Cybersécurité et secteur hospitalier : comment protéger efficacement les données ?

Dans un monde de plus en plus connecté, la cybersécurité est une préoccupation majeure pour toutes les industries, et le secteur hospitalier ne fait pas exception.

A la lumière des défis spécifiques à ce secteur et des solutions lui étant adaptées, découvrez les meilleures pratiques de cybersécurité, essentielles à la protection des données sensibles dans les établissements de santé. Les hôpitaux font face à des menaces de cybersécurité de plus en plus sophistiquées, mettant en danger la confidentialité des données des patients et la continuité des opérations. Comprendre ces enjeux est donc la première étape pour renforcer la sécurité numérique du parc informatique.

La vulnérabilité des systèmes hospitaliers

A l'instar d'autres secteurs, la santé bénéficie actuellement d'une expansion significative du numérique. Cette transformation englobe les soins médicaux, la gestion administrative et les pratiques adoptées par les patients (prise de rendez-vous en ligne, résultat d’analyse ou diagnostic en ligne, utilisation de dossier médical partagé…). Les données de santé sont omniprésentes, et ce tout au long du parcours de soins - que ce soit au cabinet médical, à l'hôpital ou en téléconsultation. Selon une étude réalisée en 2020, 70 % des Français ont déjà pris des rendez-vous en ligne et 66 % ont consulté ou reçu des résultats médicaux en ligne.

Aujourd’hui, presque tous les métiers du secteur médical et médico-social sont touchés par la numérisation, des résultats d'analyses aux dispositifs médicaux, en passant par l'accès à la cantine, les logiciels de paie ou les systèmes de climatisation. Contrairement à d'autres secteurs, tels que la distribution ou la finance, la numérisation de la santé est relativement récente. Par conséquent, les Systèmes d'Information présentent encore des lacunes en termes de résistance aux cyberattaques, susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données, selon l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Comme le révèle une récente étude, le secteur de la santé est le troisième domaine le plus touché par les attaques cyber, dans le monde, au premier trimestre 2023.

Des menaces à ne pas sous-estimer

Parmi les cybermenaces qui se profilent actuellement, les attaques de ransomware se démarquent par leur impact dévastateur. En effet, une cyberattaque peut non seulement perturber la routine des professionnels, mais également mettre en péril la qualité des soins apportés aux patients. Cela se manifeste par la paralysie des systèmes biomédicaux, l'indisponibilité des plateaux techniques, la destruction des données de programmation des soins, la panne des systèmes de messagerie, la perte de données de gestion et de ressources humaines, ou encore l'usurpation de données personnelles de santé.

En février 2021, le Centre Hospitalier (CH) de Dax a été la cible de l'une des cyberattaques les plus marquantes de ces dernières années. L'établissement a vu son SI être complètement neutralisé. Les répercussions délétères de cette attaque ont persisté pendant plusieurs semaines, et la résolution définitive du problème a nécessité plusieurs mois de travail. Le logiciel malveillant responsable de cette attaque est un ransomware appelé Ryuk, capable de chiffrer les données du réseau avant de réclamer une rançon - en échange d'une clé de déchiffrement. Le CH de Dax a refusé de verser la rançon, la loi française interdisant aux établissements publics de payer les rançons demandées.
Le jour de l'attaque, toutes les connexions internes et externes du CH ont été complètement coupées, y compris les standards téléphoniques et le système informatique de téléphonie. Les accès informatiques ont également été bloqués, rendant impossible toute forme de communication habituelle telle que le téléphone, le courrier électronique ou le site web de l'établissement. Heureusement, une sauvegarde préalable, sur bandes, a permis de récupérer les données informatisées de nombreux patients - bien que l'accès à ces données se limite à une lecture seule sur un poste dédié, sans possibilité de mise à jour. Après plus d'un an, les coûts totaux de cette attaque ont été évalués à 2,3 millions d'euros par le Centre Hospitalier de Dax, une somme entièrement prise en charge par l'Agence Régionale de Santé (ARS) de Nouvelle-Aquitaine.

Face à ces défis, certaines pratiques émergent comme des remparts efficaces contre les cybermenaces, assurant la sécurité des informations médicales.

Clé n°01 : sensibilisation et formation

L'humain reste un maillon essentiel dans la chaîne de la cybersécurité. Des programmes de sensibilisation et de formation réguliers sont cruciaux pour éduquer le personnel médical sur les risques et les bonnes pratiques en matière de sécurité. Il s’agit là d’une stratégie proactive pour armer le personnel médical contre tout type d‘attaques. Ces formations ne se limitent pas à la simple transmission d'informations, elles créent une véritable culture de la cybersécurité au sein de l'établissement. Les sessions de formation fournissent des connaissances actualisées sur les dernières menaces, à l’ensemble du personnel, les tactiques d'attaques courantes et les mesures préventives.

Clé n°2 : maîtriser son Système d’Information

Élaborer et mettre à jour une cartographie de vos SI, réaliser des audits cybers réguliers - notamment autour de la sécurité des Active Directory, et mettre en place des audits de conformité vous permettront de mieux maîtriser la sécurité de vos données sensibles. La mise à jour constante des logiciels est aussi, évidemment, une ligne de défense essentielle. En comblant les failles de sécurité, toute organisation peut réduire ses vulnérabilités face aux attaques. De plus, une surveillance continue des réseaux permet de détecter rapidement les activités suspectes, renforçant ainsi la résilience contre les menaces émergentes.

Clé n°03 : anticiper, toujours

Dans le monde hospitalier, l'anticipation devient une arme essentielle face à la montée des incidents numériques et des cyberattaques. La réalisation régulière d'exercices de continuité d'activité, en « mode numérique dégradé », est un moyen concret de préparation. Ces simulations permettent au personnel médical de se familiariser avec les procédures à suivre en cas d'incident, assurant de cette manière une réactivité accrue et organisée lors de situations réelles.

Clé n°4 : organiser sa gestion des incidents

En cas d'incidents graves, la réactivité devient impérative. À cette fin, disposer d'un support contractuel revêt une importance capitale. Que ce soit à travers un support interne à l'établissement ou un service mutualisé, avoir accès à un spécialiste de la réponse à incidents de sécurité offre l'assurance d'une intervention rapide et efficace.

Vols d'identifiants, attaques par rançongiciels… En 2022, le CERT-FR Santé a reçu pas moins de 592 signalements au niveau national. 464 signalements concernaient des établissements de santé, 87 des établissements et services médico-sociaux (ESMS). La cybersécurité dans le secteur hospitalier est une priorité absolue, car elle permet d’assurer la protection des données sensibles et le bon traitement des patients. Dans ce contexte, les organisations médicales et socio-médicales, soutenues par l’Etat grâce à un plan de renforcement, n’ont certainement qu’un objectif : renforcer leur défense contre les cybermenaces.