Interview: Dre Ines Böhm

Erik Dinkel

Sécurité numériqueChaque jour, des cybercriminels tentent d’attaquer les systèmes informatiques de l’hôpital universitaire de Zurich (USZ). Pour y faire face, ce dernier mise sur des «hackers éthiques», des spécialistes qui utilisent légalement les méthodes de hacking et signalent les failles de sécurité.

Erik Dinkel, vous dirigez le service de sécurité de l’information de l’hôpital universitaire de Zurich. Combien de cyberattaques repoussez-vous en moyenne?

Nous recevons chaque jour des milliers d’e-mails abusifs contenant des programmes d’hameçonnage et/ou des maliciels. Nous comptons chaque mois des dizaines de milliers de tentatives d’attaques automatisées sur Internet. Mais aucune tentative n’a abouti jusqu’à maintenant chez nous.

Pourquoi avez-vous mis en place une prime aux bugs et quel est l’intérêt d’un tel système de récompense pour la découverte de failles de sécurité?

Nous avons créé un Security Operations Center en collaboration avec un partenaire externe. En parallèle, nous avons élaboré un système de saisie centralisé et systématique des vulnérabilités et des cyberincidents. Notre prime aux bugs n’est pas une mesure isolée, elle fait partie du dispositif global et le complémente parfaitement. L’objectif de la prime aux bugs est d’avoir une longueur d’avance sur les cybercriminels. Nous faisons tester les systèmes exposés à l’extérieur qui pourraient être victimes de cyberattaques. Ils sont soumis à un test de résistance en conditions réelles avec l’aide de «hackers éthiques» ou de chercheurs en sécurité de sorte à améliorer continuellement leur sécurité. Seule une faille effectivement découverte entraîne des coûts.

Comment cela fonctionne-t-il concrètement?

Nous travaillons avec un fournisseur de services qui gère une plateforme sur laquelle les hackers certifiés peuvent s’enregistrer. Nous définissons ce qui doit être testé et par qui. Le nombre de systèmes que nous devons tester est très vaste, mais seuls quelques hackers éthiques sont impliqués. Leur nombre peut varier en fonction des besoins.

Quel est votre premier bilan?

Nous sommes très satisfaits! Nous faisons contrôler nos systèmes exposés à l’extérieur de manière permanente et continue par des hackers éthiques et nos systèmes sont très sûrs. Les quelques points faibles ont pu être corrigés immédiatement.

Combien de failles de sécurité ont pu être comblées jusqu’ici?

Chaque logiciel et chaque système présente des points faibles. L’objectif d’une prime aux bugs est de combler des failles avant qu’elles ne puissent être exploitées. Nous avons constaté moins de failles de sécurité que nous ne le craignions. Les nouveaux systèmes exposés à Internet sont testés de manière méthodique et cette mesure a fait ses preuves. D’éventuelles lacunes peuvent ainsi être comblées avant que le système ne soit effectivement mis en place de manière opérationnelle.

La mission principale des hôpitaux est la prise en charge des patients, l’informatique est un outil, et non une fin en soi. Comment sensibilisez-vous vos collègues à la sécurité informatique?

En plus de campagnes de sensibilisation régulières, notamment avec des attaques par hameçonnage simulées, j’inclus systématiquement les collègues. Nous recherchons des solutions pragmatiques adaptées aux besoins de l’hôpital et qui répondent suffisamment à la sécurité de l’information. Je ne suis pas policier, mais un partenaire. J’agis dans une perspective de partenariat dans l’intérêt de l’entreprise. Les nouvelles directives et les nouveaux processus, les incidents internes et externes ainsi que les systèmes nouvellement introduits sont régulièrement discutés au sein d’un comité interdisciplinaire et les feed-backs, intégrés pour l’amélioration future.

Que recommanderiez-vous aux hôpitaux qui pensent recourir aux hackers éthiques?

La sécurité de l’information n’est pas un état à atteindre, mais un processus continu. Il est important de développer un système de management de la sécurité de l’information. Des directives claires, des formations pour sensibiliser le personnel ainsi qu’un processus de contrôle et d’optimisation continue des mesures existantes sont requis. Je suis convaincu que chaque hôpital devrait investir dans un tel système. Les hôpitaux peuvent le mettre en œuvre librement, tout en tenant compte des risques. Une prime aux bugs peut constituer une mesure. D’après moi, seule la collaboration permet à notre société de faire face à la cybermenace. Les hôpitaux doivent collaborer plus étroitement entre eux, ainsi qu’avec la Confédération et les cantons, et utiliser les moyens à disposition de manière optimale.

Copyright

Published under the copyright license
“Attribution – Non-Commercial – NoDerivatives 4.0”.
No commercial reuse without permission.
See: emh.ch/en/emh/rights-and-licences/