Santé : la France, mauvais élève européen de la cybersécurité

Alors que la santé s’appuie de plus en plus sur le numérique, la France se révèle être un mauvais élève européen en matière de cybersécurité. Dans cet article, nous verrons quel est le bilan européen en termes de cyber menaces, quels sont les risques encourus et comment s’en prémunir.

Cyberattaques dans le secteur de la santé : les données européennes

Entre janvier 2021 et mars 2023, l’Agence de l’Union Européenne pour la Cybersécurité (European Union Agency for Cybersecurity, Enisa) a dénombré 215 incidents (principalement des cyberattaques) dans le secteur de la santé sont concernés : les hôpitaux, les laboratoires, les mutuelles, les organismes publiques de santé ou encore les industries pharmaceutiques. C’est le secteur le plus attaque. En effet, plus d’une cyberattaque sur deux concerne le domaine de la santé (53% précisément).

Le secteur hospitalier est particulièrement touché avec 42% des incidents signalés suivi par les organismes publics (14%) et l’industrie pharmaceutique (9%).

La France est le pays européen le plus touché par les cyberattaques sur la période observée avec 43% incidents (20%), l’Espagne est deuxième avec 12% suivie de l’Allemagne (11%) et de l’Italie (9%).

L’Europe a connu une baisse des incidents de cybersécurité en 2022 (passant de 91 incidents en 2021 à 84 en 2022). Cependant sur le premier trimestre 2023 on observe déjà 40 incidents, soit près du double observé sur les années précédentes. Néanmoins, l’Enisa nuance ces données : au cours de ces dernières années, des mesures ont été prises en matières de cybersécurité notamment en ce qui concerne la détection et les signalements d’incidents. Cette hausse ne signifierait donc pas obligatoirement une hausse des attaques.

A lire : Cybersécurité, gestion des données de santé : le bilan 2021 de la Cnil

Les deux risques principaux : les rançongiciels et les menaces

La cybersécurité santé se concentre sur la sécurisation des systèmes et des données médicales. Les principaux risques sont les rançongiciels et les menaces. Les rançongiciels sont des logiciels malveillantes qui visent à bloquer ou à chiffrer des données et à exiger une rançon pour les récupérer. Les menaces sont quant à elles des tentatives visant à accéder à des données sensibles et à les voler ou à les modifier.

L’Enisa note aussi la hausse en 2023 des attaques par déni de service distribué (DDoS). Ces attaques impliquent l’utilisation d’un grand nombre de d’ordinateurs pour submerger un serveur ou un réseau avec des requêtes, ce qui provoque un ralentissement ou une interruption des services.

Des cyberattaques principalement à but lucratives mais parfois idéologiques

Les cyberattaques qui visent le secteur de la santé sont principalement motivées par des intérêts financiers. En effet, les informations stockées sur les systèmes informatiques des établissements de santé peuvent être très lucratives pour les cybercriminels.

Toutefois, il existe également des cyberattaques à but idéologique, visant à discréditer des établissements, à perturber leurs activités ou encore à exposer des données sensibles. Selon l’agence, les motivations des cyberattaques sont à 83% financières, 10% idéologiques, 1% liées à des l’espionnages. Les 6% restants englobent les autres motivations. 

Les patients, premières victimes

Les patients sont les premières victimes des attaques informatiques menées contre le système de santé. En effet, lorsqu’un système informatique est piraté, les données des patients peuvent être dérobées, telles que leur nom, leur adresse, leur numéro de sécurité sociale ou leurs informations médicales. Les patients sont les premiers à souffrir des conséquences d’une attaque informatique et à risquer un préjudice.

Les recommandations en termes de cybersécurité

Les recommandations en matière de cybersécurité comprennent des mesures de sécurité physiques, des mesures de sécurité logicielles et des mesures d’audit des systèmes. L’Enisa recommande donc aux professionnels de santé de :

  • sauvegarder les données critiques contenant des informations confidentielles en étant hors ligne pour minimiser les risque de fuite ;
  • suivre des programmes de sensibilisation et de formations pour ses pratiques de sécurité ;
  • analyser régulièrement les vulnérabilités ;
  • effectuer régulièrement des mises à jour des logiciels et des système d’exploitation ;
  • suivre les bonnes pratiques d’authentification lors d’un accès à distance ;
  • mettre en place des exercices de crise pour s’assurer de la continuité des soins ne serait pas affectée en cas d’attaque ;
  • pour les directions, s’engager pleinement sur la thématique de la cybersécurité, ce qui est rendu obligatoire par la directive Network and Information Security 2.

📄 L’étude de l’agence européenne sur les cyber menaces en santé (à télécharger en anglais)

Paymed

Des solutions adaptées aux problématiques d’encaissement des honoraires des professionnels de santé et à l’exercice libéral.