Stratégie cyber

La cybersécurité dans les établissements de santé

Quelles sont les menaces cyber qui pèsent sur le secteur de la santé ? Quels défis doivent relever les établissements de santé ? Et quelles sont les solutions pour garantir la sécurité de leurs systèmes d’information ?
8 min

Quelles menaces pèsent sur la sécurité informatique dans le secteur de la santé 

Selon l’agence de l’Union Européenne pour la cybersécurité (ENISA), entre janvier 2021 et mars 2023 en Europe, la majorité des incidents affectant le secteur de la santé ont touché des prestataires de soins de santé (53% des incidents) et particulièrement les hôpitaux (42% des incidents).  

Le ransomware est l'une des principales menaces (54% des incidents), tant par le nombre d'incidents que par son impact sur les organisations, et cette tendance est amenée à se poursuivre. En outre, il faut noter que 43% des incidents liés aux ransomwares sont couplés à une violation ou à un vol de données.  

 

“Depuis ces cinq dernières années, la menace la plus redoutée par les hôpitaux est le cybercrime, notamment les ransomwares. Ils bloquent tout ou partie d’un système d’information et rendent les services inopérants. En plus de bloquer le système d’information, les pirates exfiltrent les données et demandent une rançon pour éviter leur divulgation. C’est la double peine : l’hôpital ne fonctionne plus, et la confidentialité des données des patients est mise à mal.  

Les vulnérabilités identifiées au sein des établissements de santé en font des cibles pour les attaquants qui tentent leur chance dès qu’ils trouvent une faille liée à une mauvaise hygiène informatique. Il est donc urgent de mettre en œuvre toutes les pratiques vertueuses qui contribueront à faire sortir les hôpitaux de ce statut de cible privilégiées pour escroqueries low-cost .“ 
Vincent Trely, Président de l’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS). 

 

Les impacts des attaques cyber dans le secteur de la santé  

En termes d’impacts, selon l’ENISA, les incidents observés entre janvier 2021 et mars 2023 en Europe ont principalement causé : 

  • des violations ou des vols de données (43%), 
  • des perturbations des services de santé (22 %).  

Au cours des dernières années, les incidents touchant les hôpitaux se sont multipliés, et ces incidents les contraignent à fonctionner en mode dégradé pour des périodes pouvant s’étendre sur plusieurs mois. Pour les patients, les conséquences peuvent être graves, nécessitant éventuellement des transferts vers d’autres établissements. Aussi, ces attaques informatiques nuisent à la réputation des organisations visées, qui plus est si les données personnelles des patients sont en jeu. 

“En 2024, quasiment 100% des fonctions d’un hôpital sont numérisées. Alors, lorsqu’un hôpital est attaqué, le problème majeur qui se pose, ce n’est pas la fuite des données des patients, mais l’indisponibilité des services.  
Une fois la cyberattaque passée, la reconstruction du système d’information peut prendre des mois. Un an après une attaque, un hôpital qui pouvait assurer environ 60 chimiothérapies par jour s’est vu contraint de réduire ce rythme de 75% - une situation qui a évidemment des conséquences sur la prise en charge des patients. Une attaque a des répercussions bien au-delà des postes de travail et des serveurs !” 
Vincent Trely, Président de l’APSSIS 


La prise en compte des risques cyber dans les établissements de santé 

L’étude menée par l’ENISA mentionnée plus tôt révèle que :  

  • seules 27% des organisations du secteur de la santé interrogées disposent d'un programme de défense contre les ransomwares,  
  • et 40% n'ont pas de programme de sensibilisation à la sécurité destiné aux équipes métier. 

Enfin, une autre étude du NIS Cooperation Group indique que : 

  • 95% des organismes de santé interrogés sont confrontés à des difficultés lors de l'évaluation des risques,  
  • et 46% n'ont même jamais réalisé ce travail d’analyse ! 

Les besoins du secteur en matière de cybersécurité apparaissent évidents. 

“Depuis les années 2000, le secteur de la santé a été dynamisé et aidé pour déployer de nombreuses solutions informatiques pour les équipes métier. Cela s’est fait très rapidement, et parfois au détriment de la cybersécurité.  
Aujourd’hui, un hôpital peut disposer de 250 à 300 logiciels, et il faut sécuriser toute cette architecture en tenant compte des contraintes budgétaires. Sécuriser un système d’information dans ce contexte est un défi de taille. 

