Établissements de santé : pourquoi la menace cyber pèse toujours ?
Selon le dernier rapport concernant le secteur de la santé publié par nos experts en Cyber Threat Intelligence, 24% des attaques observées ont ciblé des établissements de santé français, 14% des établissements allemands, 4% des établissements espagnols et 7% des établissements italiens entre 2023 et 2024. Les hôpitaux et autres infrastructures de santé semblent être encore aujourd’hui des cibles de choix pour certains cyberattaquants ou modes opératoires d’attaque (MOA).
Auparavant peu médiatisées, les cyberattaques contre les établissements de santé sont plus régulièrement relayées dans la presse depuis 2020, en raison des conséquences qu’elles peuvent avoir pour les patients du fait de possibles interruption ou dégradation des soins. En effet, l’indisponibilité du système d’information hospitalier peut provoquer une perte des chances d’être soigné correctement.
Dans cet article, nous analyserons les raisons qui font des établissements de santé publics et privés des cibles d’intérêt pour les cyberattaquants. Pour en savoir plus sur les principales menaces visant le secteur de la santé en France, en Allemagne, en Italie et en Espagne, nous vous invitons à télécharger le dernier rapport sectoriel publié par nos experts en cyber threat intelligence en partenariat avec Relyens.
Un secteur qui connaît une digitalisation accrue
De nombreux secteurs économiques ont connu une importante digitalisation ces dix dernières années. Le secteur de la santé n’y fait pas exception. Aujourd’hui, le numérique est présent sur l’ensemble de la chaîne de soin, de la prise de rendez-vous jusqu’à la consultation des résultats des analyses, en passant par l’utilisation de technologies et de matériels médicaux connectés. Cette digitalisation a notamment contribué à pallier contre les déserts médicaux et le manque de personnel, un temps d’attente amoindri et une meilleure prise en charge administrative des patients.
Toutefois, la numérisation du secteur de la santé implique aussi la multiplication des vulnérabilités, qui peuvent être exploitées par les cyberattaquants comme l’interconnexion croissante des systèmes d’information hospitaliers, le nombre important et l’intégration disparate de logiciels applicatifs et d’objets connectés dans le processus de soin ou encore la rareté du personnel technique qui rend difficile le maintien de la cybersécurité. Le manque de formation à l’hygiène informatique pour les soignants, les enjeux budgétaires liés au secteur de la santé et la pratique du Shadow IT (et du Shadow AI) sont aussi régulièrement pointés du doigt comme source de vulnérabilités.
A cela s’ajoute la gestion complexe des technologies au sein des établissements de santé. Tout d’abord, les équipements médicaux et les applications métiers utilisés dans le secteur de la santé sont implémentés selon un principe de « boîte noire ». Cela signifie que l’établissement qui les utilise ne dispose pas de suffisamment d’informations pour être autonome sur le fonctionnement ou la mise à jour de l’équipement ou de l’application. La détection des risques est alors plus complexe pour les équipes de cybersécurité, puisqu’elle ne peut ne pas disposer de toute la connaissance nécessaire pour maîtriser la sécurité. Cette situation crée aussi une dépendance au fournisseur ou à l’éditeur de logiciel, notamment pour mettre à jour les systèmes et appareils, étape primordiale pour pouvoir corriger leurs éventuelles vulnérabilités susceptibles de devenir des portes d’entrée pour les cyberattaquants. Enfin, en raison des enjeux budgétaires liés au secteur de la santé, les établissements peuvent être amenés à utiliser des logiciels ou des appareils dépassés, qui ne sont plus pris en charge par les fournisseurs et dont les vulnérabilités ne sont plus corrigées. Cela complexifie la gestion des technologies présentes au sein de l’établissement pour les équipes de sécurité.
Un risque porté par la chaîne d’approvisionnement
Les établissements de santé, qu’ils soient publics ou privés, ne sont pas des entités isolées. Ils évoluent au cœur d’une chaîne d’approvisionnement de plus en plus complexe pour permettre leur fonctionnement, c’est-à-dire un ensemble hétérogène de prestataires fournissant des services numériques, métiers ou supports. Ces derniers apportent au maillon final de la chaîne son propre lot de vulnérabilités. Cela implique qu’en plus des risques internes évoqués précédemment, le risque cyber pesant sur les établissements de santé provient aussi de l’extérieur. Le parcours de soin peut être perturbé par une cyberattaque déstabilisant un prestataire, sans pour autant qu’il y ait d’interconnexion informatique avec l’établissement hospitalier (par exemple, dans le cas d’une compromission par cyberattaque d’un prestataire chargé de services de restauration).
Les risques associés à la chaîne d’approvisionnement peuvent être pris en charge par les assureurs, mais cela peut devenir un casse-tête pour eux, tant le sujet est complexe. Cela s’explique par la nature systémique du risque à l’échelle d’un secteur, voire à une échelle transectorielle. Dans ce cas, l’évaluation de l’exposition du client aux risques cyber par l’assureur représente un véritable défi pour l’employeur en raison du grand nombre de fournisseurs et de prestataires. De plus, sur le plan contractuel, le rapport de force est souvent défavorable aux établissements de santé en raison de conditions générales de vente très strictes. De plus, certains hôpitaux développent et proposent des solutions ou services informatiques à d’autres établissements, ce qui les place potentiellement à leur tour comme des vecteurs de transmission et donc responsables d’une attaque par chaîne d’approvisionnement.
Accompagner les établissements de santé dans la montée en maturité défensive
Les établissements de santé publics et privés sont vulnérables face aux cyberattaques pour trois principales raisons :
- La vaste diffusion des technologies de santé ;
- L’attractivité financière à la revente des données ;
- L’impact opérationnel des perturbations engendrées par une indisponibilité du système d’information d’un établissement de santé.
Les autorités nationales ont pris conscience de ce sujet. En France, les concertations du Ségur de la santé, entamées durant la pandémie de la Covid-19, ont notamment abouti à la mise en place de programmes de financements publics destinés à encourager les établissements de santé à renforcer la sécurité de leurs systèmes d’information. En 2023, un Plan blanc numérique a été élaboré pour inciter les établissements à adopter des réflexes et des bonnes pratiques en cas d’incident. Il est complété par le programme CaRE (Cybersécurité accélération et Résilience des Etablissements) qui propose entre autres des kits pour organiser des exercices cyber et pour mettre en place des plans de reprise d’activité. Au niveau national, l’objectif est donc de permettre aux établissements de santé et à leurs personnels d’apprendre à réagir en cas d’incident afin de devenir plus résilients.
Au niveau européen, la directive NIS 2, qui a pour but d’harmoniser le niveau de cybersécurité au sein de l’UE, entrera en vigueur en octobre 2024. La santé fait partie des secteurs concernés par ce texte législatif. Les établissements de santé devront mettre en place des mesures afin de pouvoir réagir en cas de cyberattaque (notification des incidents, mise en place du plan de reprise d’activité…). Le sujet est donc également pris en considération au niveau de l’Union Européenne.
Rançongiciel, fuite de données, espionnage… Quelles sont les principales menaces auxquelles les établissements de santé publics et privés sont-ils exposés ? Pour le savoir, téléchargez le rapport publié par nos experts en Cyber Threat Intelligence (CTI) en partenariat avec Relyens.
