Cybersécurité: plus de 300 incidents déclarés par les structures de santé en un an

Ce colloque, qui s'est tenu le 19 octobre au ministère des solidarités et de la santé, a été l'occasion de présenter un point d'étape de l'activité de la cellule d'accompagnement cybersécurité des structures de santé (ACSS), mise en place il y a un an sous la responsabilité du fonctionnaire en charge de la sécurité des systèmes d'information (FSSI) du ministère (voir dépêche du 2 octobre 2017).

Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs" (voir dépêche du 19 septembre 2016). L'Asip santé a été chargée d'apporter un appui au traitement des incidents, au travers de la cellule ACSS, et en lien avec les ARS.

Au-delà du traitement des signalements, la cellule ACSS assure une veille sur l'actualité des systèmes d'information et sur les menaces présentes sur le secteur de la santé sur le site cyberveille-sante.gouv.fr.

Depuis la mise en place du dispositif de signalement, environ 27 déclarations d'incident sont remontées en moyenne chaque mois à la cellule ACSS. "La déclaration de ces incidents est essentielle pour prévenir les risques encourus, et anticiper toute autre attaque pouvant avoir des répercussions sur des établissements similaires", a rappelé l'Asip santé sur son site.

Une quarantaine de demandes d'accompagnement, souvent liées à des incidents ayant eu un impact important sur la structure, ont par ailleurs été adressées à la cellule ACSS. Elles représentent 15% des signalements.

Selon le point d'étape présenté par l'Asip santé, six incidents significatifs ont fait l'objet d'un suivi particulier de la part du FSSI et trois ont été communiqués à l'Agence nationale de la sécurité des systèmes d'information (Anssi).

L'Asip santé a également dénombré 13 incidents communiqués à l'Agence nationale de la sécurité du médicament et des produits de santé (ANSM).

"Les attaques numériques restent une menace permanente, surtout au sein des établissements de santé où les données de santé sont des données sensibles et confidentielles qui se revendent à prix d'or", a noté l'Asip santé.

Trois cas de "mise en danger patient avérée"

La grande majorité des incidents (86%) a été déclarée par des établissements de santé. Parmi ces incidents, les trois quarts ont été signalés par des établissements publics, 15% par des établissements privés et 10% par des établissements de santé privés d'intérêt collectif (Espic).

Le reste des incidents est réparti entre les laboratoires de biologie médicale (5%), les centres de radiothérapie (1%) et les autres établissements, principalement des établissements d'hébergement pour personnes âgées dépendantes (Ehpad, 8%).

La région pour laquelle le nombre de signalement a été le plus important est l'Occitanie, avec 41 incidents remontés.

Dans la plupart des cas (49%), les problèmes informatiques ont conduit la structure à mettre en place un fonctionnement dégradé du système de prise en charge des patients.

Sur les 11% de cas ayant présenté une mise en danger potentielle des patients, trois ont entraîné une "mise en danger patient avérée", a précisé l'Asip santé.

Concernant l'origine des incidents, l'agence relève que près de la moitié des problèmes de sécurité (47%) avait une origine malveillante, avec comme principales sources des messages électroniques ou des logiciels malveillants de type cryptovirus ou ransomware (logiciel rançonneur).

Sur son site, l'Asip souligne qu'un "besoin d'accompagnement reste indispensable" et que "les campagnes de sensibilisation en interne renforcent les attitudes du personnel de l'établissement face aux menaces".

"Les principales vulnérabilités proviennent essentiellement du manque de vigilance ou de la méconnaissance du système de stockage ou d'hébergement (absence ou non-sécurisation des mises à jour, clés et mot de passe choisis par défaut, absence de chiffrement des communications, interface de débogage…)", a-t-elle indiqué.