You are currently viewing La veille de la cybersécurité dans le domaine de la santé

Suite à l’évolution incontournable de la technologie, la cybersécurité s’avère être un domaine prometteur et révolutionnaire dans l’industrie de la santé. Les consultations médicales deviennent de plus en plus dématérialisées, ainsi que le traitement des données de santé, ce qui permet de remarquer l’intervention de ces technologies, y compris celle de l’intelligence artificielle, dans ce domaine. 

En France, les cyberattaques se multiplient. Une cyberattaque qui touche le CHU de Versailles en 2022, une attaque par rançongiciel qui touche le centre hospitalier de Saint-Renan en fin juin 2023 etc. : les cas se multiplient. 

En effet, pour assurer une sécurité de traitement des données de santé, qui s’avèrent être dans la grande majorité des données sensibles, les acteurs de la cybersécurité se mobilisent pour faire face à la multiplication des attaques informatiques dans le domaine de la santé. 

Suite à ce risque croissant, la veille de la cybersécurité et la gestion des attaques informatiques est très importante pour la protection des données des patients, mais aussi pour assurer la continuité des services médicaux. 

Cette mobilisation a deux objectifs : D’une part, la précaution pour mettre en œuvre des bonnes pratiques quotidiennes de la part des salariés mais aussi des développeurs. Et d’autre part, les gestes post-crise pour adopter des mesures limitant les dommages. 

Quels sont donc les mécanismes de cyberattaque et quelles mesures adopter pour leur faire face? 

Les mécanismes de cyberattaque les plus répandus dans le domaine médical 

Le plus souvent, le hacker tente de pénétrer dans le système de l’ordinateur du professionnel grâce au Phishing. En effet, grâce à un mail envoyé au professionnel, ce dernier peut faire confiance à l’apparence officielle du mail, ce qui le poussera à envoyer ses identifiants, ou à télécharger une pièce jointe permettant aux hacker d’accéder aux données. 

D’ailleurs, les ransomware sont aussi  des attaques fréquentes. En effet, suite au verrouillage du système, le professionnel de santé ne pourra plus exécuter les demandes du patient (prendre un rendez-vous, accéder au numéro de sécurité sociale par exemple). Suite à ce verrouillage, le hacker demande une rançon pour déverrouiller le système et collecte les informations des dossiers médicaux des patients. 

Parmi les attaques dans ce domaine, on peut citer aussi les attaques par déni de service (DDoS) visant les systèmes hospitaliers.

Les conséquences de la cyberattaque

Suite à une cyberattaque, le hacker collecte les données des patients et leurs dossiers médicaux. C’est le cas par exemple du piratage de médecins de Marseille,  du Var ou de Bordeaux en 2021. Ces données médicales sensibles peuvent être revendues sur le Dark Web et des perturbations sur les services médicaux peuvent être présentes. 

Des exercices de gestion de risque – un objectif en cours de réalisation

Selon l’Agence du Numérique en Santé, “Un objectif de 50% des établissements ayant fait leur premier exercice a été fixé par le ministère de la santé et de la prévention aux régions pour décembre 2023, avec des financements d’amorçage dédiés et des kits de scénarios d’exercices. Ces exercices sont devenus obligatoires pour les établissements et sont réalisés de façon régulière.”

Le gouvernement a donc traduit une réelle volonté de mise en œuvre des mesures préventives.

En effet, ces exercices de crise sont effectués au niveau régional, mais aussi au niveau national. Une attention spécifique est donnée aux exercices exercés “dans les régions qui accueilleront les jeux olympiques de 2024, permettant de tester la capacité de réponse des acteurs régionaux à des cyberattaques de grande ampleur.”, toujours selon l’Agence du Numérique en Santé. 

Plusieurs organismes sont mobilisés pour réaliser cet objectif

En effet, la feuille de route du numérique en Santé 2023-2027 a mis en œuvre le programme Cyber accélération et résilience des établissements (CARE). Ce programme permet la mobilisation de tous les organismes travaillant dans le domaine de la e-santé : 

Selon le site de l’Agence du Numérique en Santé, ce programme est “piloté par la Délégation au numérique en santé (DNS) avec l’Agence du Numérique en Santé (ANS), en lien étroit avec le haut fonctionnaire de défense et de sécurité (HFDS) des ministères sociaux, la direction générale de l’offre de soins (DGOS), l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les agences régionales de santé (ARS) et leurs Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS).”

Une sensibilisation accrue des professionnels et la garantie d’une sécurité opérationnelle

La mise en œuvre d’une cybersécurité dans le domaine de l’industrie médicale ne peut s’effectuer que si les professionnels de santé sont suffisamment sensibilisés à ce risque. Pour cette raison, des formations annuelles en cybersécurité sont organisées au sein des institutions médicales grâce à un plan de sensibilisation annuel. En effet, les données médicales sont très sensibles et doivent être protégées avec des mesures de sécurité appropriées. Ces mesures de sécurité peuvent être par exemple la mise en place de pare-feu (firewalls) ou le chiffrement de données.  

Aussi, le personnel de santé doit être sensibilisé aux bonnes pratiques aux postes de travail et grâce à des formations dans le domaine de la cybersécurité. 

De même, au niveau opérationnel et technique, des audits réguliers et des mises à jour doivent être organisés pour les domaines prioritaires, et des mots de passe difficiles doivent être choisis pour les logiciels.  

C’est ainsi que pour détecter les menaces informatiques, des systèmes peuvent être mis en place. Ces systèmes comprennent les mises à jour régulières, un plan de réponse aux incidents en cas d’attaque informatique (un plan de reprise et de continuité d’activité), ainsi que des sauvegardes régulières pour éviter les pertes de données. Aussi, les institutions médicales doivent assurer une collaboration active avec des experts en sécurité informatique et avec des juristes et des DPO pour assurer la conformité aux réglementations en matière de cybersécurité, y compris le RGPD.

En résumé,

Assurer une veille de cybersécurité dans les institutions médicales est primordial aujourd’hui avec la multiplication des attaques informatiques. Plusieurs mesures permettent donc d’assurer la sécurité des systèmes d’information au sein de ces institutions. En effet, le cryptage des données, les pare-feu, la sensibilisation du personnels et la collaboration avec des experts informatiques et juridiques sont les mesures principales à mettre en place dans ce secteur critique pour assurer la protection des données sensibles des patients. 

Sources : 

https://esante.gouv.fr/espace-presse/plus-de-500-etablissements-de-sante-ont-desormais-realise-au-moins-un-premier-exercice-de-gestion-de-crise-cyber

https://www.cyberveille-sante.gouv.fr/dossier-thematique/exercice-de-crise-cyber

https://www.stoik.io/cyberattaque/professions-medicales

https://www.cyberveille-sante.gouv.fr/dossier-thematique/exercice-de-crise-cyber

https://www.usine-digitale.fr/article/le-centre-hospitalier-de-saint-renantouche-par-une-attaque-par-rancongiciel.N2150342

https://www.francetvinfo.fr/replay-radio/ils-ont-fait-l-actu/ils-ont-fait-l-actu-pascal-bellon-le-directeur-du-chu-de-versailles-victime-d-une-cyberattaque_5902823.html