Cybersécurité - Comment réagir à une cyberattaque quand on est un établissement de santé ?
86 % des cyberattaques rapportés à l’ANSSI entre 2022 et 2023 concernaient des établissements de santé !
Pas exactement…
C’est plutôt 86% des cyberattaques dans le secteur de la santé qui concernaient des établissements de santé (hôpitaux, etc.)
La part de ces événements dans le total des incidents ou signalements traités par l'ANSSI n’a cessé d’augmenter, passant de 2,87% en 2020, à 11,4% en 2023.
Et des conséquences, il y en a :
Les interruptions critiques de services peuvent désorganiser totalement le fonctionnement des établissements, impactant des services essentiels comme les urgences, la réanimation ou les laboratoires d’analyse. Par exemple, des pannes informatiques liées à des attaques par rançongiciel ont déjà obligé des hôpitaux à reporter des opérations ou à transférer des patients vers d’autres établissements.
Les fuites massives de données sensibles représentent un autre danger majeur. Les données de santé, parmi les plus confidentielles, sont très prisées des cybercriminels. Elles sont souvent revendues ou utilisées pour mener des fraudes à grande échelle. Ces fuites exposent les patients à des risques d’usurpation d’identité, mais elles portent aussi atteinte à la réputation des établissements touchés, sans oublier les sanctions potentielles pour non-conformité au RGPD.
Enfin, dans les cas les plus extrêmes, ces attaques peuvent mettre directement en danger la vie humaine. L’indisponibilité des systèmes médicaux, comme les équipements de diagnostic ou les dispositifs médicaux connectés, peut entraîner des retards critiques dans la prise en charge des patients. Lors d’un incident récent, l’arrêt temporaire des automates d’analyse biologique a gravement perturbé la capacité d’un hôpital à effectuer des tests vitaux, menaçant la santé des patients admis.
Pourquoi ce domaine est-il visé ?
La finalité pécuniaire est le moteur principal des cyberattaques. Les attaques par rançongiciel, en particulier, cherchent à paralyser les infrastructures critiques des établissements, forçant souvent les victimes à payer des sommes importantes pour rétablir leurs systèmes. La double extorsion est également une stratégie courante : les données volées sont utilisées pour faire pression, avec la menace de divulgation publique en cas de non-paiement. Le marché noir des données de santé, très lucratif, amplifie cette dynamique en offrant un débouché immédiat pour les informations volées.
L’espionnage des données stratégiques par les acteurs étatiques ou liés à des intérêts économiques. Ces attaques visent souvent à obtenir des données personnelles ou médicales sur des individus, mais aussi des informations précieuses sur des recherches médicales, des essais cliniques ou le développement de nouvelles technologies de santé. Par exemple, durant la crise sanitaire liée à la Covid-19, des campagnes d’espionnage ont ciblé des laboratoires pharmaceutiques et des centres de recherche pour s’approprier des données sur les vaccins et les traitements en développement. Ces données peuvent conférer un avantage concurrentiel, réduire les coûts de développement ou être utilisées dans des campagnes de désinformation.
La déstabilisation des organisations, souvent dans un contexte de tensions géopolitiques. Ces cyberattaques, menées par des hacktivistes ou des groupes soutenus par des États, se traduisent par des attaques par déni de service (DDoS), des défigurations de sites web ou encore la divulgation publique de données sensibles. Elles sont souvent en réaction à des événements d’actualité, comme des conflits internationaux ou des sanctions économiques, et visent à perturber l’ordre établi ou à influer sur l’opinion publique. Dans le secteur de la santé, cela peut aller jusqu’à saboter des systèmes critiques pour affaiblir les infrastructures vitales d’un pays.
Comment réagir face aux cyberattaques ?
Pour protéger les infrastructures critiques du secteur de la santé et assurer la continuité des soins, il est impératif de renforcer les mesures de cybersécurité. Le rapport de l’ANSSI met en avant plusieurs recommandations essentielles :
1. Intégrer des plans d’urgence spécifiques aux crises cyber
La cybersécurité doit désormais être un volet central de la gestion de crise des établissements de santé. Beaucoup d'établissement de santé disposant d'un "plan blanc", conçu initialement pour répondre aux situations sanitaires exceptionnelles, intègrent désormais des mesures spécifiques aux incidents cyber. Ces plans prévoient des réponses adaptées, comme la mise en place rapide de cellules de crise, la gestion des systèmes en mode dégradé et le délestage éventuel de patients vers d’autres structures. Une planification proactive permet aux établissements de réagir efficacement dès les premières minutes d’une attaque, limitant ainsi les interruptions de service.
2. Renforcer la gestion des accès et des sauvegardes
Une protection robuste des accès est cruciale pour limiter les intrusions. Cela inclut l’implémentation de solutions telles que l’authentification multifactorielle (MFA), la segmentation des réseaux et la mise en place de contrôles d’accès stricts. La gestion des sauvegardes joue également un rôle clé. Il est essentiel de disposer de sauvegardes régulières, hors ligne et sécurisées, afin de permettre une reprise rapide des activités en cas d’attaque par rançongiciel. Ces sauvegardes doivent être testées régulièrement pour s’assurer de leur efficacité.
3. Sensibiliser les équipes médicales et administratives
Le facteur humain reste l’un des maillons les plus vulnérables dans la chaîne de cybersécurité. Les équipes médicales et administratives doivent être formées à identifier les menaces courantes, comme le phishing, et à adopter de bonnes pratiques numériques. Cette sensibilisation passe par des campagnes régulières, des exercices de simulation d’attaques, et une politique stricte concernant l’utilisation des équipements personnels. Une culture de cybersécurité bien ancrée au sein des établissements réduit considérablement les risques d’erreur humaine.
Vers une résilience renforcée
En appliquant ces mesures, les établissements de santé peuvent se prémunir contre une large partie des menaces identifiées. Toutefois, ces actions doivent s’accompagner d’un investissement durable dans la cybersécurité, incluant le recrutement de professionnels compétents, l’acquisition d’outils adaptés et une collaboration renforcée avec les agences spécialisées.
Source : Rapport CERTFR-2024-CTI-010 (ANSSI), novembre 2024
Autres articles susceptibles de vous intéresser
🔗 Cybersécurité dans l'UE : Les Directives NIS et NIS 2 : Cet article se penche sur ces deux directives, en examinant leurs objectifs, champs d'application, exigences et distinctions fondamentales.
🔗 Gestion des violations de données conformément au RGPD : Plan d’action en 12 étapes : Le plan en 12 étapes que nous détaillons ici est une méthode éprouvée pour gérer une violation de données en protégeant les droits et libertés des personnes concernées de manière conforme au RGPD.
🔗 Les deux documents de base pour les TPE/PME en protection des données (RGPD) et cybersécurité : Découvrez les deux outils incontournables pour renforcer la protection des données et la cybersécurité de votre TPE/PME tout en assurant votre conformité au RGPD.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
