Le secteur de la santé est le 3^e le plus touché par les attaques de type ransomware en France, selon l’ANSSI. Au-delà de cette menace très importante qui plane au-dessus des établissements de santé, d’autres attaques restent relativement fréquentes et parfois lourdes de conséquences. Comment mieux se protéger des cyberattaques ? Quoi mettre en place pour limiter les impacts en cas d’incident ? Découvrez quelques conseils incontournables pour garantir votre cyber-résilience en toutes circonstances.

Pourquoi la santé fait-elle partie des secteurs les plus menacés par les cyberattaques ?

Des attaques nombreuses, et des conséquences souvent préoccupantes

L’Agence Nationale de Sécurité des Systèmes d’Information, ANSSI, comptabilise près de 1 200 déclarations d’incidents de cybersécurité auprès des établissements de santé en 2022 et 2023. En 2023, elle observe même une hausse de 10 % des attaques par ransomware (rançongiciel), faisant de cette menace la première qui place au-dessus des entités du secteur.

Si le nombre d’attaques ciblant nos établissements de santé constitue déjà un premier critère d’alerte, leurs conséquences viennent encore assombrir le tableau. En effet, toujours d’après l’ANSSI, près de 60 % des incidents de sécurité génèrent des impacts sur les données.

Quand on parle d’impact sur les données, on fait écho :

Aux informations patients à caractère personnel (dossier patient, résultats d’analyses) dans 42 % des cas ;
Aux informations à caractère personnel hors données patient (salariés de l’établissement, identifiants et mots de passe, données RH) dans 32 % des cas ;
Aux informations confidentielles ou stratégiques non personnelles (informations internes financières, comptables ou contractuelles) dans 14 % des cas ;
Aux informations techniques sensibles (mots de passe, clés cryptographiques, documents d’architecture et de configuration) dans 11 % des cas.

Les cyberattaques sont d’autant plus inquiétantes que, dans la majeure partie des cas, elles ciblent bel et bien des données de patients ou des données personnelles. En ce sens, elles menacent directement la qualité et la continuité des soins, mais aussi la sérénité des patients qui viennent se faire soigner dans l’établissement.

De plus, il ne faut pas négliger les impacts sur les données stratégiques ou techniques : quand elles sont volées, l’activité est une fois encore mise à mal… Avec, dans les cas les plus graves, la nécessité de travailler en mode dégradé pendant un certain temps.

Pourquoi les établissements de santé sont-ils si souvent ciblés ?

Les cyberattaquants cherchent logiquement les actions les plus simples et les plus fructueuses pour eux. Et c’est en partie la raison pour laquelle ils s’intéressent volontiers aux SI de santé.

En effet, ceux-ci comportent une quantité importante de données, et notamment de dossiers médicaux dans lesquels on va trouver de nombreuses informations personnelles et médicales. Celles-ci peuvent être exploitées de différentes manières, aussi bien en matière de revente que d’usurpation d’identité.

Les données présentes dans les SI de santé sont malheureusement très intéressantes pour les cyberattaquants. Pire encore, elles peuvent être relativement faciles à voler, parce qu’elles sont encore souvent hébergées dans des infrastructures vieillissantes.

Dans beaucoup d’établissements de santé, les mesures de sécurité sont trop peu nombreuses, et surtout trop mal adaptées aux menaces actuelles, sachant que les cyberattaquants améliorent leurs méthodes d’année en année – et ont même tendance à se « professionnaliser ».

De par leur nature et l’intensité de leur activité, ces établissements de santé s’appuient presque toujours sur d’immenses réseaux relativement complexes. Mais cette architecture ouvre en général de nombreuses portes aux cyberattaquants, surtout si elle n’est pas correctement construite et supervisée par des experts en cybersécurité.

Trop souvent, les établissements de santé exposent différentes ressources sur Internet. Ils s’appuient par exemple sur des portails facilement accessibles, et pas suffisamment sécurisés. De plus, on observe régulièrement dans ces structures des faiblesses assez importantes en matière de gestion des droits d’administration et de protection des sauvegardes.

