S'insinuer dans le système informatique d'un hôpital, jeu d'enfant ou mission impossible ? Pour répondre à cette question, Artsenkrant a fait appel à l'entreprise de sécurisation The Security Factory et l'AZ Groeninge. Les deux parties ont relevé le défi : début août, l'établissement courtraisien subirait les attaques d'une équipe de hackers, dont le but serait d'obtenir un maximum d'autorisations dans le réseau interne en l'espace d'une journée, explique Stijn Jans, associé directeur chez The Security Factory.
L'équipe a dressé une liste de huit faiblesses dont deux critiques, parmi lesquelles on retiendra en particulier la politique en matière de mots de passe. Après être parvenue à se procurer une liste de noms d'utilisateurs en piratant un ordinateur du hall d'entrée, l'équipe a récolté des informations sur l'un d'entre eux via LinkedIn et Facebook avant d'appeler le helpdesk en se faisant passer pour lui... ce qui lui a permis, en insistant un peu, d'obtenir un nouveau mot de passe. Un cas d'école d'ingénierie sociale ! Un autre point critique concerne les droits d'accès aux ordinateurs qui pilotent l'appareillage médical. Un fournisseur avait notamment mal protégé les dossiers contenant des données-patients.
Les membres de l'équipe ont également pénétré dans les bâtiments, où ils ont réussi à subtiliser un badge et un trousseau de clés. Ils ont même pu s'introduire dans les locaux administratifs, où des données financières sensibles sont conservées sous format papier et où ils ont découvert une armoire de commande ouverte, dont il aurait suffi de débrancher quelques câbles pour paralyser complètement plusieurs segments du réseau...
Point davantage positif, l'hôpital a tout de même doté l'ensemble de ses systèmes d'un antivirus et toutes les mises à jour de sécurité (patching) semblaient avoir été correctement effectuées. À aucun moment le dossier-patient (KWS) n'a été mis en danger. " L'ampleur limitée de cette opération de piratage ne permet toutefois pas de conclure à l'absence d'autres vulnérabilités dans l'infrastructure de sécurité ", souligne Stijn Jans.
L'AZ Groeninge a accepté de se prêter au jeu parce qu'il a conscience de l'utilité d'un tel hacking éthique, explique Tom Coolen, responsable TIC. " L'informatique et la sécurisation représentent un volet à part entière de notre approche stratégique, y compris au niveau de la direction. " De son propre aveu, l'établissement subit environ une attaque extérieure chaque mois.
On a hacké l'hôpital
Dans le courant de l'été, l'AZ Groeninge de Courtrai a exposé ses systèmes de sécurité à un groupe de hackers éthiques afin d'en repérer et réparer les failles. Même si l'établissement s'est avéré globalement plutôt bien protégé, l'équipe de piratage est tout de même parvenue à s'arroger les droits nécessaires pour contrôler l'ensemble du réseau... ce qui, en principe, lui aurait permis de mettre l'établissement à l'arrêt ! L'expérience a été orchestrée par nos collègues du Artsenkrant, pendant néerlandophone du journal du Médecin.
S'insinuer dans le système informatique d'un hôpital, jeu d'enfant ou mission impossible ? Pour répondre à cette question, Artsenkrant a fait appel à l'entreprise de sécurisation The Security Factory et l'AZ Groeninge. Les deux parties ont relevé le défi : début août, l'établissement courtraisien subirait les attaques d'une équipe de hackers, dont le but serait d'obtenir un maximum d'autorisations dans le réseau interne en l'espace d'une journée, explique Stijn Jans, associé directeur chez The Security Factory. L'équipe a dressé une liste de huit faiblesses dont deux critiques, parmi lesquelles on retiendra en particulier la politique en matière de mots de passe. Après être parvenue à se procurer une liste de noms d'utilisateurs en piratant un ordinateur du hall d'entrée, l'équipe a récolté des informations sur l'un d'entre eux via LinkedIn et Facebook avant d'appeler le helpdesk en se faisant passer pour lui... ce qui lui a permis, en insistant un peu, d'obtenir un nouveau mot de passe. Un cas d'école d'ingénierie sociale ! Un autre point critique concerne les droits d'accès aux ordinateurs qui pilotent l'appareillage médical. Un fournisseur avait notamment mal protégé les dossiers contenant des données-patients. Les membres de l'équipe ont également pénétré dans les bâtiments, où ils ont réussi à subtiliser un badge et un trousseau de clés. Ils ont même pu s'introduire dans les locaux administratifs, où des données financières sensibles sont conservées sous format papier et où ils ont découvert une armoire de commande ouverte, dont il aurait suffi de débrancher quelques câbles pour paralyser complètement plusieurs segments du réseau... Point davantage positif, l'hôpital a tout de même doté l'ensemble de ses systèmes d'un antivirus et toutes les mises à jour de sécurité (patching) semblaient avoir été correctement effectuées. À aucun moment le dossier-patient (KWS) n'a été mis en danger. " L'ampleur limitée de cette opération de piratage ne permet toutefois pas de conclure à l'absence d'autres vulnérabilités dans l'infrastructure de sécurité ", souligne Stijn Jans. L'AZ Groeninge a accepté de se prêter au jeu parce qu'il a conscience de l'utilité d'un tel hacking éthique, explique Tom Coolen, responsable TIC. " L'informatique et la sécurisation représentent un volet à part entière de notre approche stratégique, y compris au niveau de la direction. " De son propre aveu, l'établissement subit environ une attaque extérieure chaque mois.