Cyberattaques : scénarios redoutés par les établissements hospitaliers et médico-sociaux
Dans un contexte de crise sanitaire et de mise en œuvre des Groupements Hospitaliers de Territoire (GHT), le secteur de la santé, jusqu’alors plutôt épargné ces dernières années, se retrouve véritablement impacté et devient une cible de choix pour les hackers.
Depuis la fin de l’année 2020, les attaques dirigées contre les centres hospitaliers, les cliniques et les établissements médico-sociaux se multiplient. Certaines d’entre elles ont été médiatisées : CH de Dax, CH de Villefranche-sur-Saône, CH de Oloron-Sainte-Marie, Clinique de l’Anjou. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) note en 2020 une hausse de 255% des signalements d’attaques par ransomwares ou rançongiciel.
Les hôpitaux et les entités du secteur de la santé : des cibles privilégiées
Comme pour tous les autres secteurs d’activité, le monde de la santé n’échappe pas à l’accélération des usages numériques :
- En interne : intégration de multiples informations médicales dans le Dossier Patient Informatisé (DPI), les logiciels de paies, la gestion administrative, la Gestion Technique de Bâtiments…
- En externe : échange direct avec ses patients (téléconsultation, objets connectés) et ses partenaires.
L’interconnexion croissante des systèmes d’information de santé expose ceux-ci aux diverses menaces comme les crypto virus ou encore le phishing, entrainant de possibles demandes de rançons, des pertes ou fuites de données et un danger dans la prise en charge et le parcours de soin. Certaines infrastructures vieillissantes, mal sécurisées, deviennent alors des proies faciles pour les pirates, et une source de revenus conséquente. Mais ces attaques entrainent aussi de graves dysfonctionnements des établissements :
- Perte totale ou partielle des systèmes de messagerie et/ou de téléphonie ;
- Destruction de données dans la programmation de soins ;
- Perte de données de gestion administrative (Ressources Humaines, Finances) ;
- Mise à l’arrêt de matériels biomédicaux.
La production de données à caractère personnel générées par ces systèmes d’information (DCP) grandit à vitesse exponentielle… Leur valorisation sur les marchés du DarkWeb font des établissements de santé des cibles de choix pour les pirates informatiques.
Le secteur de la santé est-il armé contre les cyberattaques ?
La cyber sécurité est un préalable au tournant numérique du système de santé et à la confiance de tous les acteurs.
L’annonce en 2018 de la stratégie « Ma santé 2022 », puis la présentation en 2019 de la feuille de route « Accélérer le virage numérique en santé » montre une forte implication des pouvoirs publics dans la prise en compte des risques numériques.
L’un des principaux enjeux de cette feuille de route est de mettre en mouvement tous les acteurs du monde de la santé, car malheureusement le risque numérique est encore trop perçu comme une affaire de technicien et de spécialiste.
Grace à la mise en place d’une structure spécialisée et dédiée, La « Cellule d’Accompagnement Cyber sécurité de Structure de Santé » (ANCSS), les établissements bénéficient donc d’un point de contact pour signaler les incidents et se faire accompagner. Les ARS proposent également des accompagnements à la cyber sécurité en région.
Cependant, si certains établissements ont déjà pris les devants sur ces problématiques de sécurité, d’autres, souvent plus petits et moins bien dotés (en termes d’expertise et de ressources), prennent du retard.
Les Etablissements et Services Médico-Sociaux (ESMS) sont également inscrits dans cette démarche par le programme « ESMS numérique » porté par la Caisse Nationale de Solidarité pour l’Autonomie (CNSA) afin d’engager un programme d’équipement massif et le déploiement du Dossier Usager Informatisé (DUI) avec une prise en compte de la sécurité informatique.
Ces structures auront également l’obligation de se soumettre à un audit de cyber surveillance, et de déclarer les incidents de sécurité des systèmes d’information à partir de 2021.
Cyberattaques : comment s’en prémunir ?
La recette miracle n’existe pas, mais il est désormais nécessaire de prendre en compte et d’accélérer cette gestion du risque numérique au sein des d’établissements, minimisant ainsi les conséquences d’une potentielle attaque.
Quelques règles dites « d’une bonne hygiène numérique en établissement de santé » peuvent ainsi être mises en place :
Vous trouverez des conseils sur le site de l’agence du numérique en santé ainsi qu’une vidéo pour rester « cyber vigilants ».
Ainsi, le Système d’Information est au cœur de la prise en charge des patients, des résidents, des usagers, et la disponibilité, l’intégrité, la confidentialité des données de santé, deviennent strictement nécessaires. L’ouverture des systèmes d’information et le partage de ces données par la mise en place de GHT, ou des parcours de soins coordonnées, imposent aux établissements des contraintes plus fortes en terme de sécurité, au risque, à minima d’une perte de confiance des usagers, d’un blocage total de ses activités, des fuites de données patients, ou pire encore, un risque pour le patient comme ce fut le cas en Septembre 2020 dans une clinique de Düsseldorf.
Nous vous recommandons donc de définir une stratégie de réponse aux cybers menaces :
- Mettre en place une gouvernance de la politique de sécurité des systèmes d’information ;
- Mettre en place une formation et une sensibilisation de vos utilisateurs ;
- Former les équipes techniques au risque Cyber ;
- Auditer et sécuriser votre Système d’Information.
TGS France, labellisé Expert Cyber, peut vous accompagner dans cette démarche.
