Différents rapports, dont celui de CyberMDX, constatent que les cyberattaques coûtent beaucoup plus cher aux établissements de santé de taille moyenne qu'aux grandes organisations. Le coût moyen d'un arrêt d'exploitation dépasse 440 000 dollars pour les petites organisations contre 130 000 dollars pour les grandes.
Environ la moitié des établissements de santé - 42 % des établissements de taille moyenne et 61 % des établissements de grande taille - ont subi un arrêt non planifié de dispositifs ou d'équipements médicaux en raison d'une attaque externe au cours des six derniers mois.
Malgré cela, la plupart des personnes interrogées pensent qu'elles disposent d'un personnel suffisant pour assurer la cybersécurité de l'entreprise. 61 % des cabinets de taille moyenne et 69 % des grandes organisations de soins de santé affirment que le personnel est au moins adéquat, selon une enquête publiée par la société de protection des infrastructures médicales CyberMDX.
Dans l'ensemble, le rapport souligne que, si les attaques se sont multipliées, les entreprises - en particulier les hôpitaux de taille moyenne - ne se sont pas adaptées, déclare Azi Cohen, PDG de CyberMDX.
La santé, cible n° 1
Selon cette enquête, un établissement de santé de taille moyenne dépense 3,5 millions de dollars tandis qu’un autre de plus grande taille dispose d’un budget informatique d’environ 3,1 millions de dollars.
Environ 300 000 dollars, soit entre 8 et 11 % de ce montant, sont consacrés à la sécurisation des dispositifs médicaux et des équipements connectés. En moyenne, environ 617 000 dollars sont consacrés à la conformité en matière de cybersécurité, ce que la moitié d'entre eux jugent insuffisant pour leur mission, indique le rapport.
Ces budgets sont-ils adaptés à la menace ? « Malgré les promesses faites par certains cybercriminels de ne pas attaquer les hôpitaux ou les entreprises du secteur de la santé pendant la pandémie, Microsoft a constaté que ce secteur reste la cible numéro un des ransomwares », a déclaré Kemba Walden, avocat général adjoint de la Digital Crimes Unit (DCU) de Microsoft.
Une mauvaise gestion des vulnérabilités
Or, les organismes de santé tardent à améliorer leurs défenses, selon l'enquête CyberMDX. L’optimisation laisse à désirer.
Environ deux tiers des organisations de taille moyenne et 57 % des grandes organisations ont un mélange de processus manuels, ou un processus entièrement manuel, pour inventorier les appareils sur le réseau.
Enfin, ce rapport note que les vulnérabilités restent un problème important. Plus des trois quarts des organisations n'ont pas réussi à mettre en place des correctifs complets contre les vulnérabilités utilisées par NotPetya, tandis qu'environ la moitié ne sont pas protégées contre la vulnérabilité Apache Struts utilisée contre Equifax en 2017 ni contre la vulnérabilité Blue Keep dans les serveurs Microsoft Remote Desktop Protocol (RDP) divulguée en 2019.