19 avril 2022, le GHT Coeur Grand-Est apprend qu'ils sont victimes d'une cyber-attaque. Pour éviter toute propagation, 9 centres hospitaliers, 5500 professionnels de santé se retrouvent coupés de tout service. Dix mois plus tard, La situation n'est pas toujours pas revenue à la normale.
La cybersécurité est un enjeu majeur pour les hôpitaux. Avec l'augmentation de l'utilisation de la technologie dans les soins médicaux, les données médicales sensibles des patients sont de plus en plus vulnérables aux cyberattaques.
En effet, selon CERT Santé, l’année 2022 a été marquée par 588 incidents de cyberattaque visant des établissements de santé, 50% étaient d'origine malveillante, 46% correspondaient à des tentatives d'hameçonnage, 40% des compromissions de comptes.
Les rançongiciels bloquent l'accès aux systèmes informatiques vitaux des hôpitaux, entraînant des retards importants dans les soins médicaux et mettant en danger la vie des patients. De plus, les attaques d’hameçonnage peuvent conduire à la fuite de données sensibles, telles que les dossiers médicaux des patients ou des informations financières.
Conscient de cette menace, la FSSI (France Sûreté Sécurité Incendie) a mis sur la table un budget de 10 M€ en 2021 au profit des ARS (Agences régionales de santé) pour la réalisation d’un plan de sécurisation des établissements d'importance vitale.
Afin de protéger les systèmes informatiques des hôpitaux, il est important d'utiliser des logiciels de sécurité à jour et de former les employés aux bonnes pratiques de cybersécurité. Ceci commence par des pratiques basiques incluant la vérification des e-mails suspects, faire des sauvegardes de données régulièrement sur des serveurs externes et l'utilisation de techniques de chiffrement pour protéger les données sensibles et minimiser les risques en cas d'attaque.
Il est important aussi de mettre en place des politiques d’audit pour pouvoir cartographier les risques d’exposition aux cyberattaques, et les recommandations à appliquer.
Dans le cadre du plan de renforcement mené par la Délégation ministérielle du Numérique en Santé (DNS), plusieurs actions vont être mises en place à savoir :
Dans la cadre de la vague 2 du Ségur numérique, des exigences de cybersécurité vont être imposées sur les différentes entreprises et hôpitaux, pour qu’ils deviennent plus matures dans la gestion des crises de cyberattaque.
CERT Santé annonce que d’ici mars 2023, une task force cybersécurité sera créée afin de bâtir un plan pour protéger les établissements de santé,
Et très souvent ce budget est principalement consommé par des frais de fonctionnement et peu d'investissements sur des nouvelles technologies, type SaaS. Jérôme Goeminne, directeur du GHT coeur Grand Est, qui a subit l'attaque revient dans une vidéo publiée par l'ANS sur les étapes de la cyberattaque, comment le GHT a répondu, ce que cela a impliqué pour les professionnels de santé mais aussi pour les patients, et quelle est la situation, 10 mois après. Selon lui l'hôpital devrait dépenser autour de 3% de son budget en informatique... Mais il ne faudrait pas que ce soit dépenser plus sur la même architecture.
Nous sommes convaincus qu'à l'instar des transitions numériques qui ont eu lieu dans d'autres secteurs, la santé va devoir utiliser des solutions dans le cloud. Nous reviendrons sur ce point dans un prochain billet SaaS vs on premise.
En conclusion, la sécurité informatique est un enjeu crucial pour les hôpitaux en France qui sont de plus en plus exposés aux risques de cyberattaques. L’ANSSI s’est emparé du sujet en publiant des guides et référentiels de bonnes pratiques pour sensibiliser les hôpitaux et les aider à protéger leurs systèmes informatiques et les données sensibles des patients.