Comment les hôpitaux (de plus en plus ciblés ?) se protègent contre les cyberattaques

Si la récente cyberattaque de la Cerp n’est qu’un exemple parmi bien d’autres, elle met en lumière les vulnérabilités du secteur de la santé face aux menaces numériques. Lors de cette attaque, des hackers ont réussi à pénétrer les systèmes informatiques de la Cerp, compromettant des données sensibles et perturbant les services de santé (2).

Les cyberattaques sur les systèmes d’information des hôpitaux ont connu une tendance inquiétante ces dernières années. En 2023, malgré une légère baisse du nombre total d’incidents déclarés (581 signalements, soit une baisse de 2 % par rapport à 2022), la part des incidents d’origine malveillante est restée stable à 50 %. Cependant, les incidents majeurs et ayant un impact sur la prise en charge des patients ont diminué. Il est important de noter que les cyberattaques contre les hôpitaux ont globalement augmenté de 32 % dans le monde entier en 2024, avec une hausse particulièrement marquée en Europe. Les ransomwares et les vols de données continuent de poser des défis majeurs au secteur de la santé.

Les défis à relever

La cybersécurité dans le secteur de la santé présente des défis uniques. Les infrastructures informatiques des hôpitaux peuvent, pour certains d’entre eux, être obsolètes et mal préparées aux cybermenaces modernes. La grande quantité de données sensibles traitées ainsi que l’usage croissant des objets connectés augmentent les risques d’attaque. Une cyberattaque peut dans certains cas entraîner la divulgation d’informations médicales confidentielles, compromettant ainsi la vie privée des patients et pouvant entraîner des erreurs médicales graves. Les interruptions de service peuvent également retarder les soins, mettant ainsi en danger la santé des patients. Le centre hospitalier de Dax en a fait les frais le 10 février 2021 (3). Les conséquences du ransomware utilisé ont été désastreuses pour cet hôpital en termes d’opérations et ont perturbé son fonctionnement les semaines suivantes.

De plus en plus d’efforts sont consentis pour contrer ces cyberattaques dans les structures de soins. Le gouvernement a récemment renforcé ses actions pour diminuer leurs impacts. En 2021, une enveloppe de 45 millions d’euros (4) a été consacrée à la cybersécurité des établissements de santé pour les années 2021 et 2022. En décembre 2023, un budget de 350 millions d’euros à été voté par le Gouvernement pour aider les hôpitaux à faire face aux cyberattaques. De plus, dans le cadre de la stratégie nationale de cybersécurité, le gouvernement a annoncé un investissement massif de 2 milliards d’euros pour moderniser les systèmes d’information des établissements de santé et renforcer leur sécurité. Cette initiative fait partie du programme « Sécurité des réseaux informatiques des établissements de santé (5) » et vise à accompagner la transition numérique des hôpitaux tout en améliorant leur interopérabilité et leur convergence. Ces investissements montrent l’engagement du gouvernement pour protéger les données sensibles des patients et garantir la continuité des soins en cas de cyberattaque.
Pour pouvoir répondre efficacement aux cyberattaques, le secteur de la santé met en œuvre plusieurs stratégies telles que l’exercice de gestion de crise, le programme CaRE ou encore la sensibilisation des utilisateurs.

Exercices de gestion de crise
De nombreux établissements réalisent des exercices de gestion de crise pour se préparer aux cyberattaques et identifier les points faibles de leurs systèmes (6).
En novembre 2023, la clinique Iris a ainsi organisé un exercice de gestion de crise, en partenariat avec la société Advens et le GCS Sara (7), qui s’attachait à renforcer la préparation de l’établissement aux menaces numériques, en particulier les cyberattaques. Le scénario simulé impliquait une attaque par rançongiciel, permettant d’évaluer la capacité de réaction et la coordination de la clinique en cas d’incident.
Ces exercices sont devenus courants dans le secteur de la santé, avec plus de 500 établissements ayant déjà réalisé au moins un exercice de gestion de crise cyber (8). Ces initiatives sont soutenues par des programmes comme CaRE (Cybersécurité, accélération et résilience des établissements), dont l’objectif est d’améliorer la cybersécurité des établissements de santé (9).

Sensibilisation des utilisateurs et culture de la « cyberhygiène »
Promouvoir une culture de l’« hygiène numérique (10) » parmi les employés et les patients aide à réduire les risques d’intrusion et à renforcer la résilience face aux cyberattaques.
Certaines entreprises en France spécialisées dans l’accompagnement numérique proposent leurs services pour aider les hôpitaux à monter en maturité. Ces guichets uniques aident les entreprises et les administrations publiques à relever les défis numériques. C’est le cas du réseau Edih, cofinancé par la Commission européenne et les États membres de l’UE. Edih Bretagne a, par exemple, apporté son aide à l’hôpital de Rennes pour établir un état des lieux de ses vulnérabilités et élaborer un plan d’action adapté. Grâce à cette collaboration, l’hôpital a pu mettre en place des mesures de cybersécurité plus robustes, améliorant ainsi la protection de ses données sensibles et assurant la continuité des soins aux patients (11).

De nouvelles obligations avec la directive NIS 2
Pour pallier les différentes attaques et pour renforcer la sécurité des systèmes d’information, une nouvelle directive a été pensée par la Commission européenne. Cette directive, appelée NIS 2 (sécurité des réseaux et de l’information), est en cours de transposition et prévoit de nouvelles obligations auxquelles sera soumise une partie du secteur de la santé. Aucune date n’est encore arrêtée pour sa mise en place. Retrouvez plus d’informations ici.

(1)     https://www.francebleu.fr/infos/faits-divers-justice/le-grossiste-en-pharmacie-breton-cerp-victime-d-une-cyberattaque-6588278

(2)     https://www.letelegramme.fr/bretagne/cyberattaque-de-la-cerp-comment-le-secteur-de-la-sante-se-defend-face-aux-hackers-6687533.php

(3)     https://theconversation.com/la-lente-convalescence-des-hopitaux-victimes-de-cyberattaques-225372

(4)     https://www.ouest-france.fr/sante/hopital/lutte-contre-les-cyberattaques-contre-des-hopitaux-le-gouvernement-debloque-20-millions-d-euros-4f52839c-2552-11ed-a10d-82759cd4c77b

(5)     https://presse.economie.gouv.fr/698-securite-des-reseaux-informatiques-des-etablissements-de-sante-le-gouvernement-renforce-sa-strategie/ 

(6)     https://esante.gouv.fr/strategie-nationale/cybersecurite

(7)     https://clinique-iris-marcy-etoile.ramsaysante.fr/actualites/renforcement-de-la-cybersecurite-la-clinique-iris-retour-sur-lexercice-de-gestion-de-crise

(8)     https://esante.gouv.fr/espace-presse/plus-de-500-etablissements-de-sante-ont-desormais-realise-au-moins-un-premier-exercice-de-gestion-de-crise-cyber

(9)     https://incyber.org/article/un-exercice-de-gestion-de-crise-cyber-deja-mis-en-oeuvre-dans-plus-de-500-etablissements-de-sante/

(10)   https://presse.economie.gouv.fr/698-securite-des-reseaux-informatiques-des-etablissements-de-sante-le-gouvernement-renforce-sa-strategie/ 

(11)   https://edih-bretagne.eu/cybersecurite/