Faire face à la menace croissante des cyberattaques dans le secteur de la santé

L'année 2023 marque un tournant crucial pour la cybersécurité dans le secteur de la santé en France. Avec une recrudescence des cyberattaques, comme en témoigne l’incident au CHU de Brest en mars 2023, les professionnels de santé sont confrontés à un paysage de menaces en constante évolution. Ces attaques mettent en lumière la vulnérabilité des systèmes informatiques vieillissants et la nécessité d'une sécurité renforcée pour protéger les données sensibles des patients.

L'augmentation des cyberattaques, signalée par l'ENISA (Agence de l'Union européenne pour la cybersécurité), s'explique par la valeur élevée des données médicales (Un cybercriminel peut espérer revendre chaque dossier médical entre 50€ et 250€) et la numérisation accélérée des services de santé. L'interconnexion croissante des systèmes IT, l'adoption de la télémédecine et la dépendance aux équipements biomédicaux augmentent la surface d'attaque et exposent les infrastructures à des risques accrus. En France, le volume de données de e-santé a considérablement augmenté, ce qui nécessite une approche plus robuste en matière de cybersécurité.

| Stratégies cyber pour la sécurisation des infrastructures médicales

En France, la sécurisation des infrastructures de santé repose sur plusieurs éléments fondamentaux, selon les directives de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Le premier pas crucial est l'identification et la sécurisation des différents points d'accès, qui se divisent en quatre catégories principales : les aspects humains, logiciels, réseaux et physiques. Cependant, Il est impératif d'adopter des mesures de cybersécurité efficaces qui couvrent non seulement les systèmes internes, mais s'étendent également à l'ensemble des partenaires et à tous les points d'accès externes.

L'audit et l'analyse approfondis des systèmes de santé, incluant les équipements biomédicaux et les données sensibles, sont essentiels pour détecter les éléments les plus susceptibles d'être compromis. Il est important que les mesures de sécurité soient spécifiquement conçues pour s'adapter aux caractéristiques uniques des données de santé, qui ne peuvent pas être entièrement anonymisées. Cela implique de trouver un équilibre délicat entre les bases de données anonymisées et celles permettant la réidentification des dossiers, pour assurer à la fois la protection des informations personnelles et la fonctionnalité des systèmes de santé.

La gestion continue de la sécurité des systèmes d'information est cruciale pour assurer une évolution et une amélioration constantes dans les établissements de santé. Les systèmes gérés représentent une solution efficace, car ils permettent de mutualiser les ressources et de pallier les pénuries de compétences. Il est également recommandé aux établissements de santé de consolider leurs infrastructures informatiques et opérationnelles (IT/OT) pour les rendre plus robustes et résilientes. Il est important de noter que les incidents non malveillants jouent un rôle considérable dans les problèmes de sécurité, soulignant la nécessité d'une vigilance accrue dans tous les aspects de la gestion de la sécurité. La collaboration avec des spécialistes de la cybersécurité, comme DATASHIELD Risk Consulting, est cruciale pour combattre efficacement les cybermenaces et prévenir les défaillances. Ces spécialistes offrent une expertise et un soutien essentiels au personnel de santé, assurant la protection des infrastructures, des services et des patients.

| Renforcement et application des normes de cybersécurité dans le secteur de la santé

L'application pratique des réglementations dans le secteur de la santé, en France, est en train de connaître des changements importants avec l'adoption de la directive NIS 2 et le RGPD au niveau européen. Cette évolution réglementaire, renforcée par les actions de l'ANSSI, les ARS, l'ANS, le CERT-Santé, et la CNIL, souligne l'importance accrue de la cybersécurité dans le secteur de santé.

La nécessité de ces changements a été mise en évidence par des cyberattaques significatives, comme celle qui a touché le CHU de Rouen en 2019, un événement qui a déclenché une réflexion nationale sur la protection des hôpitaux. En réponse, le gouvernement français a intégré dans le plan France Relance, piloté par l'ANSSI, des mesures visant à renforcer la sécurité des établissements publics de santé. Aujourd'hui, plus de 130 établissements sont engagés dans ce parcours de cybersécurité.

L'importance de la conformité est soulignée l’exemple de l'intervention de la CNIL auprès de deux organismes de recherche médicale. En mars 2023, la CNIL a rappelé à ces organismes leurs obligations légales après avoir constaté des manquements en matière de protection des données de santé. Ces manquements comprenaient l'absence d'analyses d'impact sur la protection des données et une information incomplète fournie aux personnes participant aux recherches. Cette action de la CNIL souligne la vigilance nécessaire dans la gestion des données de santé et le respect des obligations légales.

La directive NIS 2, adoptée en janvier 2023, obligera de nombreuses entreprises et administrations françaises à renforcer leurs normes de sécurité. Cette directive est ambitieuse et vise à établir une maturité cyber commune dans toute l'Union européenne. Elle étend son périmètre d'application aux secteurs dépendant fortement des technologies de l'information et de la communication, incluant les établissements de santé. La directive impose de nouvelles obligations en matière de traitement des incidents, de gestion des risques, de sécurité de la chaîne d'approvisionnement, de chiffrement, et de divulgation des vulnérabilités.

Pour préparer les entreprises à ces changements, la directive prévoit des mécanismes de proportionnalité, distinguant les entités essentielles des entités importantes, et définit des exigences spécifiques pour chaque catégorie. Les sanctions prévues peuvent atteindre jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires mondial de l'entité concernée.

Cette nouvelle réglementation impose donc aux entreprises, y compris celles du secteur de la santé, de rehausser le niveau de leur sécurité informatique pour être en conformité avec les exigences de la directive NIS 2

Face à la menace croissante des cyberattaques dans le secteur de la santé, il est impératif d'adopter une approche proactive en matière de cybersécurité. Les développements réglementaires, ainsi que les efforts coordonnés des organismes mettent en évidence l'importance cruciale de protéger les infrastructures médicales et les données sensibles des patients. DATASHIELD Risk Consulting, avec son expertise en audits de sécurité, conseils stratégiques, et assistance en cas d'incident, se positionne comme partenaire des établissements de santé, offrant des solutions adaptées pour renforcer leur résilience face aux cybermenaces.