Les mesures de sécurité sont essentielles pour un établissement de santé, et il faut pouvoir se défaire de l’idée reçue selon laquelle elle représente un frein. Ainsi, le rôle des RSSI est entre autres d’appréhender les besoins des utilisateurs du système d’information en allant à leur rencontre, afin de comprendre leurs usages et proposer une stratégie adaptée. L’objectif de cette démarche est de faire de la pédagogie sur les enjeux de cybersécurité, et de rassurer sur le fait que les dispositifs de sécurité sont compatibles avec le travail des soignants.” 
Vincent Trely, Président de l’APSSIS


Etablissements de santé : comment se prémunir contre les menaces cyber ? 

Dans le but d’accélérer le renforcement de la protection et de la résilience des établissements de santé, le ministère de la Santé et de la Prévention français a mis en place le programme CaRE (Cybersécurité accélération et Résilience des Établissements). Ce programme vise un double objectif :  

Il s’agit d’un plan d’action ambitieux pour la période 2023 - 2027 qui se décline en 4 axes : 

  • Gouvernance et résilience  
  • Ressources et mutualisation  
  • Sensibilisation  
  • Sécurité opérationnelle  

“Je recommande à tout établissement de santé de suivre les mesures du programme CaRE, qui répondent aux enjeux d’une stratégie de cybersécurité efficace et complète.  
Les priorités, selon moi, sont les suivantes : réaliser une analyse de risques, cartographier son système d'information, investir dans des outils de protection (outils de sauvegarde des données, EDR, EPP) ; mais aussi renforcer la protection des annuaires (Active Directory, etc), maîtriser les droits d’accès au système d’information, maintenir le parc à jour, ou encore réaliser régulièrement des exercices de crise. En plus du programme CaRE, la directive européenne NIS2 va renforcer les impératifs de conformité en matière de cybersécurité.”  
Vincent Trely, Président de l’APSSIS


Cybersécurité : l’EDR pour répondre aux besoins des établissements de santé 

Parmi les mesures à mettre en place, le programme CaRE recommande de superviser les terminaux d’un parc informatique. L’objectif est d’être en mesure d’identifier au plus tôt les intrusions ou tentatives d’intrusion. 

Dans cette perspective, l’EDR fait partie des outils essentiels pour détecter et répondre aux menaces. Par ailleurs, il permet de disposer d’une vue d’ensemble et détaillée sur l’activité du système d’information, et de réagir en cas d’événement de sécurité comportement ou fichier suspect) pour investiguer efficacement. Il vise à la fois à détecter les menaces connues et inconnues (notamment à l’aide de l’IA), et à disposer d’un maximum d’informations pour lever des doutes en cas d’événement de sécurité. C’est un véritable allié des équipes de sécurité et de la DSI des établissements de santé ! 

Avant de s’équiper, voici les critères à évaluer en priorité pour un établissement de santé : 

  • la couverture des systèmes d’exploitation qui doit être la plus large possible (OS et versions) car le parc d’un hôpital est généralement hétérogène, 
  • la capacité à détecter les menaces connues comme les menaces inconnues des bases de virus, 
  • la préservation des performances des machines équipées, même lorsqu’elles sont peu puissantes, 
  • l'interopérabilité de l’EDR avec les autres solutions déjà déployées sur le parc informatique, 
  • la facilité d’intégration avec d’autres outils de sécurité,  
  • le fait que les règles de détection soient personnalisables et dans des formats standards (par exemple, YARA et Sigma), et la possibilité d’intégrer des indicateurs de compromission (IOC), pour faciliter le travail des experts en cybersécurité. 

Ce sont des points essentiels pour les établissements de santé dont les environnements IT sont souvent complexes, incluant des équipements critiques, et dont la surface d’attaque est importante. 

En somme, les performances de l’EDR et sa capacité à s’intégrer dans une infrastructure IT sans perturber les usages métier sont cruciales - notamment pour les applicatifs critiques, ou encore les équipements d’imagerie ou de biologie médicale qui doivent pouvoir fonctionner en toutes circonstances. 
 

Comment l’EDR d’HarfangLab répond aux enjeux de cybersécurité  
des établissements de santé ? Découvrez le retour d’expérience du CHU de Brest :