Pictogramme d'un personnage tenu par une main blanc

Sigma, expert en hébergement de données de santé, vous accompagne dans le déploiement de votre stratégie cyber. Audit cyber, déploiement d’un PRA / PCA, externalisation de votre SOC ou encore mise en place d’outils de détection et de réponse aux incidents : notre approche à 360° vous garantit un accompagnement expert, complet et personnalisé.

Protéger mon SI de santé

Les répercussions d’une cyberattaque au sein d’un SI de santé

Des impacts directs sur les patients

La nature des répercussions d’une cyberattaque dans un SI de santé va dépendre de la typologie d’attaque et de la partie du SI concernée. Bien évidemment, ce que l’on craint en premier, c’est l’atteinte humaine.

La continuité des soins se trouve directement menacée en cas de cyberattaque dans un établissement de santé. Car dès lors qu’on cible des informations patients, on menace directement l’intégrité des données qui les concernent. Toute attaque de ce type peut empêcher les soignants de délivrer les bons traitements au bon moment, par exemple, en cas d’impossibilité d’accéder aux dossiers patients.

En parallèle, l’exposition de données personnelles et d’informations confidentielles constitue un problème grave, avec potentiellement des répercussions lourdes. En effet, à partir du moment où des informations concernant vos patients ont pu être récupérées par des cyberattaquants, ces patients peuvent rencontrer des difficultés, voire parfois engager des poursuites.

Des blocages partiels ou totaux au niveau des activités

Toute cyberattaque dans un établissement de santé peut générer des blocages partiels – ou totaux – de services. Par exemple, certaines fonctionnalités peuvent devenir inaccessibles comme la gestion des rendez-vous ou encore les plannings des interventions. Dans ce cas, on peut observer des impacts plus ou moins graves sur la gestion des services et les patients.

Parfois même, il peut devenir nécessaire d’aller jusqu’à interrompre ponctuellement les soins.

Des coûts importants pour réparer les dégâts

Une cyberattaque coûte de l’argent. S’il est absolument déconseillé de payer une rançon lorsqu’elle est demandée, d’autres coûts peuvent se matérialiser. En effet, la réparation des dommages subis peut coûter beaucoup d’argent, sans compter que le temps perdu représente lui aussi un manque à gagner au niveau de l’établissement.

Cyberattaque sur un établissement de santé : quelles sont les principales menaces ?

Le rançongiciel (ransomware)

C’est l’une des attaques les plus fréquentes dans les établissements de santé, répandue dans toutes les entreprises d’une manière générale. Ici, le pirate s’infiltre dans le système d’information. Par la suite, il conditionne le rétablissement des services qu’il a attaqués au paiement d’une rançon.

Attention : si vous êtes concerné par ce type d’attaque, ne payez pas la rançon. Vous risquez de voir votre attaquant surenchérir, et vous n’avez aucune garantie qu’il rétablisse vos services. Faites-vous accompagner par des experts en cybersécurité pour gérer cet épisode de la manière la plus efficace possible, en limitant autant que possible ses conséquences sur votre activité.

Sigma vous accompagne dans la prévention et dans la gestion de toutes les cyberattaques. Appuyez-vous sur notre expertise et sur celle de notre centre de cybersécurité présent 24/7/365 et basé en France, utilisant les meilleurs outils du marché.

Demander un devis de cybersécurité

Hameçonnage / phishing

Le hameçonnage (ou phishing en anglais) correspond à une attaque très fréquente, qui touche aussi bien les établissements de santé que les autres entreprises – et aussi les particuliers.

Cette cyberattaque commence généralement par un e-mail (ou un SMS) qui reproduit les codes d’un organisme connu (banque, service des impôts, etc.). Le plus souvent, ce message vous demande de mettre à jour votre profil, ou de régler une somme due. Il inclut un lien vers un site Internet qui reproduit lui aussi les codes de l’organisme en question.

