Le secteur de la santé est l’un des plus touchés en matière de cybersécurité, une affirmation qui se vérifie chaque année. Dans un bilan publié en début d’année, la Cour des Comptes a dévoilé que 10 % des victimes de cyberattaques en France en 2023 étaient des établissements de santé.

Ces attaques, visant des infrastructures essentielles et des données sensibles, perturbent la prise en charge des patients et mettent en péril la confidentialité des informations médicales. Face à ces menaces croissantes, il est urgent d’adopter des stratégies robustes pour protéger les systèmes d'information et garantir la sécurité des patients.

Les établissements de santé français, une cible privilégiée des cybercriminels

Les cybermenaces visant le secteur de la santé ne cessent ainsi de croître, mettant en péril des infrastructures essentielles et des données hautement sensibles. Selon un rapport récent, 78 % des établissements de santé interrogés considèrent les attaques par phishing comme la principale menace, suivies de près par les ransomwares. En outre, 62 % des responsables IT déclarent que leur organisation manque de ressources suffisantes pour faire face à ces cybermenaces croissantes. Par ailleurs, les établissements de santé génèrent un volume considérable de données. Un hôpital peut en produire jusqu’à
50 pétaoctets par an, ce qui représente une quantité énorme d’informations à conserver et à sécuriser. Ces données constituent une véritable aubaine pour les cybercriminels, qui, pour les dérober, recourent principalement au phishing.

Malgré ce constat, le secteur de la santé reste en retard par rapport à d’autres industries en termes de dépenses consacrées à la cybersécurité. D’après la même étude, seulement 39 % des établissements de santé allouent plus de 10 % de leur budget IT à la cybersécurité, contre 52 % dans d’autres secteurs. Pourtant, une augmentation de 15 % de ce budget pourrait significativement améliorer la résilience face aux cybermenaces.

Quelles méthodes pour y remédier ?

Face à cette situation, le programme CaRE, présenté par le gouvernement français en 2023, vise à renforcer la cybersécurité des établissements de santé. Deux initiatives majeures ont été lancées en mars 2024 :

Annuaires techniques et exposition sur internet
  • Dotés de 65 millions d’euros, ces audits visent à identifier et corriger les vulnérabilités liées à l’exposition sur internet et aux annuaires techniques (Active Directory).

  • Objectifs : atteindre un premier niveau de remédiation et préparer les établissements à des cyberattaques potentielles.
HospiConnect
  • Avec un budget de 1,4 million d’euros, ce projet pilote vise à sécuriser et simplifier l’accès des professionnels de santé aux services numériques sensibles.
Ces initiatives s’inscrivent dans un effort plus large pour moderniser les infrastructures numériques et adopter une approche « Zero Trust ». Ces efforts doivent être poursuivis afin de combiner des actions envers les collaborateurs mais aussi de processus
et de technologie :
  • Former les collaborateurs aux enjeux de cybersécurité ;

  • Mettre en place des processus permettant de protéger les données : par exemple un hôpital pourrait instaurer une politique de partage de données sensibles via un portail ou un service d’email cryptés ;

  • S’assurer de la sécurité des emails pour adopter des solutions capables d’identifier les usurpations d’identité des institutions de santé. L’apport de la technologie peut également s’illustrer par davantage de visibilité sur les appareils connectés, l’adoption d’une approche « Zero Trust », la modernisation des infrastructures numériques, l’automatisation des processus pour éviter les erreurs humaines…
Le critère essentiel reste néanmoins l’augmentation du budget alloué à la cybersécurité, un défi à relever pour les prochaines années.

Par Sébastien Weber, Vice-Président Europe du Sud chez Mimecast

ARTICLES SIMILAIRESPLUS DE L'AUTEUR