Le secteur hospitalier est confronté à un enjeu majeur : assurer la sécurité des données et des systèmes informatiques dans un environnement complexe où la transformation numérique est en constante évolution. Dans cet article, nous allons explorer les principaux défis auxquels le secteur hospitalier est confronté en matière de cybersécurité et les solutions envisagées pour relever ces défis.
L'année 2022 a été marquée par 588 établissements hospitaliers français ayant été ciblés par une cyber-attaque, ce qui équivaut à un établissement sur six. Ce chiffre représente une augmentation deux fois plus importante par rapport à 2020. Pour ne citer qu'eux, le CHU de Lyon et l'AP-HP ont été pris pour cible.
Pourquoi autant de cyber-attaques contre des établissements de santé ?
Les hôpitaux sont souvent perçus comme des sanctuaires de la vie, des institutions dédiées à la santé de tous, des entités relativement neutres. On pourrait être enclin à penser que les cybercriminels hésiteraient à attaquer des établissements aussi "innocents". Cependant, il est essentiel de noter que, même une brève panne électrique dans un hôpital peut mettre en danger la vie de plusieurs patients.
Les systèmes informatiques hospitaliers renferment des trésors de données, notamment les dossiers numériques des patients, des informations cruciales qui permettent au personnel médical de prodiguer des soins efficaces. Si ces ordinateurs venaient à dysfonctionner et que le personnel ne pouvait pas accéder aux informations vitales pour traiter un patient en détresse, le chaos s'ensuivrait.
C'est dans ce contexte que les cybercriminels voient l'opportunité de demander une rançon en échange d'un déblocage ou d'une restauration des données (bien que cela ne soit pas toujours garanti).
« A l’AP-HP, nous avons beaucoup de systèmes d’information, plus de 1 000 applications, des appareils biomédicaux connectés provenant de fournisseurs divers. L’hôpital est aussi, par définition, un endroit dans lequel on reçoit du public. Il n’est donc pas possible de tout sécuriser. Face à cela, nos moyens sont ceux du public. Nos systèmes d’information sont fragiles et ces fragilités expliquent qu’il y ait beaucoup d’attaques réussies. » explique Laurent Tréluyer, DSN de l’AP-HP dans les Echos.
Plus particulièrement, le contexte de la crise sanitaire liée à la Covid-19 a augmenté cette situation de vulnérabilité.
Quelles conséquences ?
Les conséquences des cyberattaques sur les établissements de santé sont considérables, entraînant un chaos organisationnel aux répercussions dramatiques. Ces incidents perturbent gravement la prestation des soins et suscitent la peur parmi le personnel et les patients.
Interruptions des Soins
L'une des conséquences les plus graves est l'interruption des soins due à la perturbation du fonctionnement normal de l'établissement. Les traitements médicaux en cours sont compromis, mettant en danger la santé des patients.
Inaccessibilité des Dossiers Numériques
Les dossiers numériques, contenant des informations vitales sur les patients, leurs données administratives, voire les bases de données, deviennent inaccessibles. Cette perte d'accès aux données cruciales entrave la capacité des professionnels de santé à prendre des décisions éclairées.
Selon Gilles Calmes (directeur général du CH Sud Francilien), il est essentiel que le plan de continuité d'activité (PCA) permette de maintenir le fonctionnement réduit de tous les services et fonctions. Interrogé par Vincent Trely, président de l'Apssis, sur ce qu'il aurait fait différemment, il a regretté d'avoir pris conscience "un peu trop tard" de l'importance des fonctions de support, telles que les ressources humaines ou la facturation. Dans un article de DSIH, il a souligné que les ressources humaines ont dû remplir manuellement 5000 fiches de paie pendant trois mois !
Fuite de Données Sensibles
Les hôpitaux détiennent des informations confidentielles qui ne devraient pas être accessibles au grand public. Lorsque les systèmes informatiques de l'hôpital sont attaqués, les cybercriminels peuvent exploiter ces données sensibles à des fins malveillantes, compromettant la vie privée et la sécurité des patients.
Transferts de Patients
Face à une cyberattaque, les hôpitaux sont parfois contraints de transférer des patients vers d'autres établissements de santé. Ces transferts nécessitent des ressources logistiques considérables et peuvent compliquer davantage la situation en période de crise sanitaire.
Lourdes Rançons Financières
Pour rétablir la situation, certains hôpitaux cèdent à la pression des cybercriminels en payant des rançons élevées. Cette action engendre des pertes financières importantes et alimente le cycle des cyberattaques.
La vulnérabilité des établissements de santé aux cyberattaques est forte
Les hôpitaux potentiellement concernés par la directive NIS 2
La directive NIS 2, visant à harmoniser et à renforcer la cybersécurité au sein du marché européen, étend son champ d'application par rapport à NIS 1. D'après les informations recueillies lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS, tous les établissements de santé comptant plus de 50 employés seraient désormais concernés.
