L’AGENCE DU NUMERIQUE EN SANTE (ANS) A PUBLIE LE 11 JUILLET SON RAPPORT 2019 portant sur l’évolution des incidents de sécurité informatique affectant les établissements de santé. Principal constat : l’année dernière, comme pour le secteur privé, les rançongiciels (ransomwares, en anglais), ces logiciels malveillants qui prennent les données en otage, n’ont pas épargné les établissements de santé. Selon ce rapport, 300 structures de santé sont concernées par 392 attaques, dont 66 mises en danger relevées, avec une croissance significative des attaques des structures de santé par rançongiciels (+ 40 %). La grande majorité des incidents ont été signalés par des établissements de santé (333), suivis par les Ehpad (24). Le reste se répartissant entre les laboratoires de biologie médicale (3), les centres de radiothérapie (4) et les « autres » structures (28) : pharmacies, cabinets libéraux, établissements publics du secteur médico-social. Ces proportions sont semblables à celles de 2018. Les attaques « ont aussi visé de façon plus marquante en 2019 des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité », note le rapport.
« Le nombre total de déclarations reste encore faible au regard du nombre de structures concernées par l’obligation de déclaration (plus de 3 000) et la probabilité qu’au moins la moitié des structures concernées a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année », souligne l’ANS. Le rapport précise que le vecteur d’infection privilégié par les attaquants reste le message de phishing contenant une pièce jointe ou un lien vers un site malveillant. Certaines attaques ont également exploité des failles de sécurité non corrigées ou l’accès à distance à des systèmes Windows avec des mots de passe peu complexes. Lorsque les rançons sont explicitement formulées, elles peuvent s’élever à une dizaine de milliers d’euros. Ces sommes sont similaires à ce que l’on observe dans différents secteurs d’activité. « A notre connaissance, seules deux structures du secteur privé ont payé la rançon demandée pour récupérer leurs données », indique l’ANS.
La criticité et la vulnérabilité des systèmes numériques en santé face aux cyberattaques imposent « de rechercher et de détecter de façon préventive les failles potentielles pour appuyer les établissements », rappelle l’agence. Les structures du médico-social sont « tout particulièrement concernées » par l’extension du dispositif de déclaration des incidents de sécurité à l’ensemble des acteurs de santé depuis le portail de cybersécurité(1). Ce dispositif de déclaration a « d’ores et déjà » été élargi aux Ehpad (établissements d’hébergement pour personnes âgées dépendantes), qui peuvent ainsi bénéficier de l’appui de la cellule d’accompagnement cybersécurité des établissements de santé. Par ailleurs, une campagne de sensibilisation sera organisée via des webinaires, des parcours de formation et l’organisation de colloques et événements relatifs à la sécurité opérationnelle.
Comme le rappelle la Commission nationale de l’informatique et des libertés (Cnil) dans son rapport d’activité 2019, publié en juin dernier, « la protection des données constitue souvent la première étape dans la mise en place d’une politique de cybersécurité ». Et de rappeler : « Le RGPD introduit aussi de nouveaux instruments à disposition des entreprises et administrations, notamment l’analyse d’impact relative à la protection des données (AIPD), rendue obligatoire avant la mise en œuvre de tout traitement de données présentant un risque élevé, et qui doit comporter un volet dédié à la sécurité. »