Aux Etats-Unis comme en France, les incidents de sécurité dans les hôpitaux publics et privés, complémentaires santé, sont légion. Près de répondants sur dix à une étude de Proofpoint déclarent que les pertes et vol de données accroissent le taux de mortalité des patients ainsi que des retards dans
les procédures de soins.


Armentières, Chambray-les-Tours, Ajaccio, Corbeil, Brest, ou encore Versailles, ce ne sont que quelques exemples de cyberattaques réussies contre les organismes de santé. En mai dernier, l'Agence du numérique en santé (ANS) a relevé 581 incidents informatiques dans les hôpitaux et établissements médico-sociaux en 2023, dont plus de la moitié concerne des cyberattaques. Près de 60 incidents ont entraîné une fuite de données sensibles. Les complémentaires santé ne sont pas en reste avec le vol massif début 2024 de 33 millions de données personnelles sensibles de tiers payant détenues par deux gestionnaires de mutuelles, Viamedis et Almerys.

L’enquête du Ponemon Insitute, commandée par Proofpoint, porte sur 648 professionnels IT et de la sécurité dans des organismes de santé aux États-Unis. Les résultats n’incitent pas à l’optimisme avec 92 % des organismes de santé américains interrogés qui ont subi au moins une cyberattaque au cours des 12 derniers mois, soit une augmentation par rapport aux 88 % de 2023. Les impacts sont loin d’être négligeables avec 69 % des membres du panel de l’étude ayant signalé un impact sur les soins aux patients
à la suite d’une attaque.

Les principaux vecteurs de menaces sont les applications mobiles, la compromission des comptes cloud, les équipements médicaux non sécurisés, le Byod (utilisation de terminaux personnels au travail). Et cette liste n’est pas exhaustive.

Les quatre types d’attaques les plus courantes dans les établissements de santé

Parmi les organisations victimes, les incidents les plus courants sont la compromission des comptes cloud, les ransomwares, la chaîne d'approvisionnement (supply chain) et la compromission de la messagerie électronique (BEC).

L’examen à la loupe des indicateurs de l’étude montre que la sécurité des hôpitaux est très perfectible, pour rester dans les euphémismes. Ainsi, plus de la moitié (56 %) des répondants signalent un impact direct sur les patients en raison de retards dans les traitements et les examens médicaux. D’autre part, 53 % ont constaté une augmentation des complications liées aux procédures médicales retardées. Enfin, 28 % de la cohorte du panel déclare que les taux de mortalité des patients ont augmenté, soit une augmentation de cinq points de pourcentage par rapport à l'année dernière. Un chiffre significatif.

L'arrêt des traitements en raison de l’indisponibilité des équipements et réseau, est la cause financière la plus pénalisante avec une augmentation de 13 % en 2024 par rapport au coût moyen de 1,3 million de dollars en 2023.

Petite lueur d’espoir, en 2024, le temps d'inactivité et la perte de productivité des utilisateurs en raison des temps d'arrêt ou des retards de performance du système ont diminué, passant de 1,1 million de dollars en 2023 à 995.484 dollars en 2024. De même, l’étude signale une réduction du temps nécessaire pour s'assurer que l'impact sur les soins aux patients suite à l’attaque est bien corrigé.