Votre navigateur ne supporte pas Javascript. Pour une meilleure navigation activez le javascript.
  • page facebook de reseau CHU
  • page Tweeter de reseau chu
  • abonnez-vous à nos flux RSS
Agrandir le texte Diminuer le texte

Cybersécurité : une hausse de 20% des incidents dans les établissements de santé!

Réseau CHU - vendredi 07 août 2020. 1543 vu(s)

300 établissements ont déclaré 392 incidents en 2019, soit une augmentation de 20% par rapport à 2018, alerte le dernier rapport de l'Agence numérique en Santé. 55 structures ont déclaré plus de 2 incidents. Sept d’entre elles ont signalé plus de quatre incidents...

Sachant que le nombre total de déclarations reste encore faible au regard du nombre de structures concernées  (plus de 3000), il est probable qu’au moins la moitié d'entre elles a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année.

 

 

Forte augmentation des attaques par "rançongiciels"

En 2019, le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%). On constate une croissance significative des attaques par rançongiciels (+40%) des structures de santé. Ces logiciels malveillants (appelés aussi ransomware) prennent en otage les données, chiffrent et bloquent les fichiers contenus dans les ordinateurs et demandent une rançon en échange d'une clé permettant de les déchiffrer. Certaines structures de petite taille, souvent dépendantes d’un prestataire ne mettant pas en œuvre les bonnes pratiques de cloisonnement des réseaux et de gestion des sauvegardes, ont perdu une grande partie de leurs données à la suite de ce type d'attaque.
Ces attaques, ont aussi visé de façon plus marquante des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité de certains services. Le ministère des solidarités et de la santé (HFDS/FSSI) a ainsi été amené à intervenir à plusieurs reprises pour coordonner les actions opérationnelles et de communication avec l’ANSSI, le CORRUSS et les ARS.

Ces attaques ont souvent exploité le manque de vigilance des personnels par rapport aux messages malveillants (phishing) et l’exposition sur Internet de services d’accès à distance à des systèmes insuffisamment sécurisés. L’absence de mesures de cloisonnement fort entre les différents domaines métier du SI a aussi facilité la
propagation des attaques au sein du SI.

La majorité des signalements est déclarée par les établissements de santé (85% en 2019)

Diminution des incidents d'origine non malveillante

 

La part des incidents d’origine non malveillante est en légère diminution en 2019 (57%). Ces incidents sont la conséquence de pannes d’opérateurs télécom à l’échelle nationale (en avril et en juin) mais aussi de problèmes locaux (interruptions de service non programmées, dégradations physiques de l’infrastructure). Ces pannes ont affecté l’accès à des services hébergés (dossiers patient informatisés, plateforme de radiologie, résultats de laboratoires, etc…) mais aussi l’accès aux services de téléphonie (service téléphonique de la structure pouvant impacter le SAMU). Les structures disposent souvent de modes dégradés de fonctionnement concernant l’accès aux données via Internet mais plus rarement en ce qui concerne la téléphonie (à l’exception de la régulation des appels pour les services
d’urgence), ce qui peut impacter fortement la coordination des soins.

Pour la moitié des incidents signalés en 2019, tout ou partie des données présentes sur le SI
de la structure n’étaient plus accessibles

Le ministère de la Santé en soutien du traitement des incidents et de la prévention

Dans une majorité des cas, les prestataires (opérateurs, éditeurs, hébergeurs) ont apporté une réponse aux incidents dans des délais raisonnables. Les structures ont tout de même été contraintes à mettre en place un fonctionnement dégradé de tout ou partie de leurs activités.
Le ministère des Solidarités et de la Santé a mis en place depuis le 1er octobre 2017 un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information des structures de santé. Au-delà de l’obligation de déclaration, le ministère propose un véritable service aux structures de santé, à la fois dans le cadre du traitement de leurs incidents, mais aussi en vue de renforcer les actions préventives pour en limiter les occurrences. L’enjeu principal est
de soutenir et d’accompagner la démarche eSanté, par une démarche de sécurité forte et visible, de nature à apporter la confiance nécessaire aux patients / usagers et aux acteurs de santé.

"En 2020, depuis le déclenchement de la crise de la Covid-19, les systèmes d’information jouent un rôle essentiel dans la gestion de l’épidémie. Le développement d’outils numériques spécifiques à disposition des citoyens et des professionnels de santé entraîne des exigences particulières en matière de cybersécurité. La mobilisation des acteurs de la sécurité numérique permet de faire face collectivement à cette situation. Il importe d’en tirer tous les enseignements, afin de renforcer la résilience de notre système de santé", soulignent en préambule du rapport Dominique Pon, responsable ministériel, et
Laura Létourneau, déléguée ministérielle, du Numérique en Santé.

Les régions les plus touchées sont Occitanie et Auvergne-Rhône-Alpes avec respectivement 57 et 49 signalements. Ces deux régions
représentent à elles seules plus de 28% du total des signalements.

cyberveille-sante.gouv.fr, un portail contributif
Le dispositif de prévention et d’alerte ministériel, s’articule autour du portail cyberveille-sante.gouv.fr, conçu pour informer sur les menaces numériques qui pèsent sur le secteur, donner aux acteurs les clés pour y faire face, et partager les pratiques au sein d’un espace sécurisé. Les établissements concernés sont invités à contribuer à la réflexion et à faire part de leurs réalisations et de leurs attentes, afin d’améliorer ensemble le niveau de sécurité numérique du monde de la santé.

 Pour en savoir plus : Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé/Rapport public 2019

Betty Mamane


Catégorie : A la une, CHU numérique, Ethique, Publication - Communication, Relations avec les tutelles


Les commentaires pour cet article :


Pas de commentaire

Ajouter un commentaire


L’afflux de spams et de messages publicitaires rend obligatoire l’insertion de filtres. Pour que cet espace continue à bien remplir sa fonction de passerelle entre les internautes et les institutions, nous vous invitons à remplir les cadres ci-dessous ainsi que le code qui figure dans l'image avant de nous transmettre votre commentaire. Merci de votre compréhension.



*



*

*



*


* - champ obligatoire

Voir les règles de l'espace réaction

newsletter la carte des CHU

Welcome to France University Hospitals

Se faire soigner dans un CHU de France

reseau-chu international

32 établissements de pointe
vous accueillent

picto reseau-chu international

Les rendez-vous santé

  • 2 octobre - 10 octobre : semaine nationale rein
  • 2 octobre : journée nationale contre les méningites
  • 2 octobre : journée internationale de la non-violence
  • 3 octobre - 17 octobre : autis-act ! 15 jous d'action pour combattre l' autisme
  • 4 octobre : journée nationale des aveugles et malvoyants
Voir toutes les dates ...
1ère mondiales médicales les chu en 2020 culture et sante La communication des CHU Article les plus lus publications de reseau-chu offre emploi dans le médicale soumettre un article

Mis à jour le :  01-10-2020