Les incidents (déclarations) de cybersécurité dans les établissements de santé ont baissé en 2022 versus 2021 de 20 %, soit 592 incidents déclarés en 2022 (dont 49 % d'actes malveillants) versus 733 incidents en 2021, selon le CERT santé. La raison ? Aucun hébergeur de solutions métiers n'a été impacté. « La hausse significative en 2021 était due à trois événements au moins qui concernaient des hébergeurs importants de solutions de dossier patient ou de solutions métier d'acteurs de la santé touchés », analyse Emmanuel Sohier, CERT Santé. Mais cette baisse est contrebalancée par un nombre de déclarants important en hausse de 50 %. Rappelons que les établissements ont commencé à déclarer en 2017. Quant aux attaques par rançongiciels qui sont les plus impactantes pour les établissements, elles sont aussi en diminution de 49 % (46 % selon l'Anssi). Par contre les dégâts sont toujours aussi conséquents. En témoignent les attaques ayant eu lieu fin 2022 pour le CH de Versailles et fin du mois d'août 2022 pour le CHSF sud-francilien. « Suite à la reprise forte des attaques par rançongiciels à la fin de l'année 2022, ces établissements ont été victimes d'un chiffrement massif de leur système d'information qu'il a fallu ensuite reconstruire », commente Emmanuel Sohier. Quelles sont les failles recensées ? Il s'agit de mails frauduleux, mais aussi des exploitations de vulnérabilités connues mais pas corrigées, sur des systèmes d'accès à distance (VPN) avec des mots de passe faibles par exemple. Quelles conséquences pour les établissements ? D'abord il y a une prise de conscience sur les menaces, avec le fait que n'importe qui peut être touché par une attaque. Ensuite, « le CERT Santé a été beaucoup plus sollicité sur des signaux faibles de comportements malveillants au sein des SI des hôpitaux. Ce qui nous a permis d'intervenir pour neutraliser des attaques en cours ». Enfin, le ministère de la Santé réalise des actions massives importantes pour aider les établissements à renforcer la sécurité de leur SI.
Audit en hausse de 25 %
Concernant le futur plan cyber de l'exécutif en préparation (avec des financements à la clef fortement revalorisés), qui sera publié avant juin, l'expert cite quelques points faisant partie des 43 mesures prioritaires en matière de cybersécurité : le renforcement de la sensibilisation des directions des hôpitaux sur les risques cyber, avec notamment l'aide à la gestion de crise cyber, les audits permettant d’évaluer le niveau de sécurité des SI, et en particulier au renforcement de l’active directory (organe central de gestion des droits d'accès au sein de l'établissement). Cela concerne essentiellement les OSE. Sur ce sujet, 91 audits avaient été réalisés en 2021 et 112 en 2022 (+25 %) sur 348 établissements de santé tous secteurs confondus.
Augmenter l'attractivité de l'expertise
Une autre mesure attendue sera surtout l'allocation de fonds pérennes pour attirer des RSSI et experts techniques dans le but d'améliorer l'attractivité du métier. Cet argent devra servir aussi à couvrir des prestations spécialisées visant à renforcer le cloisonnement du SI dans ses différentes composantes. Le rapport complet de l’activité 2022 du CERT santé sera publié avant fin avril.
Violences sexistes et sexuelles : la Pr Agnès Buzyn se paye l’Ordre pour avoir « trop souvent protégé » les harceleurs
La santé publique doit être la deuxième priorité du Parlement européen, selon un sondage
Pas d’écrans avant 3 ans, pas de téléphone avant 11 ans… : la commission d’experts propose un guide fondé sur la science
Violences sexistes et sexuelles
Comment s’enracinent les schémas de domination à l’hôpital