Le secteur de la santé, d’importance critique, regroupe divers acteurs, des gestionnaires du système de santé aux prestataires de soins, en passant par les fabricants de produits médicaux, les fournisseurs de services pour ce domaine. Les cyberattaques qui le ciblent peuvent avoir des répercussions graves, touchant la disponibilité, l’intégrité, la confidentialit, la traçabilité des services et des données, jusqu’à menacer potentiellement des vies humaines. Ce secteur attire donc l’attention de nombreux acteurs malveillants, qu’ils agissent pour des motifs financiers, de déstabilisation ou d’espionnage.

Depuis le début de la crise sanitaire de 2020, les incidents, signalements en lien avec le secteur de la santé, traités par l’ANSSI, ont fortement augmenté, passant de 2,87 % en 2020 à 11,4 % en 2023. Entre janvier 2022 et décembre 2023, les établissements de santé ont été les principales cibles, en raison de la spécificité de leurs systèmes d’information, de leurs contraintes structurelles, qui les rendent plus vulnérables.

• Menaces d’attaques par rançongiciel : Le secteur de la santé est une cible majeure pour les attaques par rançongiciel, qui entraînent souvent l’exfiltration de données, la paralysie des systèmes critiques, impactant la continuité des soins.
• Vulnérabilités des dispositifs médicaux connectés : Les dispositifs médicaux sont fréquemment affectés par des vulnérabilités, parfois en raison de systèmes d’exploitation obsolètes, qui permettent aux attaquants d’accéder aux réseaux de santé.
• Fragmentation des systèmes de santé : La structure fragmentée du secteur rend la cybersécurité complexe, augmentant le risque de propagation rapide d’incidents entre établissements interconnectés, comme les Groupements Hospitaliers de Territoire.
• Menace d’espionnage d’origine étatique : Certaines attaques visent à collecter des informations stratégiques, surtout depuis la pandémie de Covid-19, où les recherches médicales ont été ciblées par des acteurs d’États.
• Problèmes de segmentation et de résilience des systèmes : Les systèmes d’information des hôpitaux manquent souvent de segmentation, ce qui facilite la propagation des attaques dans l’infrastructure réseau.
• Incidents de compromission de comptes de messagerie : Une part significative des incidents dans les établissements de santé concerne la compromission de comptes de messagerie, souvent utilisée comme point d’entrée pour des attaques plus larges.
• Recommandations pour la cybersécurité : Le rapport inclut des recommandations de l’ANSSI sur la gestion des accès, la résilience des systèmes, la journalisation, et la gestion des vulnérabilités.
• Impact des attaques sur les soins : Les incidents informatiques dans les hôpitaux entraînent des retards, et/ou des interruptions dans les soins, ce qui peut augmenter le risque de mortalité chez les patients.
• Risque lié aux prestataires tiers : Les prestataires de services pour la santé (tels que les fournisseurs de solutions de téléconsultation) sont également ciblés, leur compromission peut avoir des effets en cascade sur les hôpitaux.
• Exfiltration de données à grande échelle : Des fuites de données personnelles, incluant des informations médicales sensibles, sont régulièrement revendues sur des forums criminels, posant des risques de fraude et d’usurpation d’identité.

Voici les principales solutions à mettre en place :

• Sécurisation des ressources humaines : Former régulièrement le personnel aux bonnes pratiques de cybersécurité, en particulier pour repérer les tentatives de phishing. Veiller également à ce que chaque membre utilise des mots de passe forts, différents pour les accès sensibles.
• Gestion des risques : Adopter une démarche de gestion des risques avec une analyse approfondie des systèmes données critiques, puis élaborer des plans d’atténuation adaptés aux vulnérabilités spécifiques du secteur de la santé.
• Renforcement de la segmentation réseau : Segmenter les réseaux pour limiter la propagation des attaques. Cette mesure de cloisonnement empêche qu’une attaque sur un système ne compromette l’ensemble de l’infrastructure.
• Renforcement de l’authentification : Implanter une authentification multifactorielle (MFA/2FA) pour accéder aux systèmes critiques, afin de réduire les risques d’accès non autorisés par l’utilisation de mots de passe volés.
• Surveillance et détection des intrusions : Mettre en place des outils de journalisation, de détection de sécurité permettant de repérer rapidement les comportements suspects, comme des tentatives de connexion anormales ou des transferts de données inhabituels.
• Gestion des vulnérabilités : Adopter un programme de gestion des vulnérabilités pour assurer la mise à jour continue des systèmes, équipements, y compris les dispositifs médicaux connectés, afin de corriger les failles connues.
• Sécurité des dispositifs médicaux connectés : Acheter des équipements avec des contrats de maintenance de sécurité à long terme, veiller à ce que les mises à jour de sécurité soient appliquées dès leur disponibilité.
• Renforcement de la résilience du système d’information : Élaborer, tester régulièrement des plans de continuité d’activité, de reprise après sinistre pour garantir la disponibilité des systèmes critiques en cas d’incident majeur.
• Supervision de la chaîne d’approvisionnement : Renforcer les exigences de sécurité pour les prestataires tiers, en particulier pour les services de téléconsultation, les solutions de paiement, les fournisseurs de données de santé, en leur imposant des normes de cybersécurité strictes.
• Suivi des recommandations de l’ANSSI : Mettre en œuvre les bonnes pratiques spécifiques, telles que le programme « parcours de cybersécurité » le référentiel Cybersécurité accélération et Résilience des Etablissements (CaRE), qui offrent des ressources pour améliorer la sécurité des systèmes dans les établissements de santé.

En adoptant ces solutions, le secteur de la santé peut réduire significativement sa vulnérabilité aux cyberattaques, renforcer la protection des données sensibles des patients, des systèmes critiques​

Télécharger le rapport : Secteur de la santé – État de la menace informatique

• Secteur de la santé – État de la menace informatique – PDF

Views: 1