SantExpo - Les établissements de santé en quête de résilience face à une menace cyber qui s'amplifie
A l'occasion du salon SantExpo, l'Agence du numérique en santé et le Cert Santé ont détaillé le bilan 2023 des incidents cyber ayant touché des établissements de santé et médicaux-sociaux. Si le nombre d'attaques tend à se stabiliser, l'année 2024 est celle de tous les dangers. Les structures de santé situées sur des territoires accueillant des épreuves des JO ont fait l'objet d'un accompagnement spécifique.
En 2023 les établissements de santé ont dû faire face à 581 incidents, dont la moitié d'origine malveillante, un chiffre en légère baisse par rapport à l'an dernier. Une baisse qui intervient alors que les établissements de santé ont désormais le réflexe de déclarer les incidents. Comme pour les collectivités, les attaques les plus fréquentes restent l'hameçonnage et les rançongiciels, ces dernières faisant un bond de 30% par rapport à l'an dernier. Par ailleurs 35% des attaques ont eu un impact sur la prise en charge des patients, un chiffre "en diminution sensible" note l'Agence du numérique en santé. Un tiers des incidents ont donné lieu à une demande d'accompagnement. Dans le secteur médicosocial, elle constate cependant une augmentation des incidents – dans les Ehpad notamment – dont l'exposition aux risques va de pair avec leur numérisation croissante.
Trop grande exposition sur internet
Pour le Cert Santé, la stabilisation des chiffres tient aux effets "d'une politique de prévention qui commence à porter ses fruits". 529 audits de sécurité ont ainsi été menés en 2023, parmi lesquels 432 centres hospitaliers bénéficiaires, 77 établissements sanitaires et 18 établissements médico-sociaux. Il en ressort qu'une part significative des attaques est imputable à la trop grande exposition des établissements sur internet et à un manque de sécurisation des portails d'accès.
En 2024, le Cert Santé ne s'attend pas à une réduction des cyberattaques, celles-ci étant nourries par l'automatisation de l'exploitation des failles logicielles et la "démocratisation" des rançongiciels. Le Cert-Santé s'attend aussi à leur recrudescence pendant les Jeux olympiques et paralympiques, les cyberattaques étant très sensibles à l'actualité. Pour aider à y faire face le ministère de la Santé a lancé en décembre 2023 le programme Care. Acronyme de "cybersécurité accélération résilience des établissements", cette initiative est dotée de 250 millions d'euros jusqu’en 2025, sur un objectif d’investissement total de 750 millions d’euros d’ici 2027.
Faire face aux cyberattaques
Le programme Care est bâti sur quatre piliers :
- gouvernance et résilience,
- ressources et mutualisation,
- sensibilisation,
- sécurité opérationnelle.
Les établissements ont ainsi été incités à intégrer la cybersécurité dans leurs instances décisionnelles, à se doter d'un plan de reprise d'activité et à autoévaluer leur stratégie cyber. Côté RH, les salaires des ingénieurs de la fonction publique hospitalière ont été revalorisés. Les établissements sont par ailleurs incités à la mutualisation et à garantir un budget cyber suffisant, sujets sur lesquels les cadres dirigeants ont été sensibilisés. Par ailleurs, 2.000 établissements ont réalisé un exercice de simulation d'une cyberattaque, notamment dans les territoires devant accueillir des épreuves des JO.
Enfin, le plan comprend toute une liste de mesures opérationnelles pour aider les établissements à sécuriser les postes de travail, les annuaires et les accès externes. L'Agence du numérique en santé a notamment lancé en mars 2023 un appel à candidature pour tester HospiConnect, un système d'authentification visant à limiter les risques d'usurpation de l'identité numérique des professionnels pour l'accès aux services sensibles.