Urgence cybersécurité pour les organismes de santé

Articles de blog


Hôpitaux paralysés, dérèglement de pacemaker ou de pompe à insuline, revente de données médicales… Les exemples d’attaques malveillantes dans le secteur de la santé ne manquent pas et sont probants. À l’heure de la santé 2.0, impossible de ne pas accorder une place primordiale à la cybersécurité.
Si le numérique favorise l’échange, le partage, le décloisonnement entre les différents acteurs et place donc l’efficacité au premier plan, il est aussi à l’origine de nouveaux défis en matière de sécurisation des systèmes d’information et de protection des patients.

Le cloud, nouveau défi pour les organismes de santé


L’univers numérique qui entoure le patient n’a de cesse de s’accroître aussi bien dans la production des soins, que dans les fonctions supports nécessaires au bon fonctionnement de l’hôpital. Les risques les plus élevés en matière de cyber-attaques concernent aujourd’hui les données. Elles sont un véritable patrimoine, de plus en plus convoité. On les trouve aussi bien dans la mesure des constantes biologiques que dans l’application des plans de soins ou encore dans le contrôle technique des bâtiments.

D’ici 2022, le Gartner estime que plus de 30% des datacenters des hôpitaux seront hébergés dans le Cloud. Pourtant, d’après une enquête menée par Netwrix 1 en 2019, un organisme de santé sur trois ne protège pas suffisamment ses données alors que le secteur de la santé est une des cibles privilégiées des attaques informatiques. 26 % des acteurs du secteur déclarent avoir subi au moins un incident de sécurité lié au Cloud sur l’année écoulée. Malgré ces chiffres alarmants, 32 % des organisations de santé stockent des données sensibles dans le cloud sans disposer des ressources de protection adaptées. Toutes les données de santé sont considérées d’office comme des données sensibles. Parmi ces données figurent notamment des informations médicales et des renseignements personnels permettant d’identifier clients et employés.

De plus en plus d’organismes de santé souhaitent donner la priorité au Cloud passant ainsi de 31 % à plus de la moitié des répondants en seulement un an. 34% de ces derniers envisagent même de se tourner exclusivement vers le cloud. Pourtant, on ne note pas la même augmentation du côté des budgets alloués à la sécurisation des systèmes d’information. Dans 85% des entreprises, ils n’ont tout simplement pas du tout évolué en 2019. Par ailleurs, un tiers des équipes IT interrogées assurent ne recevoir aucun soutien financier de la part de leur direction. Néanmoins, 70 % des répondants font du chiffrement des données une priorité, puis de la surveillance de l’utilisation des données. Mais pour faire face à ces nouvelles menaces liées au Cloud, de nombreux acteurs envisagent sérieusement de faire marche arrière en rapatriant certaines données sur site notamment les informations relatives aux soins de santé et aux clients.

La prise en compte de la cybersécurité dans le secteur de la santé progresse… lentement mais positivement. 76 % des établissements sont aujourd’hui dotés d’une cellule de gestion des incidents. Reste à compléter ces efforts par des budgets plus conséquents et une réelle volonté de la part des directions des organismes de santé de repenser leur sécurité IT.

1 - https://www.netwrix.com/2019cloudsecurityreport.html .

Quels risques pour les patients et les acteurs de la santé ?


Bien sûr, les coûts de cybersécurisation peuvent être importants mais ils sont finalement les garants de la relation de confiance qui doit exister entre les usagers et les organismes de santé. Dans les établissements de santé, ce n’est pas la confidentialité des données qui est la principale source d’inquiétude mais bien la fiabilité de ces dernières. Seules des personnes clairement identifiées doivent pouvoir modifier ces données et selon des processus clairement définis. L’éditeur américain Morphisec Labs a mené une enquête dédiée au point de vue des usagers sur les menaces qui entourent le secteur de la santé. Les patients craignent davantage une atteinte à leur santé (59 %) que les pirates informatiques aient accès à un dispositif médical connecté à Internet (41 %). : Pourtant, tous ces éléments sont en fait liés et forment les maillons d’une grande chaîne. Si un virus paralyse les applications utilisées dans la gestion des urgences, l’incident qui en résulte peut engendrer une désorganisation des interventions et des accès à l’information relative à l’état de santé du patient. Ce n’est pas l’utilisation des systèmes d’information au sein des établissements de santé qui est en cause ici, mais bien les liens possibles entre un incident informatique et son impact sur la sécurité du patient et la qualité de sa prise en charge.

