Observatoire 2024 des incidents de sécurité des SI : des signaux encourageants

L’Agence du numérique en santé (ANS) a publié le 3 juin l’édition 2024 de l’Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social du Cert Santé. Chaque année, cet observatoire partage l’évolution de la menace cyber et la qualité de la réponse collective.

Pour 2024, le rapport montre une vigilance renforcée et une capacité accrue de réponse collective. Cette évolution vient notamment du plus grand nombre de signalements d’incidents et, dans le même temps, de la diminution de leur gravité. Pour l’ANS, cette tendance dénote la maturité et la réactivité des établissements.

Une mobilisation accrue et des menaces mieux contenues 
749 incidents ont été déclarés en 2024. Une hausse de 29 % par rapport à 2023 qui témoigne que les établissements, relevant notamment du secteur médico-social, se sont approprié des dispositifs de remontée d’incidents et confirme la prise de conscience collective des enjeux de cybersécurité. De plus, les établissements semblent mieux préparés grâce aux exercices de crise, aux alertes ciblées, à l’accompagnement du Cert Santé et au programme Care. Le nombre d’incidents majeurs est en effet en net recul, preuve du renforcement de la résilience des structures de santé.

Par exemple, les établissements détectent plus efficacement les attaques par rançongiciel, qui restent la menace la plus impactante. Sur 40 incidents signalés, seuls quatre ont causé une compromission. La coordination semble aussi plus fluide entre les équipes internes avec la mise en place des dispositifs de sécurité et l’appui du Cert Santé.

Une dynamique à pérenniser dans un cadre à consolider
L’ANS se réjouit également de la transition de l’écosystème vers une maturité cyber renforcée tout en soulignant les défis qui subsistent : protection des sauvegardes, gestion des accès distants, cartographie des SI. Le cadre structurel et la gouvernance semblent se structurer grâce à la mobilisation des Agences régionales de santé (ARS) et des Groupements régionaux d’appui au développement de l’e-santé (Grades) ainsi qu’au déploiement des Centres régionaux de ressources cyber (CRRC), financés par le programme Care.

Le programme Care, justement, a permis la généralisation des audits et des actions de remédiation associées. La sécurisation des surfaces exposées sur Internet des établissements et de leur annuaire d’entreprise a réduit les opportunités d’attaque. La prochaine étape consistera à multiplier les plans de continuité et de reprise d’activité, à renforcer les infrastructures de sauvegarde et à mettre en place l’authentification forte.

Un autre axe structurant réside dans les évolutions réglementaires à venir, comme la transposition, cette année, de la directive européenne NIS 2. Les établissements seront incités à intégrer la cybersécurité dans leur gouvernance.

Quelques manques récurrents et persistants
Tout en se réjouissant de la tendance, l’Observatoire met en exergue des manques récurrents :

• Une carence en cartographie des systèmes d’information ;
• Des faiblesses en matière de gestion des droits d’administration sur les différentes briques constituantes des systèmes d’information ;
• La protection insuffisante des sauvegardes ;
• L’insuffisance de la sécurisation et de la surveillance des accès distants aux systèmes d’information ;
• L’absence de documentation des processus de continuité d’activité permettant aux métiers de délivrer les soins en conditions dégradées ;
• L’inadaptation des moyens d’authentification aux enjeux de sécurité des systèmes d’information auxquels ils permettent d’accéder ;
• La mauvaise identification du responsable du maintien en conditions de sécurité de certains équipements ;
• Le manque de compétences informatiques internes dans les établissements de petite taille.