Les récentes cyberattaques ayant visé des hôpitaux et autres établissements de santé ont mis en lumière la vulnérabilité de ces structures face aux risques numériques. Les données médicales qu’elles détiennent suscitent les convoitises et attisent les appétits des hackers en quête de gains financiers ou soucieux de semer le chaos. Entre vol de données confidentielles et blocage des systèmes informatiques, les conséquences peuvent être dramatiques et mettre directement en danger la santé des patients. Face à l’ampleur des menaces, la sécurisation des données de santé est devenue un enjeu capital.
Une cible de choix pour les cybercriminels
Selon une étude menée par le Health Information Sharing and Analysis Center (HISAC) en 2021, le secteur de la santé a connu en 2020 une hausse de 45% des cyberattaques par rapport à 2019, avec plus de 450 incidents répertoriés rien qu’aux Etats-Unis. Les structures de santé représentent en effet une cible de choix pour les hackers en raison de la grande sensibilité des données médicales qu’elles détiennent.
Ces données couvertes par le secret médical – dossiers patients, résultats d’analyses, imagerie médicale – ont une valeur marchande certaine sur le dark web et attirent les convoitises. Leur revente permet aux cybercriminels d’engranger des profits substantiels. Surtout, le blocage des systèmes d’information d’un hôpital via un rançongiciel peut avoir des conséquences dramatiques en interrompant le suivi des malades et la délivrance des soins. Face à l’urgence, de nombreux établissements sont contraints de payer la rançon exigée.
Des failles à tous les niveaux
Plusieurs facteurs expliquent la vulnérabilité du secteur de la santé face à la menace cyber. Tout d’abord, la vétusté des systèmes d’information de nombreux hôpitaux, souvent obsolètes et non mis à jour, offre des failles facilement exploitables par les hackers. S’y ajoute le manque de personnel qualifié et formé à la sécurité informatique au sein de ces structures, souvent dépourvues de service dédié.
Par ailleurs, le télétravail et les objets connectés se sont largement développés depuis la pandémie de Covid-19, augmentant la surface d’attaque. Les collaborateurs à distance et leurs équipements non sécurisés (VPN défaillants, mots de passe par défaut, etc) représentent autant de portes d’entrée pour les cybercriminels. Enfin, le manque de sensibilisation et de formation des personnels hospitaliers aux risques numériques est également pointé du doigt. Un simple clic sur une pièce jointe infectée dans un email peut suffire à introduire un rançongiciel dans le réseau.
Vers un durcissement des exigences de sécurité
Conscientes des risques, les autorités ont durci le cadre réglementaire ces dernières années afin d’accroître la cybersécurité des établissements de santé. La certification HDS (Hébergeur de Données de Santé) est devenue obligatoire pour tout organisme traitant ce type de données. Elle garantit la sécurisation des données ainsi que le respect de la confidentialité et du secret médical.
Néanmoins, ce référentiel est jugé insuffisant face à l’ampleur des menaces. La qualification SecNumCloud, encore plus exigeante, tend à s’imposer, notamment avec la doctrine « Cloud au centre » qui l’impose aux structures publiques. Côté secteur privé, une mise à jour prochaine de la certification HDS pourrait aligner les exigences de sécurité. L’objectif est de parvenir à un haut niveau de protection des données de santé via un cloud de confiance, souverain et hautement sécurisé.
Les défis de la mise en conformité pour les établissements
La mise en conformité représente un défi de taille pour de nombreux établissements de santé, notamment les plus petits. Elle implique des investissements humains et financiers conséquents afin de remettre à niveau des systèmes d’information obsolètes. La formation des personnels à la sécurité informatique nécessite également des moyens.
De plus, le passage au cloud computing exige de revoir en profondeur l’architecture technologique ainsi que les pratiques et processus en interne. Les directions informatiques manquent souvent de visibilité sur ces projets complexes. Elles sont en attente d’offres cloud riches en fonctionnalités et entièrement sécurisées avant de franchir le pas.
Vers une prise de conscience collective ?
Au-delà des aspects technologiques, la sécurisation des données de santé face à la cybermenace implique un changement de culture au sein des établissements. La sensibilisation des personnels à la sécurité informatique et au risque cyber doit devenir une priorité. Chacun doit prendre conscience de son rôle dans la protection des données.
Par ailleurs, le partage d’informations entre établissements doit être renforcé, que ce soit en matière de bonnes pratiques ou de signalement des tentatives d’attaques. La mise en place de stratégies collaboratives, via des partenariats public-privé par exemple, permettrait une mutualisation des moyens et une plus grande résilience collective.
- AIPD et données de santé confiées à une IA : le résultat de l’analyse d’impact peut-il dispenser de consulter la CNIL ?
- DPO pour Organisme d’Accréditation : protéger les données de santé des médecins et des patients dans l’écosystème SIAM
- SPST et données de santé au travail : la cible cyber que personne ne surveille