L’objectif de cette attaque est d’obtenir des informations confidentielles : des accès (identifiants et mot de passe), mais aussi des coordonnées bancaires.

Une autre forme d’attaque proche, mais encore plus redoutable, tend à se développer : le spear phishing. Ici, le principe est le même que celui du phishing, mais l’attaquant utilise des informations personnelles dont il dispose déjà pour créer un message plus vrai que nature, et inciter la personne touchée à passer à l’action.

Très concrètement, alors même qu’un e-mail de phishing est un contenu généraliste (demande de renouvellement de mot de passe, par exemple), le spear phishing inclut un contenu personnalisé (un nom, un numéro de client, etc.). Les informations utilisées peuvent avoir été recueillies sur les réseaux sociaux, mais aussi via différentes sources publiques.

Le piratage de compte

Le piratage de compte peut faire suite à un hameçonnage : le cyberattaquant a récupéré des identifiants et les utilise pour se connecter. Mais il existe d’autres méthodes qui permettent aux cyberattaquants de récupérer l’accès à un compte. Par exemple, ces derniers utilisent fréquemment des robots capables de tester des milliers de mots de passe différents. Raison pour laquelle il est essentiel de privilégier l’usage d’un mot de passe aussi robuste que possible.

La fraude au président

Parmi les données qui intéressent le plus les cyberattaquants, on trouve tout naturellement les informations personnelles des dirigeants de l’entreprise. Leurs identités font partie des plus souvent volées, d’où la nécessité de mettre en place de vraies mesures pour protéger les données des dirigeants.

Les conséquences de ces fraudes au président peuvent être très lourdes : le plus souvent, elles servent à réaliser de faux ordres de virements, avec derrière des pertes financières importantes.

Le cheval de Troie

C’est une menace dont on a tous entendu parler un jour ou l’autre : les attaques par l’intermédiaire d’un cheval de Troie impactent encore de nombreuses entreprises, et peuvent aussi toucher les établissements de santé.

Dans ce cas, un utilisateur va installer un logiciel qui semble inoffensif sur son poste de travail, mais qui est en réalité malveillant. Celui-ci peut agir de différentes manières pour compromettre votre système d’information, en bloquant les antivirus déjà installés par exemple.

Les attaques DdoS (déni de service)

Les attaques DdoS, par déni de service, induisent un blocage de serveur qui va empêcher le fonctionnement d’un ou plusieurs service(s) dans l’établissement. En général, les cyberattaquants font saturer le serveur en le sollicitant de très nombreuses fois avec des robots.

Établissements de santé : quelles bonnes pratiques pour vous protéger des cybermenaces ?

Les bonnes pratiques qu’on va conseiller dans les établissements de santé sont les mêmes que celles recommandées dans n’importe quelle entreprise, pour la majeure partie d’entre elles. Mais pour qu’elles soient aussi efficaces que possible, ces bonnes pratiques méritent bien évidemment d’être adaptées à l’environnement d’un établissement de santé et à ses spécificités.

Maîtriser et anticiper tous les risques sur le SI

Bien maîtriser son SI, c’est se donner toutes les chances d’éviter les cyberattaques – ou de les gérer plus efficacement. Dans cette optique, plusieurs initiatives méritent d’être prises.

En premier lieu, l’audit des risques va identifier les principaux axes d’amélioration et aider à prioriser les actions à conduire pour renforcer la résilience de votre SI.

Par la suite, vous pouvez vous appuyer sur cet audit des risques pour réduire la surface d’attaques en désactivant certains comptes et/ou services et protocoles qui ne sont pas indispensables. Puis, pour tous les accès qui restent nécessaires, l’enjeu va être de les configurer et de les sécuriser de manière optimale.

À l’échelle du système d’information, on recommande d’une manière générale de respecter les bonnes pratiques de développement, afin d’éviter de s’exposer aux risques les plus courants.

