Entre 2020 et 2021, ce type d’attaques a augmenté de 70 % en France avec plusieurs centaines de cas recensés et elles se sont poursuivies en 2022. Attaque par ransomware de l’hôpital d’Oloron-Sainte-Marie dans les Pyrénées-Atlantiques en mars 2021, intrusions réussies dans l’hôpital de Villefanche-sur-Saône, de celui de Dax la même année et de celui de Corbeil en aout 2022. Ce ne sont que quelques exemples médiatisés d’attaques dans les systèmes d’information hospitaliers (SIH) français. A la clé, des interventions chirurgicales déprogrammées, des services d’urgences très perturbés et des demandes de rançons qui vont de dizaines de milliers d’euros jusqu’à plusieurs millions d’euros. Il ne reste plus alors au personnel qu’à reprendre stylo et papier, le SI n’étant plus accessible.
Comme l’indique Samy Reguieg, Regional Manager France chez Acronis, les données de santé sont de grande valeur pour les cyberpirates « les données de santé protégées (PHI) que l’on confie aux prestataires de soins ont plus de valeur encore que les numéros de cartes bancaires. Pourquoi ? Parce que les dossiers médicaux regorgent d’informations sensibles et confidentielles, si bien que ces attaques sont hautement lucratives pour les cybercriminels qui vont facilement pouvoir monétiser les données à des fins de chantage, de fausse facturation, de fausses déclarations d’impôts pour obtenir des rabais, sans oublier l’obtention de médicaments sur ordonnance et d’équipements médicaux. »
Le modèle Zero Trust est difficilement applicable sur un système d’information hérité
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) prévient que la bascule complète vers un modèle Zero Trust est peu envisageable pour les entités comme les hôpitaux, dotées d’un patrimoine informatique hérité et en silo. Autre point critique, mentionné par Samy Reguieg, plus de la moitié (53 %) des SIH investissent moins de10 % de leur budget dans l’IT. Les équipes et les moyens étant trop réduits, la DSI fait souvent appel à des prestataires de sécurité extérieurs. D’autre part, il existe des problèmes de compatibilité et la pléthore de logiciels de versions ajoute à
la complexité du SI.
L’IoT appliqué au secteur médical, nommé IoMT est une autre porte d’entrée pour le piratage. Autour du lit d’un patient, une étude d’IBM ne dénombre pas moins de 10 à 15 appareils connectés. Ce sont autant de dispositifs susceptibles d’être compromis avec des risques pour la santé, la sécurité, voire dans les cas les plus critiques, pour la vie des malades.
L’architecture de sécurité en silo qui comprend plusieurs systèmes disparates et le recours aux prestataires extérieurs (MSP) opacifie et complexifie la surveillance du périmètre global du SI. De plus, la correction des vulnérabilités n’est pas toujours effectuée.
Le phishing est un autre vecteur privilégié par les pirates. Face à ce risque, la sensibilisation et la formation du personnel qui accède au SI de l’établissement hospitalier est indispensable. Globalement, les restrictions budgétaires dans le secteur pèsent sur l’efficacité des défenses contre le cyberisque, même si elles ne constituent qu’une partie des causes indirectes des failles de sécurité.