Actualités & Opinions
Formation Médicale Continue

Spécialités
Cardiologie
Dermatologie
Diabète/Endocrinologie
Gastroentérologie
Gynéco/Obstétrique
Hémato/Oncologie
Infections/Vaccins
Medecine Durgence/Soins Intensifs
Médecine Générale
Nephrologie
Pédiatrie
Neurologie
Pneumologie
Psychiatrie
Rhumatologie
Socio-professionnel
Urologie
Édition: Français

Medscape

English
Deutsch
Español
Français
Português
UKNew

Univadis

Devenez membre
Édition Française

Medscape

Univadis

    X
    Univadis from Medscape
    mardi 30 mai 2023
    Actualités & Opinions Formation Médicale Continue
    Actualités & Opinions > Actualités Medscape

    Attaques informatiques dans les établissements de santé : y-a-t-il des failles de sécurité ?

    Jacques Cofard

    Auteurs et déclarations

    30 juin 2022

    France — Depuis 2020, le nombre de cyber-attaques s’est multiplié dans les établissements de santé. Y-a-t-il plus de failles dans leurs systèmes de sécurité ? Quelles sont les solutions mises en place par l'Agence nationale de la sécurité des systèmes d'information (Anssi) en termes de cyber-sécurité ? Nous avons interrogé Cyrile Politi, conseiller numérique auprès de la Fédération hospitalière de France (FHF).

    12% des cyberattaques concernent le secteur de la santé

    Autant l’Anssi que les spécialistes de la sécurité le clament, haut et fort : depuis le début de la pandémie de Covid, les structures sanitaires, en particulier les établissements de santé, ne sont plus épargnés par les cyberattaques. Dans son dernier rapport (avril 2022) portant sur la cyber-sécurité lors du dernier quadrimestre 2021, la société de sécurité informatique Trellix établit que 12% des cyberattaques ont concerné le secteur de la santé, plaçant celui-ci en seconde position derrière les attaques contre les individus (14%), mais loin devant le secteur de l'éducation (6%).

    Un constat également partagé par l'Anssi, qui déplore durant l'année 2020 quelque 27 hôpitaux victimes de cyber-attaques. « En 2021, en moyenne, un incident par semaine intervient dans une entité du secteur de la santé », ajoute l'agence.

    Interrogé sur la question par Medscape, Cyrile Politi, conseiller numérique auprès de la Fédération hospitalière de France (FHF) note également une augmentation importante des cyber-attaques contre les établissements de santé : « Depuis ces deux dernières années, on note une recrudescence des attaques en France contre les hôpitaux. Il y avait auparavant une certaine éthique chez les hackers : ils ne s'attaquaient pas à l'hôpital, tout du moins en France. Ce n'est plus le cas maintenant. »

    L'argent comme principale motivation

    À l'instar d'autres secteurs d'activités, les cyber-attaques contre les établissements sont presque uniquement motivés par l'appât du gain : ce sont, très souvent des rançongiciels qui sont mis à l'œuvre. Contre une rançon, les hacheurs débloquent les systèmes d'information infectés, comme ce fut le cas à l'hôpital de Villefranche-sur-Saône, en février 2021.

    « L'argent est la principale motivation. Je ne suis pas convaincu par la revente des données de santé. Les hackers demandent des rançons pour débloquer leur hacking », confirme pour sa part Cyrille Politi. Pourquoi les hôpitaux, maintenant ? Pour l'Anssi, le contexte de la pandémie pousserait plus « facilement les hôpitaux à payer la rançon au vu du besoin critique de continuité d'activité ».

     
    L'argent est la principale motivation. Je ne suis pas convaincu par la revente des données de santé. Cyrile Politi
     

    Failles de sécurité ?

    En revanche, la multiplication des attaques contre les hôpitaux ne serait pas due, selon Cyrille Politi, à la présence, de failles de sécurité plus nombreuses chez les établissements de santé : « Je ne pense pas qu'il y ait des failles béantes dans la sécurité des hôpitaux. Quand j'étais DSI, la notion de faille de sécurité accompagnait le développement du système d'information. Plus on développait le système d'information, et plus on mettait en place de sécurité. »

    Quoi qu'il en soit, s'il n'est pas question, pour les établissements de santé, de combler plus de failles de sécurité que dans d'autres secteurs d'activité, la multiplication des attaques impose, aux personnels hospitaliers, un changement de comportement : « Ce changement de paradigme fait en sorte qu'il faut changer notre manière de faire. Il faut former et accompagner les personnels.