Enfin, il convient aussi de superviser correctement l’aspect matériel de votre SI : pour éviter les cyberattaques, on maintient et on met à jour régulièrement tous les équipements (boîtiers VPN, fermes de virtualisation, etc.).

Afin de mener à bien cet audit de risques, l’idéal reste de faire appel à des experts de la cybersécurité qui vont pouvoir cartographier votre SI (architecture réseau, flux de sécurité, liste des applicatifs et des versions utilisées, etc.). Plus cette cartographie est précise, plus elle va permettre de réagir rapidement et d’être efficace en cas de compromission, en isolant toutes les parties qui doivent l’être par exemple.

Quels que soient vos besoins, les experts Sigma vous aiguillent dans la gestion et l’optimisation de votre stratégie cyber.

Découvrir nos accompagnements cyber

Gérer et sécuriser les sauvegardes

Les sauvegardes font partie intégrante de votre stratégie de cybersécurité. Elles constituent par exemple le socle de tout PRA/PCA (plan de reprise ou de continuité d’activité).

Première étape incontournable en matière de sauvegarde : identifier toutes les données critiques qui nécessitent une sauvegarde à la fois régulière et sécurisée, pour mettre en place toutes les procédures requises.

Ensuite, il convient de déployer une politique d’accès maîtrisée à ces sauvegardes. Idéalement, on privilégie un accès unique avec un compte administrateur qui n’est pas présent dans l’Active Directory, sachant qu’il est aussi possible de faire appliquer des restrictions par adresse IP.

Enfin, tous les outils utilisés pour faire des sauvegardes doivent naturellement être mis à jour en temps et en heure, pour éviter d’ajouter une vulnérabilité supplémentaire liée à une faille de sécurité.

Anticiper les incidents

La meilleure façon de gérer un incident de cybersécurité est d’y être préparé, et de savoir quoi faire concrètement. Pour cela, les établissements de santé (et toutes les autres entreprises) ne devraient pas hésiter à mettre en place des exercices de gestion de crise en conditions réelles. Leur objectif peut par exemple être d’apprendre à fonctionner en mode dégradé : administrer des traitements sans logiciel informatique, gérer un planning d’interventions même si le programme habituellement utilisé ne peut plus fonctionner, etc.

Au-delà de cette capacité à s’entraîner pour gérer une éventuelle crise, l’idéal reste de déployer un Plan de Reprise d’Activité ou un Plan de Continuité d’Activité (PRA / PCA), sans oublier de tester régulièrement tous les processus ainsi que les environnements de sauvegarde.

Adopter une gestion efficace des comptes et des accès

La gestion des comptes et des accès fait partie des bases incontournables de toute stratégie de cybersécurité. Car bien souvent, les cyberattaques s’appuient sur des mots de passe trop faibles ou une mauvaise gestion des droits des utilisateurs pour proliférer.

Parmi les bonnes pratiques incontournables, on conseille par exemple de choisir un mot de passe de minimum 12 caractères, avec des majuscules, des minuscules et des caractères spéciaux inclus. En général, le choix d’un mot de passe robuste qu’on conserve longtemps est préférable à une stratégie de changement de mot de passe tous les mois ou tous les trois mois.

Toujours pour mieux sécuriser les accès, il faut savoir que l’association entre un login et un mot de passe ne suffit pas de nos jours. Autant que possible, il faut déployer dans l’organisation des processus de double authentification (via un code reçu sur le smartphone ou via une clé, entre autres solutions).

Former et sensibiliser les équipes

Dans la grande majorité des cas, les cyberattaquants exploitent des failles humaines pour s’introduire dans le système d’information. C’est la raison pour laquelle la sensibilisation de tous les collaborateurs reste un enjeu incontournable de nos jours.

Par exemple, tout le monde doit être capable de reconnaître une tentative de phishing, mais aussi de choisir un mot de passe suffisamment robuste et d’abandonner tous les comportements à risques.

