Cyberattaques en santé : quel impact sur la sécurité des données ?
Ces deux dernières années ont été marquées par un nombre croissant d’attaques numériques, appelées « cyberattaques » ainsi que des incidents affectant les serveurs, les sites et principalement les données. Ces attaques ont récemment ciblé des établissements de santé, des laboratoires privés de biologie médicale. Elles ont entrainé une fuite importante de données médicales sensibles de patients, qui circulent désormais sur internet.
Une augmentation des cyberattaques en santé
Selon un rapport récent de l’Agence nationale de la sécurité des systèmes d’information (Anssi), les établissements de santé représentent une des cibles privilégiées des attaques par rançongiciel (ou ransomware).
Cette tendance s’est accrue en 2020, notamment en cette période de pandémie liée au Covid-19 où les hôpitaux sont particulièrement vulnérables.
En effet, les soignants sont sous tension avec un afflux continu de patients (ceux souffrant du Covid-19 s’ajoutant au flux habituel). Ils le sont aussi avec un sous-effectif régulièrement dénoncé par les professionnels. D’où une vigilance sans doute moindre vis-à-vis de la cybersécurité, en lien avec le stress et la fatigue.
La cyberattaque en mars dernier du centre hospitalier de Dax a paralysé la quasi-totalité des systèmes d’information. Cela a provoqué une mise en danger manifeste et évidente pour la prise en charge des patients.
L’impact sur la sécurité des soins et les finances des établissements de santé
Dans ce type d’attaque, les pirates (hackers) s’introduisent dans le système informatique. Ils chiffrent ensuite ses fichiers pour les rendre inopérants, exigeant d’éventuelles rançons (bitcoins) pour les débloquer.
Ces attaques peuvent avoir un impact direct sur la sécurité des soins, sur les finances de l’établissement et sur les frais :
- de reconstitution de données, voire pertes de données définitives par manque d’archivage électronique efficace
- de décontamination virale
- supplémentaires d’exploitation (personnels, utilisation d’équipements extérieurs, …) honoraires d’experts pour identifier l’origine et les circonstances d’un sinistre ; frais de recours.
De plus, beaucoup de :
- machines (scanner, IRM, …)
- services (prises de rendez-vous, fiches patients, …)
- protocoles (stérilisations, respirateurs, …)
dépendent directement de l’informatique.
Cyberattaques en santé : pourquoi les établissements et entreprises sont ciblés ?
Les établissements de santé et les entreprises du secteur médical sont des proies faciles. Leurs investissements en matière de sécurité informatique restent encore insuffisants pour les mettre hors d’atteinte. Par ailleurs, la valeur des données de santé dépasse largement celle des coordonnées bancaires et celles des numéros de sécurité sociale.
Ces données peuvent être revendues sur le marché noir par exemple ou à des organismes du secteur. Les données sur la recherche médicale aux laboratoires pharmaceutiques se revendent. De même pour les dossiers médicaux des patients à destination des compagnies d’assurance.
La CNIL rappelle qu’il appartient aux établissements de santé en général et aux laboratoires de biologie médicale en particulier :
de prendre les dispositions nécessaires pour assurer la sécurité des données enregistrées et empêcher qu’elles ne soient divulguées ou utilisées à des fins détournées surtout s’il s’agit d’information couvertes par le secret médical.
Un cadre législatif de plus en plus contraint
Des mesures réglementaires, françaises et européennes, obligent les laboratoires de biologie médicale à se saisir rapidement du sujet de la cybersécurité, avec l’obligation légale d’appliquer des règles strictes sécurisant les équipements du laboratoire afin de se prémunir de tels actes malveillants.
En l’absence d’instauration de mesures de protection ad hoc, le biologiste médical s’expose à des sanctions pénales fixées par le législateur en cas de plainte de patients dont les informations confidentielles auraient été dérobées. Il encourt une peine pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (article 226-17 Code pénal).
Quelle est la position de la Commission européenne face à cela ?
La cybersécurité est l’une des grandes priorités de la Commission européenne et une pierre angulaire de l’Europe numérique et connectée.
L’augmentation du nombre de cyberattaques pendant la crise du coronavirus a montré à quel point il est important de protéger :
- les hôpitaux
- les centres de recherche
- les autres infrastructures médicales
Une action résolue dans ce domaine est nécessaire pour faire en sorte que l’économie et la société de l’UE soient en mesure de faire face aux défis futurs.
Quelle est la stratégie l’Europe pour contrer les cyberattaques en santé ?
Une nouvelle stratégie propose d’intégrer la cybersécurité dans chacun des maillons de la chaîne d’approvisionnement. Elle propose aussi de rassembler davantage les activités et les ressources de l’UE dans les quatre communautés de cybersécurité (marché intérieur, services répressifs, diplomatie et défense).
Elle s’appuie sur la stratégie de l’UE intitulée «Façonner l’avenir numérique de l’Europe et sur la stratégie de l’UE pour l’union de la sécurité, et se fonde sur un certain nombre d’actes législatifs, de mesures et d’initiatives que l’UE a mis en œuvre pour renforcer les capacités de cybersécurité et garantir une Europe plus forte sur le plan de la cyber-résilience. Dans sa réponse à la crise du coronavirus, qui a entraîné une recrudescence des cyberattaques pendant le confinement, des investissements supplémentaires dans la cybersécurité sont assurés au titre du plan de relance pour l’Europe.
Une cyberstratégie à la française
En France, dans le cadre de la stratégie Cyber, le gouvernement annonce renforcer sa stratégie de cybersécurité. Cette stratégie est à destination des établissements sanitaires et médico-sociaux pour un montant d’au moins 350 millions d’euros.
En plus de l’accompagnement budgétaire, le ministre des Solidarités et de la santé mise sur le renforcement de :
- la formation et de l’information
- la sensibilisation des acteurs intervenants dans le champ de la santé en matière de sécurité des pratiques numériques
La formation comme solution ?
La sensibilisation à la cybersécurité sera intégrée dans tous les cursus de formation des acteurs en santé. Cela afin de conforter les pratiques d’hygiène numérique dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information. Enfin, des exigences en termes de sécurité informatique seront renforcées pour l’ensemble des établissements supports des 135 groupements hospitaliers territoriaux, qui seront intégrés à la liste des « opérateurs de service essentiels ».
L’ANSSI est chargée de contrôler le bon respect de ces règles dans cette stratégie. Les Agences régionales de santé (ARS) accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations.
Pour en savoir plus :
- Nouvelle stratégies de cybersécurité de l’UE
- Communiqué de presse « Sécurité des réseaux informatiques des établissements de santé »