La crise sanitaire a aussi mis sous tension les établissements de santé sur le volet sécurité informatique. Les cyberattaques y sont devenues légion, au point que le gouvernement préconise un traitement de choc. Explications. Depuis 2020, la longue litanie des attaques visant des hôpitaux La liste des victimes est longue, évolutive et… non exhaustive. Villefranche-sur-Saône, Dax, Tarare, Trévoux, Paris, Rouen, Montpellier, Issoudun, Albertville-Moûtiers, Toulon, Narbonne, Arles… Depuis le début de la crise sanitaire, les hôpitaux de ces villes ont vu leur activité fortement perturbée par des hackers bien peu scrupuleux, via des rançongiciels (cryptage des données avec demande de paiements pour débloquer la situation), des malwares, du phishing… En février 2021, Cédric O, secrétaire d’État à la transition numérique, indiquait ainsi que 27 cyberattaques majeures ciblant un établissement de santé avaient été comptabilisées en France en 2020. En outre, 110 hôpitaux français ont été « accompagnés dans des audits de sécurité » et « 11 d’entre eux sont accompagnés au jour le jour ». Dans son rapport d’activité 2020, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) place les hôpitaux sur le podium des cibles privilégiées. Selon elle, « aucun secteur d’activité ne semble épargné par les attaques cyber. Néanmoins, les victimes de rançongiciels sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie ». Depuis le début de l’année 2021, on dénombre encore une attaque d’hôpital par semaine en moyenne. En savoir plus Les nouveaux enjeux sécurité du pass sanitaire autour du monde En savoir plus Les nouveaux enjeux sécurité du pass sanitaire autour du monde Un mal français mais pas seulement… Le mal est profond et diffus. Et la France est loin d’être le seul pays concerné. Par exemple, le Healthcare Information and Management Systems Society américain a interrogé 168 responsables de la sécurité informatique du secteur de la santé. Ils sont 70 % à déclarer avoir fait face à un incident de sécurité significatif en 2020. Du côté du Vieux Continent, l’Agence européenne pour la cybersécurité (Enisa) a noté « une augmentation quotidienne des attaques avec la pandémie » touchant le secteur de la santé. L’organisation s’est emparée du sujet, et édicte bonnes pratiques et recommandations à destination des acteurs du secteur. Des faiblesses liées à la digitalisation du secteur Lors du Forum international de la cybersécurité qui s’est déroulé à Lille du 7 au 9 septembre 2021, Guillaume Poupard, directeur général de l’ANSSI, n’a guère manié la langue de bois. Pour lui, « si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle ». Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle.Guillaume Poupard, directeur général de l’ANSSI Au-delà de la punchline, plusieurs raisons font des hôpitaux des cibles « de choix ». D’abord, une faible maturité des équipes aux questions de cybersécurité. De nombreux hôpitaux ne disposent, par exemple, pas de chef de la sécurité informatique, et le personnel est peu sensibilisé. Dans un contexte budgétairement contraint, ce sujet n’est clairement pas la priorité. Pendant ce temps, les matériels vieillissent et se fragilisent. La digitalisation du secteur ne serait pas étrangère à cette vulnérabilité croissante. D’autant qu’elle n’a pas nécessairement été accompagnée des couches de sécurité nécessaires. La multiplication des appareils d’imagerie médicale, le développement de la télémédecine et des téléconsultations, le recours au cloud notamment pour héberger les dossiers patients informatisés, la robotique médicale, la gestion des bâtiments et équipements connectés… Tous représentent autant de points d’entrée possibles pour des attaques. Des hackers opportunistes et efficaces L’hôpital digital présente de nouvelles faiblesses potentielles, tandis que, de leur côté, les hackers redoublent d’ingéniosité. Car, de l’avis de tous les cyberspécialistes, les attaques sont toujours plus sophistiquées. Certaines d’entre elles ont ainsi recours au machine learning : un logiciel malveillant est désormais capable de s’adapter à son environnement, pour passer complètement inaperçu et indétectable jusqu’à ce qu’il passe à l’action. Sur le sujet des ransomwares, les hackers sont capables d’organiser simultanément une fuite de données et une paralysie des systèmes, pour tenter d’obtenir plus facilement le paiement de rançons. Des vulnérabilités combinées à une montée en gamme des hackers : le cocktail est explosif pour l’hôpital. Les hôpitaux français sont de plus en plus vulnérables aux cyberattaques. Ici l’hôpital de la Pitié Salpêtrière. Les hôpitaux sommés de passer des caps en matière de sécurité informatique Aux grands maux, les grands remèdes. Le 19 février 2021, le président de la République, Emmanuel Macron, a annoncé que 350 millions d’euros seraient investis au travers du Ségur de la santé pour renforcer la sécurité cyber des hôpitaux. Par ailleurs, la stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire pour renforcer la cybersécurité de l’État. Sur cette enveloppe, 25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits. Objectif : les accompagner dans leur démarche de cybersécurisation. Dans un communiqué de presse, précisant les détails des aides allouées au secteur de la santé, le ministère des Solidarités et de la Santé estime que « face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé. Ainsi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité ». En savoir plus France : 1 milliard d’euros débloqués contre les cyberattaques En savoir plus France : 1 milliard d’euros débloqués contre les cyberattaques Enfin, depuis le 1er septembre 2021, 135 établissements tels que des hôpitaux publics, des cliniques ou des prestataires assurant des services d’urgence (les plus importants de métropole et d’outre-mer) sont désignés « opérateurs de services essentiels ». En clair, ils doivent respecter des règles de sécurité informatiques plus strictes, et appliquer à leurs systèmes d’information de meilleures pratiques de cybersécurité. L’ANSSI veillera au grain. Facebook Twitter LinkedIn Lire aussi Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de… Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la… La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment… Voir plus d'articles Abonnez-vous ! Envoyer
Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…
Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…
La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…