Au-delà de la sensibilisation qui reste incontournable, les entreprises peuvent aussi mettre en place des mesures d’obligation : ajout de contraintes pour le choix d’un nouveau mot de passe, interdiction d’utiliser des clés USB, etc.

Sécuriser les appareils connectés : certains appareils médicaux constituent des portes d’entrée supplémentaires

Toutes les entreprises peuvent être amenées à travailler avec des appareils connectés. Mais ceux-ci se développent encore plus vite dans le domaine de la santé, car ils offrent un certain nombre d’avantages aux soignants comme aux patients.

Sachant que les appareils de santé connectés peuvent en plus contenir des données personnelles et des données de santé, il faut plus que jamais les protéger. Pour cela, l’installation de pare-feux peut constituer une alternative intéressante, à condition de les mettre à jour régulièrement.

Déployer et analyser continuellement des journaux centralisés

Afin de superviser la cybersécurité de votre système d’information, déployez des journaux de logs qui vous permettent d’être alerté en cas d’événement anormal (tentative d’attaque de force brute, ou encore désactivation de l’antivirus entre autres).

L’usage de ces journaux permet non seulement d’identifier les menaces au plus tôt, mais aussi de réagir dans les meilleurs délais et de contourner les cyberattaques avant même qu’elles n’aient le temps de se concrétiser.

Réglementations et dispositifs d’aide : sur quoi les établissements de santé peuvent-ils s’appuyer ?

Le programme CaRE, un puissant levier

Déployé pour renforcer la cybersécurité dans les établissements de santé, le programme CaRE engage les directions d’établissements, les Présidents de Commissions Médicales d’Établissements et l’ensemble des professionnels de la santé dans une solide démarche de renforcement de la cybersécurité.

Ce programme s’articule autour de 4 axes majeurs :

Gouvernance et résilience : inciter les établissements à intégrer les enjeux de cybersécurité dans leur gouvernance, mais aussi renforcer durablement la résilience des structures de soins.
Ressources et mutualisation : conscient de la pénurie de talents et de ressources, le programme CaRE insiste sur l’importance de pérenniser les compétences en matière de cybersécurité, en attirant et en fidélisant les talents.
Sensibilisation : instaurer une vraie culture de la sécurité informatique dans les établissements. Déployer des formations qui abordent à la fois le cadre réglementaire en place et les bonnes pratiques à adopter.
Sécurité opérationnelle : identifier les domaines d’investissement prioritaires pour remédier aux faiblesses, déployer des technologies de détection avancées et améliorer la capacité de récupération suite à un incident.

Pour couvrir tous ces axes, le programme CaRE prévoit des investissements étalés de 2023 à 2027.

NIS2 : un cadre réglementaire pour améliorer la cybersécurité de tous les établissements

La réglementation NIS2 ne concerne pas que les établissements de santé, puisqu’elle s’applique en réalité à un certain nombre d’entités considérées comme « essentielles » ou « importantes » (banques, transport, administration publique, etc.).

Son objectif est simple : garantir un niveau de sécurité commun à tous ces établissements dans l’ensemble de l’Union Européenne. Les entités qui ne se conforment pas aux exigences de cette réglementation NIS2 risquent des sanctions : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) veille à son application.

Les établissements de santé, puisqu’ils font partie des cibles préférées des cyberattaquants, ont tout intérêt à déployer un maximum d’efforts pour mieux se protéger. Pour cela, ils peuvent s’appuyer sur des partenaires de qualité, tout en profitant aussi de dispositifs comme le programme CaRE… Le tout sans oublier de se conformer aux réglementations comme NIS2, qui ont justement été déployées dans l’optique de remédier aux vulnérabilités identifiées au sein des entités essentielles à notre société.

Sources : https://esante.gouv.fr/strategie-nationale/cybersecurite

https://esante.gouv.fr/sites/default/files/media_entity/documents/observatoire-incidents-cybersecurite-sante-2023.pdf