Cybersécurité, le fléau : 422 établissements de santé ont déclaré au moins un incident en 2023

La cyberattaque du 11 février contre l’hôpital d’Armentières (Nord) est emblématique de la vulnérabilité des établissements de santé et des priorités des pirates ; les fichiers dérobés concerneraient « autour de 300 000 patients », selon la direction de l'hôpital. C’est dans ce contexte que le CERT santé, service d’appui à la gestion des cybermenaces 24h/24 et 7 J/7, qui accompagne les établissements de santé et les centres de radiothérapie, a révélé au Quotidien un bilan consolidé des cyberattaques.

32 % ont dû mettre en place un fonctionnement dégradé

Quelque 301 établissements de santé et 121 établissements et services médico-sociaux ont déclaré au moins un incident en 2023. Au total, sur ces 422 établissements, 165 ont demandé un accompagnement au CERT l’an passé, chiffre identique à celui de 2022.

Parmi les structures impactées, 53 % des déclarants ont indiqué que l’incident n’a eu aucun impact sur leur organisation en 2023. Mais 32 % ont été contraints de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients. Enfin, toujours parmi ces établissements touchés par une attaque, 59 % reconnaissent un impact sur des données, qu’elles soient à caractère personnel, techniques, ou relatives au fonctionnement de la structure.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié fin février son panorama de la cybermenace 2023, confirmant que l’activité des hackers est vive : le nombre total d’attaques par rançongiciel est supérieur de 30 % à celui constaté en 2022. Et là encore, les établissements de santé ne sont pas épargnés : ils représentent 10 % des victimes d’attaques par rançongiciel. C’était la même proportion qu’un an plus tôt.

En nombre d’incidents, ces signalements d’attaques par rançongiciel progressent (109 en 2022 et 143 en 2023). La santé comme les collectivités territoriales restent des secteurs particulièrement vulnérables, confirme l’ANSSI, précisant que « les attaques informatiques à but lucratif peuvent avoir des impacts très importants pour la réputation et la continuité d’activité de ces structures ». Récemment, la Commission nationale de l’informatique et des libertés (Cnil) a rappelé à l’ordre 13 structures de soins, leur demandant de mettre en place une série de protections contre leurs carences en matière de sécurité informatique.

De son côté, le site cybermalveillance.gouv.fr, dans son rapport annuel 2023 présenté début mars. souligne que les attaques par rançongiciels ont atteint un niveau record depuis quatre ans. Elles sont en hausse de 36 % sur un an pour les collectivités dont font partie les établissements de santé. Pour tous les types de victimes – y compris les particuliers – le piratage de comptes en ligne progresse fortement en 2023 (+22 %). L’hameçonnage (ou phishing) reste la principale menace pour toutes les catégories de publics au niveau élevé d’intensité constaté en 2022.

Guide de bonnes pratiques

Dans son panorama 2023, l’ANSSI étaye son analyse d’exemples. Le 21 juin, le CHU de Rennes a détecté des actions malveillantes sur son système informatique (SI) et en a informé l’ANSSI, qui a aussitôt déployé des agents sur le site. L’investigation a mis en évidence une compromission en profondeur du SI ainsi qu’une exfiltration de données effectuée par un groupe cybercriminel. L’hôpital a mis en place des mesures d’endiguement comme la coupure des accès à Internet, qui ont été rouverts progressivement. Selon l’ANSSI, « l’ensemble des activités médicales de l’hôpital ont été préservées ». Mais ce type d’incident nécessite « un fort engagement et de coûteux travaux de reconstruction et de sécurisation à long terme ». « La réactivité des équipes a permis d’éviter des conséquences plus lourdes, l’attaque ayant été détectée dans sa phase initiale », précise le rapport.

L’Agence propose enfin des guides et bonnes pratiques pour sécuriser l’organisation des établissements sanitaires et réduire les risques. Les établissements de soins ont jusqu’à 2027 « pour consacrer au moins 2 % de leur budget au numérique, dont 10 % sur la cybersécurité et les infrastructures, avec la mise en place d’un forfait numérique dans la tarification ». Tous doivent avoir prévu un exercice de « crise cyber » annuel ou bisannuel. Ces objectifs s’inscrivent dans le cadre du programme « Cyber accélération et résilience des établissements (Care) » qui a débuté mi-2023 et qui s’étendra sur cinq ans.