Le secteur hospitalier est confronté à un enjeu majeur : assurer la sécurité des données et des systèmes informatiques dans un environnement complexe où la transformation numérique est en constante évolution. Dans cet article, nous allons explorer les principaux défis auxquels le secteur hospitalier est confronté en matière de cybersécurité et les solutions envisagées pour relever ces défis.
L'année 2022 a été marquée par 588 établissements hospitaliers français ayant été ciblés par une cyber-attaque, ce qui équivaut à un établissement sur six. Ce chiffre représente une augmentation deux fois plus importante par rapport à 2020. Pour ne citer qu'eux, le CHU de Lyon et l'AP-HP ont été pris pour cible.
Pourquoi autant de cyber-attaques contre des établissements de santé ?
Les hôpitaux sont souvent perçus comme des sanctuaires de la vie, des institutions dédiées à la santé de tous, des entités relativement neutres. On pourrait être enclin à penser que les cybercriminels hésiteraient à attaquer des établissements aussi "innocents". Cependant, il est essentiel de noter que, même une brève panne électrique dans un hôpital peut mettre en danger la vie de plusieurs patients.
Les systèmes informatiques hospitaliers renferment des trésors de données, notamment les dossiers numériques des patients, des informations cruciales qui permettent au personnel médical de prodiguer des soins efficaces. Si ces ordinateurs venaient à dysfonctionner et que le personnel ne pouvait pas accéder aux informations vitales pour traiter un patient en détresse, le chaos s'ensuivrait.
C'est dans ce contexte que les cybercriminels voient l'opportunité de demander une rançon en échange d'un déblocage ou d'une restauration des données (bien que cela ne soit pas toujours garanti).
Dans cet article paru dans Les Echos, Laurent Tréluyer, DSN de l’AP-HP (CHU d'Île-de-France) explique :
« À l’AP-HP, nous avons beaucoup de systèmes d’information, plus de 1 000 applications, des appareils biomédicaux connectés provenant de fournisseurs divers. L’hôpital est aussi, par définition, un endroit dans lequel on reçoit du public. Il n’est donc pas possible de tout sécuriser. Face à cela, nos moyens sont ceux du public. Nos systèmes d’information sont fragiles et ces fragilités expliquent qu’il y ait beaucoup d’attaques réussies. »
Plus particulièrement, le contexte de la crise sanitaire liée à la Covid-19 a augmenté cette situation de vulnérabilité.
Quelles conséquences ?
Les conséquences des cyberattaques sur les établissements de santé sont considérables, entraînant un chaos organisationnel aux répercussions dramatiques. Ces incidents perturbent gravement la prestation des soins et suscitent la peur parmi le personnel et les patients.
L'une des conséquences les plus graves est l'interruption des soins due à la perturbation du fonctionnement normal de l'établissement. Les traitements médicaux en cours sont compromis, mettant en danger la santé des patients. Les dossiers numériques, contenant des informations vitales sur les patients, leurs données administratives, voire les bases de données, deviennent souvent inaccessibles.
De plus, les hôpitaux détiennent des informations confidentielles qui ne devraient pas être accessibles au grand public. Lorsque les systèmes informatiques de l'hôpital sont attaqués, les cybercriminels peuvent exploiter ces données sensibles à des fins malveillantes, compromettant la vie privée et la sécurité des patients. Dans le cas de rançongiciels, certains hôpitaux cèdent parfois à la pression des cybercriminels en payant des rançons élevées, engendrant des pertes financières importantes qui alimentent le cycle des cyberattaques.
Selon Gilles Calmes, directeur général du CH Sud Francilien (CHSF), il est essentiel que le plan de continuité d'activité (PCA) permette de maintenir le fonctionnement réduit de tous les services et fonctions. Interrogé sur ce qu'il aurait fait différemment, il a regretté d'avoir pris conscience « un peu trop tard » de l'importance des fonctions de support, telles que les ressources humaines ou la facturation : il a ajouté que les ressources humaines ont dû remplir manuellement 5000 fiches de paie pendant trois mois !
La vulnérabilité des établissements de santé aux cyberattaques est forte
Les hôpitaux potentiellement concernés par la directive NIS 2
La directive NIS 2, visant à harmoniser et à renforcer la cybersécurité au sein du marché européen, étend son champ d'application par rapport à NIS 1. D'après les informations recueillies lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS, tous les établissements de santé comptant plus de 50 employés seraient désormais concernés.
