<

Les cyber-attaques à l’hôpital

Les hôpitaux sont devenus une cible de choix pour les cybercriminels en raison de la quantité de données sensibles stockées dans leurs systèmes d’information. Les cyber-attaques peuvent entraîner des conséquences dévastatrices, allant de l’interruption de la prestation de soins à la perte de données médicales critiques. Pour lutter contre ces attaques, il est crucial que les professionnels de santé soient conscients des risques et prennent des mesures proactives pour protéger leurs systèmes d’informations.  

 

UN RISQUE TECHNOLOGIQUE ET HUMAIN 

Particulièrement sensibles : les parcs informatiques des hôpitaux dont les systèmes et les logiciels peuvent être obsolètes et non mis à jour depuis trop de temps, cette faiblesse technique étant d’ailleurs souvent liée à l’amortissement du matériel médical. Ces systèmes trop anciens sont souvent vulnérables aux cyberattaques, car ils ne sont plus actualisés par les éditeurs de logiciels et ne reçoivent plus de correctifs de sécurité. 

Les failles humaines sont également une cause majeure de la vulnérabilité des établissements de santé face aux risques cyber. Principalement en cause : la méconnaissance des risques et des règles de sécurité informatique par les collaborateurs. La transformation numérique du secteur de la santé touche de nombreux utilisateurs au sein des établissements et  tous ne partagent pas les mêmes réflexes d’hygiène numérique ou de niveau tout simplement.  

Chaque collaborateur doit être informé des enjeux de sécurité et des règles à respecter dès son arrivée dans un établissement de santé. Les nouvelles tendances de travail comme celle du Bring Your Own Device (BYOD), c’est-à-dire le recours à son propre équipement personnel sur son lieu de travail, sont à surveiller particulièrement car susceptibles d’introduire des éléments d’insécurité  

Les hôpitaux sont de plus en plus visés par les cybercriminels compte tenu de la sensibilité des données de santé et de leur caractère monayables. Les ransomwares sont  par exemple une forme courante de cyber-attaque.  Dans cette configuration, les criminels empêchent une organisation  d’accéder à ses données puis réclament une rançon pour débloquer la situation, sans garantie de surcroît… !

Autre cas de figure :  

La 5G. Si celle-ci offre des avantages en termes de vitesse d’exécution et de connectivité pour les hôpitaux, elle augmente néanmoins également les risques liés au numérique. De même que les objets connectés, tels que les équipements médicaux, de plus en plus intégrés dans les systèmes d’informations des hôpitaux, démultiplie la surface d’attaque et les tentatives d’intrusion.  

La robotique (robots médicaux, chirurgie assistée par ordinateur, télésurveillance des patients.) est un point d’entrée potentiel dans les réseaux informatiques, donc une source de fragilisation et un point de vigilance. Les hôpitaux doivent savoir évaluer les risques et définir une feuille de route globale et des protocoles d’action pour protéger les données de santé et parer les attaques. 

Les professionnels de santé doivent être formés à la cybersécurité pour déceler les signes d’une campagne d’hameçonnage ou d’une tentative de fraude, afin de pouvoir réagir en conséquence. La lutte contre la cybercriminalité est un effort quotidien qui nécessite de suivre un parcours de formation et d’amélioration continue. 

Les médiatisations récentes des nombreux incidents de cybersécurité en milieu hospitalier mettent en exergue l’importance qu’il faut accorder à  la protection des données de santé et l’attractivité par les cybercriminels pour ce secteur.  Les cyberattaques peuvent entraîner des conséquences dévastatrices pour la prestation de soins de santé et la sécurité des patients. La formation des professionnels de santé est une réponse à ces ces attaques mais aussi la capacité à évaluer les risques au sein des hôpitaux mais aussi celle des prestataires avec lesquels ils sous-traitent. L’idée étant de minimiser les risques et de se tenir prêts s’ils surgissent..  

 

QUELLES MESURES DE PREVENTION ? 

 

Premier réflexe : la mise en place d’un audit et une analyse de risques. Cette étape permet de mieux comprendre les systèmes et les actifs les plus sensibles, puis de définir une politique de sécurité adaptée. Cette cartographie identifie entre autres les risques d’obsolescence et les points critiques. 

Dans un second temps, la vigilance s’exercera sur les fonctionnalités : 

 

 

 

Dans un troisième temps, les établissements de santé doivent :  

Il est important de mutualiser les ressources en raison des difficultés de recrutement pour ces postes, notamment en raison de la pénurie de profils et de financements insuffisants. 

 

L‘Agence Numérique en Santé (ANS) 

L‘État a créé l’Agence Numérique de la Santé (ANS) en 2019. Cette agence a pour mission de soutenir la transformation numérique du système de santé en France. 

L’ANS travaille en collaboration avec les différents acteurs du système de santé (professionnels de santé, établissements de santé, patients, etc.) pour développer des solutions numériques innovantes et sécurisées, telles que les dossiers médicaux partagés, les téléconsultations, les applications de suivi de santé, etc. 

L’ANS aide également les professionnels de la santé à sécuriser leur système d’information, en particulier en élaborant une politique générale de sécurité des systèmes d’information de santé (PGSSI-S). Cette politique est élaborée en collaboration avec tous les acteurs concernés et vise à établir un cadre pour la sécurisation des systèmes d’information de santé. 

