Quelles sont les conséquences de la compromission d’une machine ?

04 déc. 2018 - 10:08,
Tribune - Charles Blanc-Rolin
La compromission d’une machine connectée à un système d’information de santé peut avoir de multiples conséquences. Des conséquences « générales », communes à l’ensemble des systèmes d’information, mais aussi des conséquences propres au secteur de la santé, pouvant conduire, dans les cas les plus extrêmes, au décès du patient.

Au travers d’une cartographie réalisée pour l’APSSIS, prochainement disponible sur le site de l’association, je vous propose de parcourir les conséquences les plus évidentes que j’ai pu recenser  dans le cas d’une compromission.

machine_compromise

Parmi les conséquences « générales » à l’ensemble des SI, l’atteinte à l’intégrité des données est le risque le plus important, puisqu’une perte d’intégrité dans un SI de santé, peut, dans plusieurs cas (modification d’une posologie, d’une constante vitale, d’un diagnostique...), entraîner le décès d’un patient.

Une atteinte à l’intégrité des données, peut également dans plusieurs cas (données illisibles, applicatif métier inopérant, base de données corrompue…) entraîner une indisponibilité des données. Dans la sphère MCO, une indisponibilité des données peut avoir des conséquences sanitaires lourdes, dont la plus critique est, là encore, le décès du patient. Le lien de cause à effet sera d’autant plus direct en cas de compromission d’un dispositif médical.

Un vol de données, s’avère d’autant plus critique dans un système d’information de santé du fait qu’il contient des informations à caractère personnel sensibles et pourra avoir de conséquences juridiques, ainsi qu’en terme d’image pour l’établissement victime de la compromission. Mais un vol de données d’authentification peut permette de compromettre des données directement ou indirectement via un déplacement latéral, et dans ce cas encore, faire prendre un risque au patient.

La machine compromise peut également voir certaines de ses fonctionnalités, ou acquérir de nouvelle fonctionnalités si elle ne les possédait pas au départ, dans le but d’être exploitée à des fins malveillantes.

De par son rôle de serveur Web (ou « acquis » lors de la compromission), la machine peut héberger ou diffuser plusieurs types de contenus illégaux (phishing, malware, violation des droits d’auteur…).

Il en est de même pour le rôle de serveur de messagerie, la machine compromise peut émettre en masse des messages frauduleux (spam, phishing, malware...), laisser fuiter des informations potentiellement sensibles… Quel RSSI peut garantir que son serveur de messagerie « non MSSanté » ne contient aucune donnée de santé à caractère personnel ?

Devenir une machine « zombie », contrôlée par un serveur de commande et de contrôle, est de toute évidence un rôle faisant suite à une compromission. Là encore les « agissements » de la machine « possédée » auront une finalité qui va à l’encontre de la réglementation : envoi de messages frauduleux, participation à des campagnes de DDoS, proxy anonyme, fraude au clic, j’en passe et des meilleures…

En espérant que cette cartographie « version 1 » puisse vous aider dans vos analyses de risques.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Lancement d’un appel à manifestation d’intérêt sur les DMN

Lancement d’un appel à manifestation d’intérêt sur les DMN

27 oct. 2025 - 22:17,

Actualité

- Damien Dubois, DSIH

Station [e]-Santé a lancé son appel à manifestation d’intérêt sur les dispositifs médicaux numériques dans le cadre du plan Innovation Santé 2030. Il est ouvert jusqu’au 1er décembre.

Illustration « Apporter de la simplicité sans être simplistes », la voie d’Axigate Link

« Apporter de la simplicité sans être simplistes », la voie d’Axigate Link

27 oct. 2025 - 17:43,

Actualité

- DSIH

Avec une offre de solutions numériques pluridisciplinaire, Axigate Link est un acteur qui compte dans l’Europe de l’e-santé. Il couvre les besoins de l’ensemble de l’écosystème du soin et fluidifie les liens entre professionnels de santé pour une prise en charge plus pertinente des patients. Grégoir...

Illustration La transformation numérique en santé : un défi humain avant tout

La transformation numérique en santé : un défi humain avant tout

27 oct. 2025 - 11:44,

Actualité

- Rédaction, DSIH

Dans les hôpitaux et établissements de santé, la réussite d’un projet numérique ne dépend pas seulement des solutions techniques mises en place. Elle repose d’abord sur un facteur souvent sous-estimé : la conduite du changement. C’est le message clé que portera la formation « Conduite du changement ...

Illustration Horizon Santé 360 : des promesses concrètes de l’innovation en santé

Horizon Santé 360 : des promesses concrètes de l’innovation en santé

27 oct. 2025 - 11:04,

Actualité

- Pauline Nicolas, DSIH

Après une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.