Les systèmes d'information hospitaliers (SIH) jouent un rôle central dans le fonctionnement des hôpitaux modernes, en étant responsables de la gestion des données sensibles des patients et des flux d'informations.

D'après les analyses réalisées par le NTC, entre trois et cinq solutions SIH prédominent en Suisse, adaptées aux spécificités du système de santé local et largement utilisées par les principaux établissements hospitaliers.

Cependant, des vulnérabilités significatives ont été décelées au sein de tous les systèmes étudiés.

Les architectures dépassées des solutions examinées les rendent particulièrement sensibles à des failles potentielles.

Divers problèmes structurels, tels qu'un manque de cryptage adéquat, la présence de systèmes vulnérables en lien et une séparation insuffisante entre les environnements de test et de production, compromettent la sécurité des SIH.

Certaines failles pourraient accorder un accès totalement inapproprié aux dossiers des patients et aux systèmes en quelques heures seulement.

Bien que des mesures aient été mises en œuvre pour résoudre ou limiter ces problèmes graves, certains nécessitent une révision complète de l'architecture logicielle, un processus qui pourrait prendre de nombreuses années selon les fabricants.

De plus, l'analyse a révélé plusieurs vulnérabilités critiques dans des systèmes associés, bien que ceux-ci n'aient pas été spécifiquement inclus dans l'évaluation principale.

Ces failles ont été découvertes de manière providentielles, en raison de leur nature évidente.

Le rapport ne divulgue pas les détails techniques des failles, mais le NTC a proposé des recommandations à l'attention des responsables de la cybersécurité dans les établissements de santé.

Il est conseillé aux responsables de veiller à la sécurité des systèmes dès leur acquisition, de réaliser régulièrement des analyses de vulnérabilité et de s'assurer que des mises à jour soient effectuées.

Enfin, il est crucial que les responsabilités en matière de cybersécurité soient clairement établies.