La PGSSI-S est un corpus de documents qui définit les exigences de sécurité incontournables pour tout système d’information de santé, tout en respectant les droits des patients. Elle vise à établir des contraintes opérationnelles et économiques cohérentes pour l’ensemble des acteurs du secteur, afin de renforcer la confiance et l’adhésion des professionnels, des patients et du grand public. 

https://esante.gouv.fr/produits-services/pgssi-s  

 

Comme mentionné dans le guide d’hygiène informatique de l’Agence nationale de systèmes de sécurité et d’information (ANSSI https://www.ssi.gouv.fr/)), il est essentiel de reconnaître que chaque utilisateur est un maillon important dans la chaîne des systèmes d’information. Par conséquent, dès son arrivée dans un établissement de santé, il est primordial de l’informer des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information.  

Des actions de sensibilisation et de formation sont à mettre en place de manière régulière et adaptée aux profils ciblés. Ces actions peuvent prendre différentes formes, telles que des mails, des affichages, des réunions, un espace intranet dédié, etc.  

Les sujets abordés doivent au minimum inclure les objectifs et les enjeux liés à la sécurité des systèmes d’information, les informations considérées comme sensibles, les réglementations et obligations légales, ainsi que les règles et consignes de sécurité régissant l’activité quotidienne.  

Cela comprend notamment le respect de la politique de sécurité, la non-connexion d’équipements personnels au réseau de l’entité, la non-divulgation de mots de passe à un tiers, la non-réutilisation de mots de passe professionnels dans la sphère privée et inversement, ainsi que le signalement d’événements suspects.  

Pour renforcer ces mesures, il est recommandé d’élaborer et de faire signer une charte des moyens informatiques précisant les règles et consignes à respecter par les utilisateurs. 

 

Glossaire des cybermenaces 

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing  

 

Les professionnels de santé libéraux ne peuvent plus se passer de l’informatique dans l’exercice de leur activité. Cela les expose à des incidents de sécurité qui peuvent entraîner des conséquences graves sur leur activité et la protection des données de santé de leurs patients.  

Pour les accompagner dans cette démarche, l’ANS a mis à leur disposition un guide de bonnes pratiques. Ce guide regroupe les règles d’hygiène informatique de base à appliquer de manière stricte et régulière pour se prémunir contre la majorité des attaques informatiques.  

Dans ce guide de bonnes pratiques de l’ANS, on retrouve une checklist des mesures d’hygiène informatique à mettre en œuvre tels que : 

https://esante.gouv.fr/sites/default/files/media_entity/documents/PGSSI_S-Guide_Orga-Memento_PS_Exercice_Liberal-V2.0.pdf  

Enfin, en complément de son guide de bonnes pratiques, l’ANS met à disposition des professionnels de santé libéraux des fiches et des mémentos qui leur permettent d’adopter les bons réflexes en cas d’incident de sécurité informatique. Ces outils pratiques visent à aider les professionnels à se prémunir contre les cyberattaques et à limiter les impacts de celles-ci sur leur activité.  

Les fiches proposées par l’ANS contiennent des informations claires et précises sur les mesures à prendre pour assurer la sécurité des données de santé des patients, ainsi que des conseils sur les règles d’échange et de partage des données de santé à caractère personnel. En utilisant ces outils, les professionnels de santé libéraux peuvent mieux se protéger contre les risques liés à l’utilisation des outils informatiques et assurer la confidentialité et l’intégrité des données de leurs patients. 

https://esante.gouv.fr/actualites/lans-publie-un-memento-de-securite-informatique-pour-les-professionnels-de-sante-en-exercice-liberal  

 

CYBERSÉCURITÉ : ENCORE BEAUCOUP DE NÉGLIGENCE ET DE DÉNI 

Certains professionnels de santé sous-estiment encore largement les risques liés à la cybersécurité et ne prennent pas les mesures nécessaires pour protéger les données des patients.  

Idem du côté des hôpitaux et prestataires de soins de santé avec d’insuffisantes et irrégulières mises à jour de leurs systèmes d’informations et des logiciels qu’ils utilisent. Sans compter sur la réticence des hôpitaux comme  des professionnels de santé à divulguer les incidents de cybersécurité, de peur que cela ne nuise à leur réputation. 

Le manque de transparence est également un sujet important car les patients peuvent ne pas être informés de manière adéquate des risques liés à la cybersécurité et des mesures prises pour protéger leurs données de santé. 

Il arrive que les professionnels de santé puissent ne pas être correctement formés à la cybersécurité, ce qui peut les rendre vulnérables aux attaques de cybercriminels. 

Afin de briser ces tabous, il est important de sensibiliser les professionnels de santé et les patients aux risques liés à la cybersécurité dans le domaine de la santé, afin de mieux protéger les données sensibles des patients et assurer la continuité des soins de santé.

 

Retrouvez également notre autre article sur la cybercriminalité au sein des hôpitaux avec l’interview de Baptiste Le Coz.

 

DÉCOUVREZ TOUTES LES OFFRES GPM