     
    Ce changement de paradigme fait en sorte qu'il faut changer notre manière de faire. Cyrile Politi
     

    Deuxième chose : lorsque l'on détecte une faille de sécurité dans un système, il faut que nos éditeurs soient beaucoup plus réactifs. Enfin, il faut que nous ayons un véritable travail en réseau. Il faut que les acteurs de santé soient mis dans les boucles d'information pour être informés des signaux faibles concernant les attaques informatiques. »

    Parcours de cyber-sécurité

    L'Anssi, de son côté, propose aux organismes la mise en place d'un parcours de cyber-sécurité : « À travers la mise en œuvre de parcours adaptés aux enjeux et aux besoins des organisations, le parcours de cybersécurité a pour objectif de renforcer la sécurité des systèmes d’information des bénéficiaires. Ce dispositif propose un pré-diagnostic et un accompagnement par des prestataires compétents, de la maîtrise d’ouvrage jusqu’à la mise en œuvre. »

    Les hôpitaux sont inclus parmi les organismes qui peuvent prétendre bénéficier de ce programme : ainsi le groupement hospitalier de territoire de Champagne, qui comprend le centre hospitalier universitaire de Reims, a intégré ce parcours de cyber-sécurité.

    Double authentification

    L'agence Trellix a formulé, pour sa part, dans son dernier rapport, une série de recommandations. Au vu du contexte international, marqué par la guerre menée par la Russie contre l'Ukraine, Trellix conseille à toute organisation d'actualiser ses TTPs (tactiques, techniques et procédures) pour se protéger des attaques et infiltrations russes. Elle conseille également de mettre en place une double authentification pour tous les utilisateurs, de déconnecter tous les ports informatiques qui ne sont pas indispensables, d'utiliser le moins possible les outils informatiques en open source...

    « Lors de l'attaque de l'hôpital de Villefranche, nous avions demandé au gouvernement que la santé puisse être reconnue comme un service essentiel. Nous avions obtenu gain de cause, mais nous avions aussi demandé d'être accompagnés, et c'est à ce niveau qu'il faut qu'on ait un plan à la hauteur. Il faut aussi lancer une réflexion de fond sur les infrastructures. Aujourd'hui, on parle beaucoup des usages, mais il ne faut pas oublier non plus les infrastructures et la technologie », analyse Cyrille Politi.

    Carence en infrastructures, certes, mais aussi ressources humaines : « Nous subissons comme tous les secteurs d'activité la pénurie de personnels qualifiés. Il n'y a pas assez de monde, ça c'est sûr. On compense par des organisations mutualisées au-delà des GHT, parfois à l'échelle régionale. Un grand pas a été fait notamment dans la désignation de RSSI (responsable de la sécurité des systèmes d'information), mais il reste beaucoup à faire. »

    Fort heureusement, jusqu'à présent, ces hackings n’ont pas causé de drames irrémédiables : « Ces cyber attaques n'ont pas entrainé de décès, contrairement à l'Allemagne. C'est dû au fait que nous avons des systèmes très répartis. Dès qu'un hôpital est attaqué, l'attaque est circonscrite, ça limite les dégâts et nous avons la chance d'avoir un accompagnement de l'Anssi. »

     
    Ces cyber attaques n'ont pas entrainé de décès, contrairement à l'Allemagne. Cyrile Politi
     

     

    Suivez Medscape en français sur Twitter.

    Suivez theheart.org | Medscape Cardiologie sur Twitter.

    Recevez nos newsletters spécialisées.

     

    LIENS

    Commenter

    3090D553-9492-4563-8681-AD288FA52ACE
    Les commentaires peuvent être sujets à modération. Veuillez consulter les Conditions d'utilisation du forum.

    Traitement....

    Feedback
    Help us make reference on Medscape the best clinical resource possible. Please use this form to submit your questions or comments on how to make this article more useful to clinicians.
    Pleasedo not use this form to submit personal or patient medical information or to report adverse drug events. You are encouraged to report adverse drug event information to the FDA.
    Medscape Logo
    À propos de Medscape Politique de confidentialité Politique éditoriale Cookies Conditions d'utilisation Mentions légales Aide
    All material on this website is protected by copyright, Copyright © 1994-2023 by WebMD LLC. This website also contains material copyrighted by 3rd parties.