Les hôpitaux français face à de nouveaux défis de cybersécurité

""
23 décembre 2023
Santé
Cybersécurité

Dans l’ère de la transformation numérique, les données personnelles des patients sont encadrées par une réglementation spécifique, exigeant une stricte conformité de la part des hôpitaux. Les récentes cyberattaques ont accentué l'importance essentielle de la protection des données de santé, devenant ainsi l'un des principaux enjeux auxquels les établissements de santé en France sont confrontés, avec des défis inédits à relever.

Dans ce cas, comment protéger les données personnelles des patients des hôpitaux français face aux cyberattaques ?

Dans cet article, nous analyserons les enjeux majeurs des établissements de santé face aux cyberattaques, et explorerons les mesures préventives à leur disposition pour se protéger dans le monde numérique en constante évolution.

Les enjeux des hôpitaux français face aux cyberattaques

Les incidents de cybersécurité dans le domaine de la santé représentent une menace croissante pour la confidentialité des données des patients, la réalisation des soins médicaux mais aussi pour la sécurité des systèmes informatiques. Dernièrement, les établissements et entreprises de santé ont fait face à des cyberattaques de plus en plus récurrentes et de différents types : ransomwares, fuites de données personnelles et attaques DDoS (déni de service). Depuis le début de l’année 2023, on comptabilise 14 cyberattaques en France sur les établissements de santé (hôpitaux privés et publics, CHU et SDIS*).

Les enjeux associés à ces cyberattaques sont de plus en plus préoccupants en raison de la sensibilité des données de santé et de la dépendance croissante à la technologie dans le secteur de la santé. En s’appuyant sur les dernières cyberattaques, telles que celle du Centre Hospitalier Sud Francilien - Corbeil Essonne (CHSF), les risques associés étaient les suivants :

  • L’interruption des services de santé (un délestage vers d’autres hôpitaux, dans ce cas),
  • La compromission de la confidentialité des données de santé
  • Un impact sur la réputation du centre hospitalier

La conséquence immédiate de cette cyberattaque fut l'indisponibilité du système d'information qui joue un rôle central dans le processus d'admission des patients ainsi que de tous les logiciels métiers et des outils numériques tels que les ordinateurs et l'imagerie médicale. Plus tardivement, en conséquence de la fuite de données, les cybercriminels ont partagé un dossier de plus de 11 Go contenant notamment des données de santé des patients du CHSF (pathologies, consultations, examens médicaux…).

La mise en place de mesures préventives

Face à ce type de cyberattaque, les enjeux pour un établissement de santé sont multiples : garantir la sécurité des données des patients, maintenir la continuité des soins, renforcer la confiance des patients et assurer une forte résilience grâce à différentes mesures préventives. Les établissements de santé adoptent une approche proactive pour faire face aux menaces de cybersécurité. 

Parmi les mesures préventives clés, les hôpitaux peuvent mettre en place les protocoles suivants :

  • La formation du personnel (kit de sensibilisation, communication interne, formations en cybersécurité)
  • Une sécurisation des données renforcée (authentification forte, chiffrement des données, sauvegardes régulières)
  • Une sécurité du réseau informatique renforcée (pare-feu, antivirus, système de détection d’intrusion)

En parallèle, d’autres mesures sont également à prendre en considération comme :

  • Des audits de sécurité visant à analyser des logiciels de santé pour limiter le risque de fuite de données
  • Une coordination avec les autorités concernées (ANSSI, ARS, Ministère de la Santé, etc…)
  • Une résilience numérique (dispositif de sauvegarde, plan de continuité d’activité)

Des conséquences financières importantes et significatives

Ces dernières années, les hackers ont plutôt axé leurs cyberattaques sur les hôpitaux français que sur des institutions financières ou d’importantes entreprises (CAC40, par exemple). Selon le CERT Santé, on comptabilise 588 incidents de cyberattaques qui ont ciblé des établissements de santé sur 2022 : 50% d’origine malveillante dont 46% sur des tentatives d’hameçonnage et 40% sur des compromissions de comptes.

Ainsi, la cybersécurité est devenue un investissement essentiel pour nos établissements de santé du fait de leur exposition aux cyber-menaces actuelles. Ces dernières peuvent avoir des répercussions financières significatives et être dévastatrices. À titre d’illustration, on peut observer une perte de productivité liée à la prise en charge des patients : impossibilité d’accéder aux dossiers des patients, aux systèmes de facturation ainsi qu’à la gestion des rendez-vous. Cela impacte l’établissement de santé instantanément car celui-ci ne peut percevoir d’argent mais également ne peut transmettre les informations à la Sécurité Sociale qui rémunère les établissements de santé en fonction des activités dispensées.

Également, ceux-ci peuvent aussi faire face à des coûts liés à la récupération des données de santé :  une restauration des systèmes informatiques impactée, un recrutement d’experts en cybersécurité et des achats logiciels ou de matériels informatiques de sauvegarde. Ces coûts peuvent également pénaliser les établissements de santé de façon instantanée mais aussi sur leurs frais prévisionnels planifiés sur l’année.

Comme mentionné précédemment, ces cyberattaques ont un impact important sur les dépenses de ces établissements de santé. Nous pouvons par exemple nous appuyer sur la cyberattaque du centre hospitalier de Dax (8 au 9 février 2021) causé par le ransomware Ruyk. Celui-ci s’élevait à 2,3 millions d’euros et fut entièrement compensé par l'ARS Nouvelle-Aquitaine. Voici le détail du des dépenses occasionnées :

  • 174.000 € d’investissement dans du matériel pour reconstruire le réseau
  • 546.000 € pour les prestations cybersécurité et réinstallations
  • 9.000 € pour la sous-traitance biologique
  • 1,48 millions d’€ pour les coûts RH, renforts et heures supplémentaires
  • 143.000 € de pertes commerciales

Également, le CHU de Brest a évalué un investissement d’environ 2 millions d'euros pour garantir la sécurité totale de ses systèmes informatiques et la restauration complète de ses applications. Cet important projet devrait être finalisé d’ici juin à septembre 2024.

Au cours des dernières années, le secteur de la santé a été la cible de cybercriminels qui ont perturbé considérablement les activités des établissements de santé à travers des cyberattaques ciblées. Cette situation a incité les hôpitaux français à réévaluer de manière significative leurs priorités en matière de transformation numérique et à repenser leur approche face aux nouveaux défis. De plus, ils ont entrepris de redéfinir leur stratégie préventive pour faire face à la montée en puissance continue des cyberattaques.

Dans ce contexte, les hôpitaux français sont aujourd'hui confrontés à des enjeux cruciaux qui les poussent à réexaminer leur engagement envers la transformation numérique de leurs établissements. Ils sont également en train de revoir le champ d'application de leurs mesures préventives, cherchant à les adapter pour faire face à la menace grandissante des cyberattaques.

*SDIS : Service départemental d'incendie et de secours

Le sujet vous intéresse ? Nos experts vous répondent

""
Julien GRIMAULT
Partner - Directeur de l'Offre Cybersécurité
@juliengrimault

La cybersécurité est devenue incontournable dans le monde numérique. Les entreprises sont confrontées à des risques croissants liés aux cyberattaques et aux intrusions malveillantes. Chez mc2i, nous comprenons ces défis et nous sommes déterminés à aider nos clients à se protéger efficacement contre ces menaces.

Auteur Barbara CLERC-RENAUD
Barbara CLERC-RENAUD
Consultante confirmé