Et le nombre de vulnérabilités des systèmes d’information des organismes de santé n’est pas près de baisser. En effet, le nombre grandissant d’objets connectés utilisés, la présence de réseaux non partitionnés, des contrôles d’accès faibles et la dépendance à des systèmes vieillissants rendent le secteur de la santé particulièrement attirant pour les hackers. Dans 45 % des cas de piratage, les auteurs profitent d’un bug applicatif, passent par un message électronique malveillant ou un logiciel de cryptovirus. L’impact d’un accident de sécurité peut être dramatique d’un point de vue financier ; il peut aussi mener à une véritable mise en danger du patient.

À titre d’exemples, une intrusion avec mise hors service des systèmes d’information d’une ARS pendant 24h a engendré des coûts d’intervention par un prestataire de l’ordre de 10 000 €, la perte de productivité est estimée à près de 40 000 €, soit un total de 50 000 € ; un cryptovirus en EHPAD a coûté 50 000 € en coûts directs d’intervention et coûts indirects ; le piratage du standard d’un centre hospitalier a généré une surfacturation de téléphonie de l’ordre de 40 000 €.

Autre exemple, Dick Cheney, ancien vice-président des Etats-Unis, avait révélé que son cardiologue avait désactivé la fonction sans-fil de son pacemaker par crainte d’un piratage terroriste. Certes, aucun patient n’a heureusement été touché à ce jour mais ce genre de scénario digne d’une série américaine est aujourd’hui une réalité.

QUEL SYSTEME DE DETECTION CHOISIR ?

Tout savoir sur les systèmes de détection Gatewatcher



Découvrez notre solution

Comment se protéger efficacement ?


Comme dans tout combat, il est important de connaître son adversaire. La cartographie des risques est la pierre angulaire de tout plan d’action sécurité du système d’information. Les différents personnels et partenaires et mêmes usagers doivent être formés, sensibilisés, et éduqués sur les dernières techniques d’attaques et les vulnérabilités.

C’est dans ce sens qu’agissent les différentes institutions au niveau européen et français. Si la mise en place du RGPD a largement participé à la sensibilisation des organismes de santé quant à l’importance d’une sécurisation des données de qualité, les efforts doivent se renforcer.

Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs". L'Asip santé a été chargée d'apporter un appui au traitement des incidents, au travers de la cellule ACSS, et en lien avec les ARS. Mais le ministère de la santé présidé par Agnès Buzyn souhaite aller plus loin et propose d’étendre le dispositif de déclaration des incidents à l’ensemble des acteurs de santé et de mettre en place un service national de cybersurveillance d’ici 2020.

La plupart des failles de sécurité s’expliquent par un « manque de vigilance » et une « méconnaissance » des règles de cybersécurité. Il est donc important de se faire accompagner et de protéger efficacement son système d'information en s’équipant d’outils de détection de menaces en temps réel telles que les sondes de détection de Gatewatcher. Il est également intéressant d'intégrer à sa stratégie le machine learning et l’intelligence artificielle qui permettent d’anticiper les évolutions des techniques de hacking.

Le piratage des objets connectés inquiète énormément, particulièrement dans le secteur de la santé, l’ANSM a donc lancé une consultation publique pour une meilleure prise en compte de la cybersécurité des dispositifs médicaux en Europe. La culture de la cybersécurité étant très hétérogène au sein des fabricants de dispositifs médicaux, il devient primordial de réglementer afin que le risque de cyberattaques soit pris en compte dès la conception du produit. Rendez-vous en décembre pour connaitre les résultats finaux de cette consultation exclusive en Europe.

Pour aller plus loin

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.