Cyber-attaques en milieu hospitalier : un phénomène à prendre au sérieux

La sphère santé et médico-sociale n’est pas épargnée. Sur le deuxième trimestre 2016, près de 90% des attaques ransomware ont visé des établissements de sante dans le monde avec à la fois un impact direct sur la sécurité des soins et un impact économique (source : Ministre des affaires sociales et de la santé).

Le cyberattaque international du 12 mai 2017 a paralysé les systèmes d’information d’organismes dans une centaine de pays à travers le monde. Plusieurs organisations du service public de santé (NHS), dont des hôpitaux, ont été ciblés au Royaume Uni, entraînant l’annulation de rendez-vous et examens médicaux, la perturbation de communications téléphoniques et un blocage important à l’accès aux données.

L’instruction n^o SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’actions sur la sécurité des systèmes d’information (« Plan d’action SSI ») a été immédiatement applicable dans les établissements et services concernés.

Quels risques encourus ?

Le ransomware, rançongiciel ou logiciel de rançon, un logiciel malveillant qui prend en otage les données personnelles. Tous les postes informatiques peuvent se retrouver bloques sans notamment aucun accès au dossier patient. Le rançongiciel chiffre alors les données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

Les vols et la divulgation de données. Chaque établissement, autorité de traitement de données, a l’obligation de moyen de protéger ses données. En cas de divulgation, s’il est prouvé que tout n’a pas été mis en œuvre, il peut encourir une sanction pénale. En particulier, règlement général sur la protection des données (RGPD) qui constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel et qui sera applicable à partir du 25 Mai 2018, menace d’amendes administratives pouvant aller jusqu'à 20 000 000 € !

Quelles solutions ?

Orange Cyberdefense, filiale spécialisée sécurité du groupe Orange, et Orange Healthcare s’associent pour offrir aux établissements de santé des solutions les plus complètes en matière de la cyber sécurité, leur permettant de se mettre en conformité avec les exigences de mise en conformité du SIH porté par la règlementation en vigueur :

Le conseil et l’audit : une analyse des risques avant mise en place d’une démarche de sécurité. Voici quelques exemples d’actions concrètes pouvant être déployées :

• L’Accompagnement du Responsable Sécurité des Systèmes d’Informations (RSSI), véritable animateur de la sécurité qui, quand il est nommé, n’a pas toujours le temps de se consacrer a sa mission.
• Operations de sensibilisation des salaries : un clic malencontreux peut entrainer une attaque du système d’où toute une éducation des équipes pour réduire ce risque.

La gestion de la menace : détecter et qualifier les incidents pour les remonter à l’autorité de sante compétente (Agence Régionale de Sante, ARS) car rares sont les établissements qui ont les capacités techniques et organisationnelles pour le faire.

Les infrastructures de confiance : Équipements qui permettent d’atteindre les objectifs de sécurité (anti virus, firewall…). Sans faire de catastrophisme, il faut être bien conscient que ces types d’incidents ont été multiplies par 3 depuis 2016. 80% des organisations de santé ont subi une attaque réussi depuis 2 ans. Une réelle prise de conscience est indispensable face aux risques encourus qu’ils soient professionnels et économiques. 

Orange Healthcare, Enovacom, et Orange Cyberdefense seront présents au 6ème Congrès National de la Sécurité des SI de Santé qui aura lieu au Mans du 03 au 05 avril 2018. #CNSSIS2018