L'urgence de protéger les établissements de santé contre les cybermenaces

Alors que la menace continue encore et toujours d'augmenter sur le secteur hospitalier, que les réglementations évoluent, la prise de conscience de la nécessité d'agir semble encore imparfaite

L'hôpital de Cannes, celui d’Armentières, le CHU de Nantes, un groupe hospitalier à Strasbourg… La liste des établissements de santé touchés par une cyberattaque en ce début d’année 2024 est longue. Trop longue. Leur sécurisation numérique est plus cruciale que jamais à l’heure où ils constituent une cible de choix des cybercriminels.

Un rapport de 2023 de l’Agence européenne pour la cybersécurité sur les cybermenaces dans le secteur de la santé indique que la France est le pays européen le plus touché. Ce même rapport souligne que seuls 27% des établissements de santé disposent d’un programme de protection contre les rançongiciels, alors que ces derniers sont responsables de 54% des attaques.

Cyberattaque : un virus qui ne connaît pas de frontières

Les établissements de santé sont particulièrement visés par les attaquants en raison de la nature de leur mission au service de la santé publique, et de la nature sensible des informations qu'ils détiennent. Paralyser le système d’information d’un hôpital peut avoir des conséquences dramatiques sur la santé des patients. Quant aux données de santé dérobées, elles peuvent être revendues sur le darknet ou utilisées comme moyen de pression dans le cas de demandes de rançons.

En France, 422 établissements de santé ont rapporté au moins un incident en 2023. 42% de ces incidents concernent des hôpitaux. Autre donnée intéressante, celle d’une étude Mailinblack indiquant que les établissements de santé ont subi une augmentation de 140% de cyberattaques transitant par email entre mars 2023 et mars 2024.

Attaquer un établissement de santé n’a rien d’anodin. Outre les conséquences opérationnelles, la mise à mal d’un hôpital impacte l’image de tout un pays. À l’approche des élections européennes et des Jeux Olympiques de Paris 2024, ces attaques contre le système de santé peuvent compromettre la réputation de la France à l’échelle internationale. Les cyberattaquants n’ont ni limite ni éthique. S’ils peuvent agir de n’importe où, les conséquences de leurs attaques se font savoir partout.

Garantir la continuité des soins et protéger les données médicales

Dans le domaine de la santé plus que dans n’importe quel autre secteur, les cyberattaques peuvent avoir des répercussions graves, allant jusqu’à mettre en danger la vie des patients. L'attaque par ransomware contre l'Hôpital Universitaire de Düsseldorf en 2020 en est l’exemple : la paralysie des systèmes informatiques a entraîné le report de traitements vitaux et provoqué la mort d’une personne.

L'absence d'une infrastructure IT sécurisée compromet également l'intégrité, la disponibilité et la confidentialité des données médicales et des personnels de santé, ce qui peut avoir un impact important sur la qualité des soins et la confiance des patients dans le système de santé.

Historiquement, les budgets alloués à la cybersécurité dans le secteur de la santé étaient loin d’être suffisants et leur utilisation pas toujours adaptée. Les réglementations mises en place ces dernières années, les budgets alloués par le gouvernement (programme CaRE de 250 millions d’euros) et la mutualisation des coûts via les groupements hospitaliers ont permis de faire un premier pas vers davantage de sécurisation. Le chemin à parcourir reste encore long alors que la menace est grandissante.

Mieux vaut prévenir que guérir

Face à un paysage cybernétique en constante évolution, les établissements de santé doivent adopter une approche proactive en matière de cybersécurité. Il est impératif qu’ils investissent dès maintenant dans des solutions de sécurité robustes, telles que des pare-feu avancés, des logiciels de détection des intrusions, de gestion de la cybersécurité et de la conformité.

La surveillance constante et la détection proactive des menaces sont nécessaires pour repérer rapidement les activités suspectes et y réagir efficacement. De plus, la collaboration et le partage d'informations entre les institutions de santé sont indispensables pour renforcer la sécurité des données, notamment avec la centralisation des hôpitaux au sein des Groupements Hospitaliers de Territoire (GHT).

Enfin, la sensibilisation et la formation du personnel jouent un rôle essentiel dans la réduction des risques liés aux cyberattaques. Selon Gartner, 95% des cyberattaques aboutissent à cause d’une erreur humaine.