Selon un rapport de CyberMDX et de Philips, le secteur des soins de santé est l’un des plus ciblés en matière de cybersécurité. Les hôpitaux représenteraient un tiers de toutes les violations de données importantes.
S’appuyant sur les réponses de 130 DSI, techniciens et ingénieurs biomédicaux, affichant tous une quinzaine d’années d’expérience dans leurs domaines respectifs, cette étude donne des résultats qui ne sont plus une surprise.
Fragilisés par la pandémie, les établissements de santé sont dans le viseur des cybercriminels. Les cyberattaques reposant sur des ransomwares qui ont visé ces derniers mois des hôpitaux français (et des cliniques privées comme celle de Chambray-les-Tours en janvier 2022) sont une preuve supplémentaire.
Au cours des six mois précédant le rapport, 48 % des hôpitaux interrogés ont connu une fermeture liée à un piratage. Les établissements de taille moyenne sont les plus touchés financièrement.
Plus précisément, les grands hôpitaux ont indiqué qu’ils consacraient en moyenne 6,2 heures par arrêt de fonctionnement, pour un coût de 21 500 dollars par heure. En revanche, les interruptions de service des hôpitaux de taille moyenne duraient plus de 10 heures et coûtaient presque le double, soit 45 700 dollars par heure, selon le rapport.
Le rapport indique des vulnérabilités communes, notamment BlueKeep, WannaCry et NotPetya. Or, les hôpitaux ont déclaré ne pas avoir de protection contre les vulnérabilités Bluekeep (48 %), WannaCry (64 %) ou NotPetya (75 %) respectivement.
Malgré ces chiffres élevés, cette étude constate que seuls 11 % des établissements considèrent la cybersécurité comme un domaine prioritaire nécessitant des investissements.
Or, ces établissements traitent de nombreuses données sensibles qui sont parfois accessibles à tous leurs employés…
Ce rapport attribue les lacunes en matière de cybersécurité à un manque d’automatisation. Plus de 60 % des responsables interrogés s’appuyaient sur des méthodes manuelles pour l’inventaire de leurs appareils et actifs. Plus précisément, 65 % des équipes informatiques hospitalières ont déclaré utiliser des méthodes manuelles pour les calculs d’inventaire.
Il convient de noter que 7 % des personnes interrogées dans le rapport ont déclaré utiliser un mode entièrement manuel pour l’inventaire. En outre, des pourcentages de ceux des hôpitaux de grande et moyenne taille, 15 % et 17 % respectivement, ont déclaré ne pas avoir de moyen de déterminer le nombre d’appareils inactifs et actifs dans leurs réseaux.
Il convient de noter que 7 % des professionnels interrogés ont déclaré utiliser un mode entièrement manuel pour l’inventaire. Respectivement 15 et 17 % des hôpitaux de grande et de moyenne taille ont déclaré ne pas avoir de moyen de déterminer le nombre d’appareils inactifs et actifs dans leurs réseaux.
Ce n’est pas seulement le manque de technologie qui rend les organismes de santé vulnérables. Le manque de personnel qualifié est également un problème : deux tiers des équipes informatiques ont déclaré disposer d’un personnel suffisant pour la cybersécurité.
Cependant, près de la moitié des équipes biomédicales ont déclaré avoir besoin de personnel supplémentaire. Pour compliquer les choses, le rapport fait état d’une pénurie de talents en cybersécurité de plus de 100 jours de retard pour pourvoir les postes.