT.]
Ils y expliquent bien les vulnérabilités de ces équipements médicaux connectés. L’expression de cette inquiétude présente toutefois un problème majeur : aucun de ces professionnels n’avance le moindre argument valable quant à la réalité de ce risque.
Je ne prétends pas que ce risque n’existe pas. Mais s’il est aussi inquiétant qu’ils veulent nous le faire croire, encore devraient-ils être en mesure de livrer quelques éléments tangibles pour nourrir la réflexion. Malheureusement, tous ces articles sont atteints du fameux syndrome F.U.D. (Fear-Uncertainty-Doubt).
Or, je viens de visionner, sur le site CSOonLine.com, cette entrevue avec Ted Harrington, de la firme Independent Security Evaluators.
Et là, je m’aperçois avec effroi que l’on vient de franchir un palier : la peur du Worst-Case Scenario est mauvaise conseillère ; et elle est apparemment en train de nous faire perdre le sens des réalités.
Dans cette vidéo – diffusée sur un site Internet de référence pour professionnels de la sécurité informatique, faut-il le préciser –, Ted Harrington enfonce le clou : l’Internet des objets peut être très dangereux pour la santé.
Il fait état d’une recherche de deux ans menée par son entreprise, à l’issue de laquelle il a démontré la facilité avec laquelle il est possible d’interagir avec des appareils médicaux reliés aux patients.
The motivation behind pursuing this research was that we went through a thorough exercise thinking: ‘What’s the worst possible thing that a hacker could do?’ (…) The worst thing (…) would be to kill someone. That day, we started this research because what we wanted to identify was: Is that the case? Could someone hurt people? And if so, what should we be doing about that?
(…) Could an attacker harm or kill a patient in a healthcare setting? (…) We found that not only it was possible but that in many cases, it was actually very easy.
Mais il va plus loin (à 7’05”) :
We also recognize that the complexity of the solution to this problem is going to take a long time to address. So what we are advocating is that the industry today starts dealing with this problem because it’s not just possible. It’s probable that this will happen.
Il faut ici rappeler un point essentiel en gestion des risques : ce n’est pas parce qu’un acte peut être réalisé facilement qu’il va ipso facto se produire.
Il faut pour cela un élément supplémentaire : une articulation plausible entre l’actif (l’élément à protéger – ici, la santé du patient) et la menace (l’attaquant).
La peur du Worst-Case Scenario est mauvaise conseillère ; et elle est apparemment en train de nous faire perdre le sens des réalités.
Pour reprendre une expression ô combien galvaudée dans le domaine de la gestion des risques, pour Ted Harrington, It’s not a question of ‘if’ but a question of ‘when’.
La menace
Malheureusement, Harrington et consorts oublient un peu vite ce qu’est une menace : une personne ou un groupe de personnes ayant à la fois la volonté et les capacités de s’en prendre à l’actif.
Le but recherché
Admettons que la menace ait cette volonté. Dans ce cas, il faut déterminer pourquoi elle veut attenter à la vie du patient. Et se demander ensuite : Est-ce plausible ?
Le mode opératoire
Puis, il faut évaluer les capacités qu’a la menace de mettre son plan à exécution. Et s’interroger : Quel mode opératoire va-t-elle choisir pour tuer le patient ?
Dans notre scénario, deux modes opératoires peuvent être envisagés.
Le cyber-assassinat
Admettons que la menace dispose de personnes compétentes et du matériel nécessaire pour s’introduire dans le système informatique de l’hôpital et prendre le contrôle à distance d’appareils médicaux branchés sur les patients.
Mais cela ne suffit pas : le cyber-assassin doit également connaître :
- la localisation précise de la cible, dans l’hôpital,
- la nature et l’identifiant exact de la machine à hacker, reliée spécifiquement à ce patient.
Cela signifie que le cyberassassin doit également disposer d’accès privilégiés à divers systèmes d’information de l’hôpital ; lesquels ne sont pas aussi faciles à hacker que l’appareil médical connecté.
L’assassinat « in real life »
Une organisation désireuse et capable de faire cyber-assassiner le patient aura très certainement les capacités de le faire éliminer physiquement. Le tueur se rendra dans la chambre d’hôpital du patient et – au choix – le poignardera, ou l’étouffera, ou l’étranglera, ou lui injectera une substance létale, ou débranchera les machines qui le maintiennent en vie,…
Or, dans ce second mode opératoire, il s’avère nettement plus facile :
- d’obtenir l’information sur la localisation du patient,
- d’identifier les machines connectées au patient,
- d’atteindre le patient (un hôpital est un lieu ouvert au public),
- de déterminer le moment propice pour passer à l’acte sans se faire repérer,
- de s’assurer que la mort de la victime est effective.
Dans ces conditions, il ne fait guère de doute que la menace optera pour l’assassinat à l’ancienne.
Cela ne veut pas dire que le cyber-assassinat ne serait jamais envisageable. Mais les cas dans lesquels il s’imposerait sur l’assassinat physique s’avèrent extrêmement restreints puisqu’ils doivent cumuler les conditions suivantes :
- le patient ciblé doit être branché à un appareil dont le mauvais fonctionnement est de nature à causer la mort avec certitude ;
- le patient ne doit pas être facilement accessible physiquement dans l’hôpital ;
- le cyber-assassin doit avoir connaissance de la localisation exacte du patient, de l’identifiant réseau de la machine branchée sur le patient et des moments précis où le cyber-homicide peut être perpétré sans être détecté par le personnel soignant, les proches de la victime ou d’éventuels surveillants (policier, garde de sécurité).
Cela commence à faire beaucoup…
Conclusion
Existe-t-il un risque de cyber-assassinat dans les hôpitaux ? Peut-être.
[Un article du journal nigérian The Sun en 2010 évoque un cas qui serait survenu en Italie, mais il nous paraît pour le moins douteux. [largement mentionné par divers sites Internet, l’article en question n’est plus disponible sur le site originel]
S’agit-il d’un risque important ? Rappelons que le niveau de risque est fonction :
- de la probabilité d’occurrence de l’évènement nuisible
- et de la gravité de ses conséquences.
Dans cette hypothèse, l’impact potentiel (la mort) est élevé, tandis que l’éventualité qu’un tel cas s’avère extrêmement faible.
Le risque de cyber-assassinat via les appareils médicaux reliés au patient s’avère donc très limité. Il ne justifie pas, selon moi, la surface médiatique dont il dispose ces derniers temps, notamment dans des revues et sites spécialisés.
Related Posts
À propos de Arnaud Palisson
Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.
Bonne analyse. Responsable. Merci. On pourrait aussi comparer la probabilité d’occurrence d’un cyber-assassinat par rapport à d’autres risques pour s’apercevoir que celle-ci est infiniment plus faible. C’est comme avec 9/11. Ce fut horrible et médiatisé et a conduit à deux guerres, mais il y a par an aux USA plus de gens qui meurent dans des accidents avec leur baignoire …! Le mythe du « j’ai tout sous contrôle » des informaticiens nous a amené dans ce monde de la zéro tolérance, càd soit « tout va bien » soit « c’est la fin du monde ».
Alors ça fait du bien quand qq’un remet l’église au milieu du village.
Merci !