300 établissements ont déclaré 392 incidents en 2019, soit une augmentation de 20% par rapport à 2018, alerte le dernier rapport de l’Agence numérique en Santé. 55 structures ont déclaré plus de 2 incidents. Sept d’entre elles ont signalé plus de quatre incidents…
Sachant que le nombre total de déclarations reste encore faible au regard du nombre de structures concernées (plus de 3000), il est probable qu’au moins la moitié d’entre elles a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année.
Forte augmentation des attaques par "rançongiciels"
En 2019, le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%). On constate une croissance significative des attaques par rançongiciels (+40%) des structures de santé. Ces logiciels malveillants (appelés aussi ransomware) prennent en otage les données, chiffrent et bloquent les fichiers contenus dans les ordinateurs et demandent une rançon en échange d’une clé permettant de les déchiffrer. Certaines structures de petite taille, souvent dépendantes d’un prestataire ne mettant pas en œuvre les bonnes pratiques de cloisonnement des réseaux et de gestion des sauvegardes, ont perdu une grande partie de leurs données à la suite de ce type d’attaque.
Ces attaques, ont aussi visé de façon plus marquante des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité de certains services. Le ministère des solidarités et de la santé (HFDS/FSSI) a ainsi été amené à intervenir à plusieurs reprises pour coordonner les actions opérationnelles et de communication avec l’ANSSI, le CORRUSS et les ARS.
Ces attaques ont souvent exploité le manque de vigilance des personnels par rapport aux messages malveillants (phishing) et l’exposition sur Internet de services d’accès à distance à des systèmes insuffisamment sécurisés. L’absence de mesures de cloisonnement fort entre les différents domaines métier du SI a aussi facilité la
propagation des attaques au sein du SI.
La majorité des signalements est déclarée par les établissements de santé (85% en 2019)
Diminution des incidents d’origine non malveillante
La part des incidents d’origine non malveillante est en légère diminution en 2019 (57%). Ces incidents sont la conséquence de pannes d’opérateurs télécom à l’échelle nationale (en avril et en juin) mais aussi de problèmes locaux (interruptions de service non programmées, dégradations physiques de l’infrastructure). Ces pannes ont affecté l’accès à des services hébergés (dossiers patient informatisés, plateforme de radiologie, résultats de laboratoires, etc…) mais aussi l’accès aux services de téléphonie (service téléphonique de la structure pouvant impacter le SAMU). Les structures disposent souvent de modes dégradés de fonctionnement concernant l’accès aux données via Internet mais plus rarement en ce qui concerne la téléphonie (à l’exception de la régulation des appels pour les services
d’urgence), ce qui peut impacter fortement la coordination des soins.
Pour la moitié des incidents signalés en 2019, tout ou partie des données présentes sur le SI
de la structure n’étaient plus accessibles
Le ministère de la Santé en soutien du traitement des incidents et de la prévention
Dans une majorité des cas, les prestataires (opérateurs, éditeurs, hébergeurs) ont apporté une réponse aux incidents dans des délais raisonnables. Les structures ont tout de même été contraintes à mettre en place un fonctionnement dégradé de tout ou partie de leurs activités.
Le ministère des Solidarités et de la Santé a mis en place depuis le 1er octobre 2017 un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information des structures de santé. Au-delà de l’obligation de déclaration, le ministère propose un véritable service aux structures de santé, à la fois dans le cadre du traitement de leurs incidents, mais aussi en vue de renforcer les actions préventives pour en limiter les occurrences. L’enjeu principal est
de soutenir et d’accompagner la démarche eSanté, par une démarche de sécurité forte et visible, de nature à apporter la confiance nécessaire aux patients / usagers et aux acteurs de santé.
"En 2020, depuis le déclenchement de la crise de la Covid-19, les systèmes d’information jouent un rôle essentiel dans la gestion de l’épidémie. Le développement d’outils numériques spécifiques à disposition des citoyens et des professionnels de santé entraîne des exigences particulières en matière de cybersécurité. La mobilisation des acteurs de la sécurité numérique permet de faire face collectivement à cette situation. Il importe d’en tirer tous les enseignements, afin de renforcer la résilience de notre système de santé", soulignent en préambule du rapport Dominique Pon, responsable ministériel, et
Laura Létourneau, déléguée ministérielle, du Numérique en Santé.
Les régions les plus touchées sont Occitanie et Auvergne-Rhône-Alpes avec respectivement 57 et 49 signalements. Ces deux régions
représentent à elles seules plus de 28% du total des signalements.
Le dispositif de prévention et d’alerte ministériel, s’articule autour du portail cyberveille-sante.gouv.fr, conçu pour informer sur les menaces numériques qui pèsent sur le secteur, donner aux acteurs les clés pour y faire face, et partager les pratiques au sein d’un espace sécurisé. Les établissements concernés sont invités à contribuer à la réflexion et à faire part de leurs réalisations et de leurs attentes, afin d’améliorer ensemble le niveau de sécurité numérique du monde de la santé.
Pour en savoir plus : Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé/Rapport public 2019
Betty Mamane
