La cybersécurité dans les hôpitaux ne se porte pas bien

Pour qui n’habitait pas sur une autre planète ces derniers mois, les résultats du rapport de l’ANSSI ‒ Secteur de la santé « État de la menace informatique » n’auront rien d’une surprise. L’hôpital est bien malade de sa cybersécurité. Et les médicaments vont coûter cher !

Sur la période qui va de début 2022 à fin 2023, l’Agence nationale y explique que les établissements de santé ont vu exploser leur « contribution » aux incidents et signalements qu’elle a eu à traiter sur la période. Ils représentaient 2,87 % du total en 2020, ils ont atteint 11,4 % en 2023.

Cette ampleur résulte d’abord d’un sous-investissement chronique de l’ensemble des acteurs du secteur, qui ont négligé pendant des années aussi bien les MAJ des systèmes et les patches de sécurité que les politiques de sensibilisation des personnels. Avec des dérives parfois spectaculaires comme lorsque la Cnil a pointé il y a quelques mois la légèreté d’une partie des médecins qui communiquaient leurs codes d’accès aux dossiers personnels de leurs patients à des services administratifs, pour ne pas être dérangés à chaque fois que ces derniers avaient besoin d’une information.

Conséquences de tous ces laisser-aller : des compromissions de comptes de messagerie, des chiffrements par rançongiciels et des exfiltrations de données ou des indisponibilités temporaires liées à des dénis de service.
Encore récemment, mi-novembre, des données sensibles de plus de 750 000 Français ont été mises en vente sur le darkweb, après avoir été dérobées grâce à une intrusion sur l’application open source Mediboard, utilisée par les établissements de santé pour gérer les dossiers de patients, et organiser les rendez-vous.

Rien de nouveau là-aussi : en mai dernier, l’ANS (Agence Nationale de Santé) faisait ainsi état de près de 60 incidents dans des hôpitaux entraînant une fuite de données personnelles et sensibles… Tout en se félicitant d’une relative stabilisation.

Autre explication, l’intérêt financier des cyberattaquants reste soutenu. D’une part le paiement des rançons n’est pas rare. D’autre part, certains « acheteurs » peuvent manifester un intérêt pour des données sensibles sur la santé des personnes (assureurs, banques, etc.).
Enfin, et c’est Milos Brkovic, directeur général France de Commvault, qui le dit, « une attaque réussie contre un hôpital est un trophée pour un hacker ».

On rappellera que les hôpitaux français font partie des OIV (opérateurs d’importance vitale), normalement éligibles à NIS 2.

On le voit, il reste du travail et l’ANSSI en appelle à des approches globales de la sécurité, avec des étapes connues : cartographie des actifs à protéger, analyse de l’état du SI et des compétences des équipes, de la nature des menaces, des risques et des priorités, etc.
Ajoutons-y, comme le faisait dans ces colonnes le mois dernier Christian Sarazin, DSI du Centre Hospitalier de Martigues, la nécessité de penser un PRA réaliste sur le plan médical : comment continuer de fonctionner lorsque le SI est fortement dégradé ? La question peut sembler insensée à l’heure du tout digital, mais ceux qui regardent l’excellentissime série Hippocrate en ce moment, et y voient des médecins se démener – ici contre le manque de moyens – pour assurer malgré tout leur mission de base, à savoir sauver des vies, en comprendront toute la légitimité.

Source : Etat de la menace informatique du secteur de la santé par l’ANSSI | Agence du Numérique en Santé

Des conséquences dramatiques

Il ne faut pas s’habituer. La si longue liste des cyberattaques sur des établissements de santé ne doit pas nous blaser. Le dernier rapport de Proofpoint Cyber Insecurity in Healthcare est en ce sens fort utile.

D’abord en rappelant que le problème n’est pas que français : ainsi, 92 % des organismes de santé américains interrogés ont subi au moins une cyberattaque au cours des douze derniers mois, en augmentation par rapport aux 88 % de 2023.

Ensuite en en rappelant les conséquences : dans 69 % des cas, cela a entraîné une perturbation des soins aux patients. Mauvais résultats communiqués en raison de retards dans les procédures et les tests (56 %), augmentation des complications liées aux procédures médicales (53 %). Mais surtout, et c’est dramatique, les taux de mortalité ont augmenté – de cinq points de pourcentage par rapport à l’année précédente.

À LIRE AUSSI :

Cloud

Le numérique de santé en manque de confiance

François Jeanne

19 Mar

À LIRE AUSSI :

Secu

« La santé commence difficilement à rattraper son retard en matière cyber »

La rédaction

16 Sep

À LIRE AUSSI :

Data / IA

Les paradoxes de l’IA dans la cybersécurité

Laurent Delattre

27 Nov

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !