Alors que la rentrée marque le retour des congés estivaux, certains acteurs, comme les hackeurs, ont parié sur les heures supplémentaires pendant l’été. Les établissements de santé, touchés par un déficit chronique de leurs effectifs, ont été particulièrement ciblés par des cyberattaques répétées en juillet et août 2024. Une étude de Mailinblack révèle une augmentation de 38 % des cyberattaques transitant par e-mail sur la période par rapport à 2023.
La santé, une cible de choix
Le secteur de la santé est une cible de choix pour les hackeurs en raison des données personnelles et sensibles qu’il traite. Qu’il s’agisse du CHU de Nantes, victime d’une attaque visant son réseau internet, ou de l’hôpital de Cannes, dont l’attaque a entraîné le vol de plus de 60 gigaoctets de données médicales, la liste des établissements de santé touchés par les cyberattaques est longue. Bien trop longue. En 2023, 581 incidents ont été déclarés par le secteur médical auprès de l'Agence du numérique en santé.
Parmi les attaques les plus courantes sont celles qui transitent par e-mail : le hameçonnage (technique utilisée pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité), le rançongiciel (programme malveillant qui chiffre les données dans le but d’extorquer de l'argent) et la fraude au président (escroquerie fondée sur l'usurpation d'identité et l'ingénierie sociale). Ces cyberattaques ont des conséquences graves, allant de la compromission des données sensibles à la perturbation des services, avec des impacts potentiels sur la santé des patients.
Un défi quotidien pour l'État
Face à cette menace persistante et croissante, l’État français a mis en place des mesures visant à renforcer et à pérenniser la cybersécurité des établissements de santé, notamment avec son programme Care, de 250 millions d'euros. L’État demande à chaque structure de santé de se doter d’un RSSI (responsable de la sécurité des systèmes d’information) et de veiller à sa sécurité numérique : pour chaque programme, la structure concernée doit consacrer 5 à 10 % de son budget informatique à la cybersécurité. Il est aussi exigé des opérateurs de services essentiels (CHU, ES et support de GHT) de déclarer les incidents de cybersécurité auprès de l’Anssi (Agence nationale de la sécurité des systèmes d'information).
Le chemin à parcourir est encore long et le défi de taille
Malgré ces initiatives, le chemin à parcourir est encore long et le défi de taille. De nombreux établissements s'appuient encore sur des infrastructures IT vieillissantes ou manquent de personnel technique, ce qui les rend particulièrement vulnérables. Ils se heurtent aussi à un important déficit de formation de leurs personnels en matière de sécurité numérique, alors qu’un rapport d’IBM souligne que 90 % des cyberattaques aboutissent en raison d'une erreur humaine.
De l’importance de la sensibilisation
Pour se prémunir des risques, il est stratégique de développer une véritable culture de la cybersécurité au sein des établissements de santé. Cela signifie, d’une part, que ces derniers doivent se doter de technologies de détection des menaces et de protection des systèmes d’information : anti-virus, pare-feu, système de sauvegarde des données, outils de filtrage de messagerie électronique, de gestion des accès et de gestion des mots de passe.
Il est essentiel de mettre l’humain au cœur de la stratégie cyber
D’autre part, il est essentiel de mettre l’humain au cœur de la stratégie cyber. Une enquête Ipsos révèle que 62 % des employés français n’ont jamais suivi de formation à la cybersécurité. Les établissements de santé doivent miser sur des outils de formation ludiques et qui s’adaptent au niveau de compétences de chaque collaborateur. La formation théorique doit être complétée par de la formation pratique.
« La connaissance s’acquiert par l’expérience, tout le reste n'est qu'information », disait Albert Einstein. Des mises en situation réelles et des outils de simulations d’attaques inopinées et régulières permettent d’apprendre par essai-erreur et de maintenir la vigilance de chacun. Ces simulations permettent également aux responsables de la cybersécurité de connaître en temps réel le niveau de vulnérabilité de l’organisation et l’évolution des connaissances de chaque collaborateur, afin de pouvoir les accompagner de manière personnalisée.
Les compétences acquises permettront non seulement de renforcer la sécurité des établissements, mais contribueront aussi à la protection des patients et de leurs données sensibles. Comme disait Bossuet, « la santé dépend plus des précautions que des médecins ». En mettant en place des programmes de formation réguliers, personnalisés et évolutifs, les établissements de santé pourront réduire drastiquement leur vulnérabilité et faire face aux nombreuses cyberattaques dont ils sont, et seront, les cibles.
C’est vous qui le dites
« En 5 heures, ils gagnent 2 000 euros défiscalisés »
Éditorial
Seulement 5 % ?
Devis de vie
Prévention, vous avez dit prévention ?