Cybersécurité en santé : des incidents largement sous-déclarés

Selon l’Agence des systèmes d'information partagés de santé (Asip Santé), 319 incidents de cybersécurité ont été déclarés en un an. Ce ne serait que 20 % des incidents réels !

En un an d'activité, la cellule ACSS (Accompagnement Cybersécurité des Structures de Santé) de l’Asip Santé a recueilli 319 déclarations d'incidents. Un chiffre qui ne reflète pas encore la réalité du terrain car toutes les structures de santé ne sont pas informées de cette obligation de déclaration ou hésitent encore à le faire « par honte d'avoir été pirat[ées], par négligence ou tout simplement par manque de temps », indique dans son bilan l’Asip Santé. Selon les estimations effectuées, ce chiffre correspond à 20 % des incidents auxquels les structures de santé sont réellement confrontées. Elle rappelle qu'il est pourtant important de déclarer son incident, "non seulement pour bénéficier d'un appui mais aussi pour permettre à la cellule ACSS d'alerter si nécessaire l'ensemble des acteurs du secteur sur l'état de la menace et de proposer des mesures de protection afin de limiter les impacts d'un incident à grande échelle".

La plupart des incidents vite résolus…mais quelques incidents notables, voire graves

Si 98 % des incidents ont pu être résolus rapidement, certains incidents notables ont fait l’objet d’un retour d’expérience anonymisé. Parmi ces incidents, une attaque par rançongiciel qui a contraint un centre de radiothérapie à arrêter son activité pendant deux jours et demi ; une intrusion suivie du déploiement de mineurs de crypto-monnaie qui a impacté la disponibilité des applications d’un CH pendant trois mois ; une attaque virale par un maliciel de type "wannacry" qui a impacté les activités cliniques, médico-techniques et techniques d'un CH, l'obligeant à délester des urgences vers une autre structure. Trois incidents dont l'origine n'était pas malveillante (bugs informatiques sur des logiciels de prescription ou interruption brutale de moyens de transmission de données) ont même entraîné des effets indésirables sur quelques patients (moins de dix).

Le message électronique malveillant reste la source principale d'incident, suivie de près par le logiciel malveillant-virus et le bug applicatif. « Le manque de vigilance ou la méconnaissance des techniques d'attaque permettent à des pirates de récupérer des identifiants de comptes de messagerie ou de déployer des rançongiciels au sein des systèmes d’information des structures de santé », indique l'Asip Santé. Ainsi, durant l'été, un grand nombre d'incidents a eu lieu. Les pirates ont exploité notamment la compromission de comptes de messageries de salariés, usurpant leur identité pour attaquer les structures. 47 % au total ont une origine malveillante. À la suite de ces incidents, 49 % des structures ont été contraintes de mettre en place un fonctionnement dégradé du système de prise en charge des patients, note l'Asip Santé.

Rappelons que la cellule ACSS de l’Asip Santé propose aux établissements de santé un accompagnement pour qu’elles améliorent leurs mesures de sécurité, avec une évaluation technique des plans de sécurité et rappel des bonnes pratiques d'administration et de développement. Pour 15 % des signalements, un accompagnement a été demandé à cette cellule. Généralement, la demande a lieu après un incident ayant un impact important sur la structure…

Pour en savoir plus, consulter le rapport Observatoire des signalements des incidents de sécurité des systèmes d’information pour le secteur santé

Source : Hospimedia