Les acteurs de la santé sont une cible très majoritairement privilégiée pour les cybercriminels : en 2022, 78% des cyberattaques ont eu lieu dans le secteur sanitaire.
Un plan d’attaque pour mieux se défendre : c’est que ce propose un récent rapport de juin 2024 publié par l’Agence nationale d’appui à la performance des établissements de santé et médico-sociaux [ANAP].
Le risque cyber : un adversaire redoutable du secteur sanitaire
Le danger des cyberattaques réside non seulement dans la compromission des données sensibles des patients, dont en particulier les données de santé, mais aussi dans la perturbation des services essentiels. Une cyberattaque peut paralyser les opérations quotidiennes, mettant ainsi en péril la continuité des soins et la sécurité des patients.
Au premier rang des actes malveillants, se situent les attaques par phishing [hameçonnage] – avec une nette augmentation en 2022 comparé à 2021. Le rapport relève également des incidents liés à la compromission du SI, à la rançongiciel et aux virus, entre autres.
Le risque cyber : un adversaire maîtrisable par le secteur sanitaire
Pour limiter les impacts des cyberattaques, il est avant tout nécessaire de connaitre ses propres faiblesses : l’analyse des risques est donc un préalable crucial. Le rapport rappelle notamment que l’ANSSI [Agence nationale de la sécurité des systèmes d’information] propose des exercices permettant notamment aux acteurs d’identifier les failles de sécurité.
Le rapport de l’ANAP propose en outre plusieurs mesures pour pallier les cyberattaques, qui s’articulent autour de trois grands axes : l’hygiène informatique, la réponse aux incidents et les forces à mobiliser.
- L’hygiène informatique : Les établissements doivent adopter des pratiques de sécurité basiques, mais souvent négligées. Cela inclut notamment la segmentation des réseaux, la gestion des droits et des identités via l’Active Directory (AD) – qui est décrit comme « un service de répertoire qui recense l’ensemble des personnes autorisées à accéder au système d’information », la gestion des habilitations, des mises à jour des systèmes informatiques ainsi que la sensibilisation au phishing.
- La réponse aux incidents : Ici, les maîtres mots sont : réactivité, connaissance du système d’information [SI] et mise en place d’un centre opérationnel de sécurité [SOC] – ce dernier permettant de surveiller les systèmes en temps réel, de détecter les menaces et d’intervenir rapidement.
- Les forces à mobiliser : L’ANAP souligne que « les fonctions de DPO [Délégué à la protection des données] et de RSSI [Responsable de la Sécurité des Systèmes d’Information] ne doivent ni être occupées par la même personne, ni être subordonnées à la DSI [Direction des systèmes d’information], cela pour préserver leur indépendance », pour autant, ces acteurs doivent maintenir une collaboration étroite. L’ANAP évoque également un autre acteur : l’ambassadeur cybersécurité, présenté comme étant une personne dépourvue de responsabilité en matière de sécurité informatique mais qui promeut au sein des équipes les bonnes pratiques, agissant ainsi comme le relai du RSSI, ayant été préalablement formé par ce dernier.
Le risque cyber : un adversaire appréhendé par la règlementation
La protection des données étant au cœur des enjeux liés à la gestion des cyberattaques, l’ANAP, se référant au RGPD [Règlement général sur la protection des données] rappelle les impératifs liés notamment à :
- L’hébergement des données de santé dans des environnements sécurisés – les structures HDS [Hébergeurs de Données de Santé]
- La notification des violations dans un délai de 72h à l’autorité compétente – la CNIL [Commission nationale de l’informatique et des libertés]
- Au transfert de données entre établissements/professionnels via des messageries sécurisées – les MSS [Messageries sécurité de santé]
Le rapport évoque également le rôle portail du CERT Santé – et l’obligation d’y signaler « sans délai les incidents graves de cybersécurité qui concernent la sécurité des soins ; l’intégralité ou la confidentialité des données ou le fonctionnement normal d’un établissement » [pour rappel : cf. les articles L.1111-8-2 et D.1111-16-2 et suivants du code de la santé publique].
Par ailleurs, il convient de relever que l’ANAP aborde la directive NIS 2 [Network and Information Security] – dont les dispositions nationales doivent être adoptées et appliquées par les Etats membres en octobre 2024 – en ce qu’elle impose notamment l’utilisation d’un système d’authentification forte « pour l’accès aux données les plus sensibles comme le dossier patient informatisé ou aux logiciels au cœur du système d’information hospitalier », selon le rapport.
Enfin, nous rappelons que les cyberattaques sont également appréhendées sur le plan pénal et que les plaintes afférentes sont notamment gérées par des équipes hyperspécialisées telles que la section cybercriminalité [J3] du Parquet de Paris et la brigade de lutte contre la cybercriminalité [BL2C].
Pour plus de détails, le rapport est disponible via ce lien : https://anap.fr/s/article/cybersecurite-en-etablissement-de-sante-plan-attaque-contre-les-attaques