Publicité en cours de chargement...

Publicité en cours de chargement...

Quelles sont les conséquences de la compromission d’une machine ?

04 déc. 2018 - 10:08,
Tribune - Charles Blanc-Rolin
La compromission d’une machine connectée à un système d’information de santé peut avoir de multiples conséquences. Des conséquences « générales », communes à l’ensemble des systèmes d’information, mais aussi des conséquences propres au secteur de la santé, pouvant conduire, dans les cas les plus extrêmes, au décès du patient.

Au travers d’une cartographie réalisée pour l’APSSIS, prochainement disponible sur le site de l’association, je vous propose de parcourir les conséquences les plus évidentes que j’ai pu recenser  dans le cas d’une compromission.

machine_compromise

Parmi les conséquences « générales » à l’ensemble des SI, l’atteinte à l’intégrité des données est le risque le plus important, puisqu’une perte d’intégrité dans un SI de santé, peut, dans plusieurs cas (modification d’une posologie, d’une constante vitale, d’un diagnostique...), entraîner le décès d’un patient.

Une atteinte à l’intégrité des données, peut également dans plusieurs cas (données illisibles, applicatif métier inopérant, base de données corrompue…) entraîner une indisponibilité des données. Dans la sphère MCO, une indisponibilité des données peut avoir des conséquences sanitaires lourdes, dont la plus critique est, là encore, le décès du patient. Le lien de cause à effet sera d’autant plus direct en cas de compromission d’un dispositif médical.

Un vol de données, s’avère d’autant plus critique dans un système d’information de santé du fait qu’il contient des informations à caractère personnel sensibles et pourra avoir de conséquences juridiques, ainsi qu’en terme d’image pour l’établissement victime de la compromission. Mais un vol de données d’authentification peut permette de compromettre des données directement ou indirectement via un déplacement latéral, et dans ce cas encore, faire prendre un risque au patient.

La machine compromise peut également voir certaines de ses fonctionnalités, ou acquérir de nouvelle fonctionnalités si elle ne les possédait pas au départ, dans le but d’être exploitée à des fins malveillantes.

De par son rôle de serveur Web (ou « acquis » lors de la compromission), la machine peut héberger ou diffuser plusieurs types de contenus illégaux (phishing, malware, violation des droits d’auteur…).

Il en est de même pour le rôle de serveur de messagerie, la machine compromise peut émettre en masse des messages frauduleux (spam, phishing, malware...), laisser fuiter des informations potentiellement sensibles… Quel RSSI peut garantir que son serveur de messagerie « non MSSanté » ne contient aucune donnée de santé à caractère personnel ?

Devenir une machine « zombie », contrôlée par un serveur de commande et de contrôle, est de toute évidence un rôle faisant suite à une compromission. Là encore les « agissements » de la machine « possédée » auront une finalité qui va à l’encontre de la réglementation : envoi de messages frauduleux, participation à des campagnes de DDoS, proxy anonyme, fraude au clic, j’en passe et des meilleures…

En espérant que cette cartographie « version 1 » puisse vous aider dans vos analyses de risques.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Illustration Arnaques bancaires : le bon vieux temps de Charles Ponzi

Arnaques bancaires : le bon vieux temps de Charles Ponzi

09 juin 2025 - 21:08,

Tribune

-
Cédric Cartau

Charles Ponzi, inventeur fameux de l’arnaque à la pyramide financière qui porte désormais son nom , restera à jamais dans l’Histoire. Bernard Madoff, même s’il a manipulé des sommes d’argent considérables dans une arnaque du même genre qui lui a valu de finir ses jours en prison (et qui, accessoirem...

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.