Cybersécurité: 693 incidents déclarés par les structures de santé depuis deux ans

L'Agence des systèmes d'information partagés de santé (Asip santé) a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place d'un nouveau dispositif de signalement, en octobre 2017, a-t-elle indiqué le 2 décembre à TICsanté.

L'Asip santé -prochainement transformée en Agence du numérique en santé (ANS)- a transmis à TICsanté un point d'étape de l'activité de la cellule d'accompagnement cybersécurité des structures de santé (ACSS), mise en place en octobre 2017 sous la responsabilité du fonctionnaire en charge de la sécurité des systèmes d'information (FSSI) du ministère, Philippe Loudenot.

Pour rappel, depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs". L'Asip santé a été chargée d'apporter un appui au traitement des incidents, au travers de la cellule ACSS, et en lien avec les ARS.

Les incidents graves de sécurité des systèmes d'information (SI) sont: les événements générateurs d'une situation exceptionnelle, dont ceux ayant des conséquences potentielles ou avérées sur la sécurité des soins, des conséquences sur la confidentialité ou l'intégrité des données de santé et les incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service, rappelle-t-on.

La ministre des solidarités et de la santé, Agnès Buzyn, a notamment prévu d'étendre le dispositif de déclaration des incidents de sécurité à l’ensemble des acteurs de santé et de mettre en place un service national de cybersurveillance en santé, en 2020. Ce contrôle renforcé sera assuré par la délégation ministérielle du numérique en santé (DNS) et l'ANS.

Ainsi, depuis le 1er octobre 2017, 693 incidents ont été déclarés par les structures de santé sur le portail de signalements, "soit une trentaine de signalements par mois", a annoncé l'Asip santé.

"Le chiffre est sans doute faible par rapport à la réalité, il y a encore des victimes de cyberattaques qui préfèrent se taire par crainte d'être stigmatisées. Même si cela peut arriver à tout le monde, elles craignent qu'on recherche 'le' coupable", a commenté Philippe Loudenot auprès de TICsanté.

84% d'incidents déclarés par les établissements de santé

Bug applicatif, message électronique malveillant ou logiciel malveillant de cryptovirus, "43% des incidents déclarés ont une origine malveillante", a indiqué l'Asip santé.

Dans le détail, 84% des déclarations d'incidents proviennent des établissements de santé (contre 88% en mai dernier) et 13% des incidents déclarés ont "fait l’objet d’une demande d’accompagnement de la part de la structure impactée".

"Aujourd'hui, il y a seulement entre 250 et 300 structures qui déclarent les incidents. Nous comptons sur la campagne pour la cybersécurité à l'hôpital pour voir augmenter le nombre de déclarations", a expliqué Philippe Loudenot.

Dans 50% des cas (contre 46% en mai), les problèmes informatiques ont conduit la structure à mettre en place un fonctionnement dégradé du système de prise en charge des patients. Ce fut notamment le cas au CHU de Rouen il y a deux semaines après la cyberattaque qui a touché son système informatique.

Enfin, 41% des incidents déclarés ont eu un impact sur des informations patients à caractère personnel, une "indisponibilité des données principalement", a souligné l'agence.

Au-delà du traitement des signalements, la cellule ACSS assure une veille sur l'actualité des systèmes d'information et sur les menaces présentes sur le secteur de la santé sur le site cyberveille-sante.gouv.fr, rappelle-t-on.

Une campagne sur la cybersécurité à l'hôpital

De façon générale, la problématique de la sécurité informatique est au cœur de l'actualité hospitalière. Agnès Buzyn a, elle-même, lancé une campagne d'information et de sensibilisation sur la cybersécurité à l'hôpital jeudi 28 novembre, à l'occasion de l'étape francilienne du Tour de France de l'e-santé.

Ainsi, un clip de prévention de 47 secondes est mis à disposition de l'ensemble des professionnels de santé et des affiches leurs sont également proposées.

"Les 3.036 établissements de santé qui sont présents sur tout le territoire sont loin d'avoir tous la même compréhension des problématiques numériques et dans un contexte où la menace continue de se développer, nous devons faire prendre conscience à chacun et dans chaque structure que la cybersécurité est la continuité de la sécurité des soins", a-t-elle souligné.

"Vous l’aurez compris, j’attends de cette campagne qu’elle permette de mobiliser les établissements dans toutes leurs dimensions: les équipes dirigeantes, les experts numériques, les professionnels de santé, les professionnels qui exercent les fonctions support et également les usagers. Car, nous ne le redirons jamais assez, la cybervigilance doit être l’affaire de tous", a déclaré la ministre.

"Nous portons tous une grande ambition pour le numérique en santé: notre engagement collectif sera la clef du succès, la cybersécurité sera la clef de la confiance", a-t-elle conclu.

Wassinia Zirar