La gestion des ressources humaines à l'hôpital
L'acquisition d'outils de cybersécurité est une étape cruciale, mais elle ne suffit pas à garantir la sécurité des hôpitaux. Il est essentiel de mobiliser des ressources humaines qualifiées pour analyser les données et gérer les systèmes de sécurité. Le personnel hospitalier, traditionnellement tourné vers le bien-être des patients, doit être sensibilisé à la culture du risque numérique. La transition vers une culture de cybersécurité exige un engagement du personnel hospitalier et des équipes IT.
Bien que les outils de cybersécurité existent et que des financements soient disponibles, le secteur hospitalier souffre d'un manque criant de ressources humaines qualifiées. La demande de spécialistes cyber dépasse largement l'offre, ce qui rend la rétention de talents encore plus difficile.
La complexité de l'Environnement Hospitalier
Les hôpitaux sont des environnements complexes avec une surface d'attaque considérable. Les dispositifs médicaux connectés, tels que les IRM, sont omniprésents, souvent en marge du contrôle informatique classique, ce qui les rend vulnérables aux attaques. Le manque d'une cartographie exhaustive de cette surface d'attaque ajoute à la complexité de la gestion de la cybersécurité.
Entreprises, quelles leçons tirer des cyberattaques contre les hôpitaux en France ?
Ces attaques, qui ont touché de nombreux établissements de santé, ont des implications et des enseignements essentiels pour les entreprises de tous secteurs.
Sensibilisation et Préparation
L'une des premières leçons à retenir est l'importance de la sensibilisation à la cybersécurité. Les hôpitaux, tout comme les entreprises, doivent s'assurer que leur personnel est conscient des risques et des bonnes pratiques en matière de sécurité informatique. La formation et la sensibilisation sont des éléments clés pour prévenir les attaques.
Évaluation des Vulnérabilités
Les cyberattaques contre les hôpitaux ont révélé que la préparation et l'évaluation des vulnérabilités sont cruciales. Les entreprises doivent réaliser des audits de sécurité réguliers pour identifier les points faibles de leur infrastructure informatique et mettre en place des mesures de protection adéquates.
Gestion des Ressources Humaines
Le secteur hospitalier a été confronté à un manque de ressources humaines qualifiées en cybersécurité, ce qui a contribué à la vulnérabilité de ces établissements. Les entreprises doivent investir dans le recrutement et la rétention de spécialistes de la cybersécurité pour renforcer leur défense contre les attaques.
Réactivité et plan de remédiation
Les attaques contre les hôpitaux ont montré l'importance d'une réponse rapide en cas d'incident. Les entreprises doivent élaborer des plans de remédiation pour réagir efficacement en cas d'attaque et minimiser les dommages potentiels.
Collaboration et Partage d'Informations
Les hôpitaux ont dû faire face à des défis liés à la complexité de leurs environnements informatiques. Les entreprises peuvent tirer parti de la collaboration avec d'autres entités du secteur pour partager des informations et des bonnes pratiques en matière de cybersécurité.
L'Hybridation comme Solution
L'un des principes clés pour aborder la cybersécurité dans les hôpitaux est l'hybridation, c'est-à-dire déterminer ce qui doit être géré en interne et ce qui peut être externalisé. L'aspect des ressources humaines est tout aussi important : l'hôpital doit-il recruter davantage de personnel pour garantir la sécurité au sein des établissements, ou est-ce une mission qui peut être externalisée ?
Sensibilisation, audit et sécurisation
Le secteur hospitalier a récemment été la cible de nombreuses attaques, mettant en lumière la vulnérabilité de ces institutions. Pour faire face à cette menace, des mesures ont été prises, notamment une augmentation du budget dédié à la sensibilisation, des audits pour identifier les menaces potentielles, contrôler et vérifier que les politiques de sécurité sont mises en place pour faire face à tous les risques possibles.
La nécessité d'automatiser les process
L'automatisation est une réponse clé pour maximiser les ressources limitées en personnel. Elle permet de gagner du temps en utilisant efficacement les outils de cybersécurité adéquats et en exploitant les données de manière plus approfondie. Cela facilite la priorisation des actions, l'accès à l'information, et l'optimisation des moyens.
Conclusion
La cybersécurité dans le secteur hospitalier est un défi majeur, nécessitant un alignement des planètes en termes d'outils, de financement et de ressources humaines. L'hybridation, l'automatisation et la sensibilisation sont des piliers pour renforcer la sécurité des hôpitaux et prévenir les cyber-attaques. Essentiels pour le pays mais inégalement matures face au numérique, il est primordial de créer une culture de la cybersécurité au sein des établissements de santé pour protéger efficacement les données et garantir la sécurité des patients.
Les experts en cybersécurité doivent garder à l'esprit qu'ils ne sont pas seuls dans la lutte contre les individus malveillants et hackers qui visent leur entreprise. Vous souhaitez en savoir plus sur la manière dont Oversoc peut vous aider ? Contactez-nous.