La gestion des ressources humaines à l'hôpital
L'acquisition d'outils de cybersécurité est une étape cruciale, mais elle ne suffit pas à garantir la sécurité des hôpitaux. Il est essentiel de mobiliser des ressources humaines qualifiées pour analyser les données et gérer les systèmes de sécurité. Le personnel hospitalier, traditionnellement tourné vers le bien-être des patients, doit être sensibilisé à la culture du risque numérique. La transition vers une culture de cybersécurité exige un engagement du personnel hospitalier et des équipes IT.
Bien que les outils de cybersécurité existent et que des financements soient disponibles, le secteur hospitalier souffre d'un manque de ressources humaines qualifiées. La demande de spécialistes cyber dépasse largement l'offre, ce qui rend la rétention de talents encore plus difficile.
La complexité de l'environnement hospitalier
Les hôpitaux sont des environnements complexes avec une surface d'attaque considérable. Les dispositifs médicaux connectés, tels que les IRM, sont omniprésents, souvent en marge du contrôle informatique classique, ce qui les rend vulnérables aux attaques. Le manque d'une cartographie exhaustive de cette surface d'attaque ajoute à la complexité de la gestion de la cybersécurité.
8 pistes d'amélioration à tirer des cyberattaques contre les hôpitaux en France
Ces attaques, qui ont touché de nombreux établissements de santé, ont des implications et des enseignements essentiels pour les entreprises de tous secteurs.
1. Sensibilisation et préparation : L'une des premières leçons à retenir est l'importance de la sensibilisation à la cybersécurité. Les hôpitaux, tout comme les entreprises, doivent s'assurer que leur personnel est conscient des risques et des bonnes pratiques en matière de sécurité informatique. La formation et la sensibilisation sont des éléments clés pour prévenir les attaques.
2. Évaluation des vulnérabilités : Les cyberattaques contre les hôpitaux ont révélé que la préparation et l'évaluation des vulnérabilités sont cruciales. Les établissements doivent réaliser des audits de sécurité réguliers pour identifier les points faibles de leur infrastructure informatique et mettre en place des mesures de protection adéquates.
3. Gestion des ressources humaines : Le secteur hospitalier a été confronté à un manque de ressources humaines qualifiées en cybersécurité, ce qui a contribué à la vulnérabilité de ces établissements. Des investissements et des aides doivent être donnés dans le recrutement et la rétention de spécialistes de la cybersécurité pour renforcer leur défense contre les attaques.
4. Réactivité et plan de remédiation : Les attaques contre les hôpitaux ont montré l'importance d'une réponse rapide en cas d'incident. Les entreprises doivent élaborer des plans de remédiation pour réagir efficacement en cas d'attaque et minimiser les dommages potentiels.
5. Collaboration et partage d'informations : Les hôpitaux ont dû faire face à des défis liés à la complexité de leurs environnements informatiques. Les entreprises peuvent tirer parti de la collaboration avec d'autres entités du secteur pour partager des informations et des bonnes pratiques en matière de cybersécurité.
6. L'hybridation comme solution : L'un des principes clés pour aborder la cybersécurité dans les hôpitaux est l'hybridation, c'est-à-dire déterminer ce qui doit être géré en interne et ce qui peut être externalisé. L'aspect des ressources humaines est tout aussi important : l'hôpital doit-il recruter davantage de personnel pour garantir la sécurité au sein des établissements, ou est-ce une mission qui peut être externalisée ?
7. Sensibilisation, audit et sécurisation : Le secteur hospitalier a récemment été la cible de nombreuses attaques, mettant en lumière la vulnérabilité de ces institutions. Pour faire face à cette menace, des mesures ont été prises, notamment une augmentation du budget dédié à la sensibilisation, des audits pour identifier les menaces potentielles, contrôler et vérifier que les politiques de sécurité sont mises en place pour faire face à tous les risques possibles.
8. La nécessité d'automatiser les processus : L'automatisation est une réponse clé pour maximiser les ressources limitées en personnel. Elle permet de gagner du temps en utilisant efficacement les outils de cybersécurité adéquats et en exploitant les données de manière plus approfondie. Cela facilite la priorisation des actions, l'accès à l'information, et l'optimisation des moyens.
La cybersécurité dans les établissements de santé : ce qu'il faut retenir
La cybersécurité dans le secteur hospitalier est un défi majeur, nécessitant un alignement des planètes en termes d'outils, de financement et de ressources humaines. L'hybridation, l'automatisation et la sensibilisation sont des piliers pour renforcer la sécurité des hôpitaux et prévenir les cyber-attaques. Essentiels pour le pays mais inégalement matures face au numérique, il est primordial de créer une culture de la cybersécurité au sein des établissements de santé pour protéger efficacement les données et garantir la sécurité des patients.
Vous souhaitez en savoir plus sur la manière dont OverSOC peut vous aider ? Contactez-nous.