Dans l’imaginaire des Français, les cyberattaques sont une crainte pour leur bien-être et 79 % d’entre eux sont inquiets des conséquences qu’elles pourraient entraîner. Cette peur d’un incident, qui pourrait paralyser notre pays, révèle également une certaine ignorance des vraies capacités des pirates informatiques. Un secteur clé et fréquemment soumis aux attaques sont les hôpitaux. Leur perturbation permet de paralyser la capacité des soignants d’un hôpital à fonctionner correctement.
Les Cyberattaques, une menace réelle
L’outil le plus utilisé par les pirates pour attaquer les hôpitaux, sont les ransomwares aussi nommés « rançongiciels » dans la langue de Molière. Il consiste en un logiciel malveillant qui prend en otage les données d’un système informatique. Il chiffre les fichiers de la victime, bloquant ainsi l’accès aux données, exigeant ensuite une rançon, généralement en crypto-monnaie comme le Bitcoin, en échange de la clé de déchiffrement.
Les hôpitaux sont une cible de choix pour les cybercriminels et ce type d’attaque est devenu un problème majeur ces dernières années avec des conséquences graves sur les soins aux patients et la sécurité des données de santé. Ainsi, en France, 30 hôpitaux ont été victimes d’attaques par ransomware en 2022 et 2023, ce qui représente 10% des incidents signalés à l’ANSSI pendant cette période. Ce qui n’est pas mieux chez nos voisins américains, ou ce chiffre monte à 67% dans une enquête publiée dans « The HIPAA Journal ».
Ces attaques impactent grandement les soins dispensés par les hôpitaux, notamment en provoquant la fermeture des urgences, la déprogrammation d’interventions ou le transfert de patients, souvent dans un état sensible. De plus, un chiffre qui fait peur, c’est celui de 113% qui représente la hausse du nombre d’AVC due aux retards de prise en charge par le personnel de santé à cause des cyberattaques.
Alors comment pouvons-nous protéger les hôpitaux ?
En droit, les données de santé sont encadrées par des réglementations strictes au niveau européen. On retrouve le fameux RGPD qui impose des règles spécifiques pour le traitement des données de santé et la directive NIS2 qui renforce les obligations de sécurité pour les établissements de santé.
Ces attaques recherchent plusieurs objectifs qui peuvent être cumulatifs, soit récupérer directement de l’argent par des crypto-monnaies ou revendre les données de santé sur le Dark Web. En effet, ces données ont une valeur considérable sur le marché noir pouvant atteindre plus de 40 fois celle des données de cartes de crédit volées.
Pour contrer ce vol, les hôpitaux ont décidé de réagir en utilisant des mesures de protection essentielles :
- Mettre en place un chiffrement robuste des données, en transit et au repos
- Implémenter un contrôle d’accès basé sur les rôles
- Utiliser l’authentification multifactorielle
- Former le personnel à la cyber hygiène et aux bonnes pratiques de sécurité
- Effectuer des mises à jour régulières des systèmes et logiciels
Pour conclure, l’hôpital est un secteur sensible en France qui subit des coupures budgétaires successives, chaque euro est vital pour son bon fonctionnement. Avec l’augmentation exponentielle des cyberattaques, il est essentiel pour chaque secteur d’assurer la sécurité des données de ses clients ou patients et de suivre ce qu’imposent les différentes directives européennes qui ont seulement pour but de protéger les citoyens européens.
Alors même que les hôpitaux se pensaient protégés contre cette nouvelle menace, ils sont devenus des cibles privilégiées et c’est maintenant la cour des comptes qui alerte, le 3 janvier 2025, sur le montant d’investissement nécessaire pour renforcer la cybersécurité des hôpitaux en France, il est fixé à 750 millions d’euros qui n’est encore aujourd’hui pas atteints.
Sources :
https://entreprendre.service-public.fr/actualites/A17303
https://www.ellisphere.com/cybersecurite-en-entreprise-bilan-2023-et-tendances-2024/
https://fr.statista.com/statistiques/668727/internet-attaques-cybersecurite-entreprises-francaises/
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2023
Juriste en droit de l’économie numérique, spécialisé en droit de l’Union européenne et en fiscalité des entreprises. J’ai des compétences en gestion de personnel, planification stratégique, gestion des ressources humaines et optimisation des processus logistiques. Grâce à mon expertise polyvalente, je navigue efficacement dans des environnements complexes pour fournir des solutions juridiques et opérationnelles adaptées aux besoins des organisations modernes.