sudok1 - stock.adobe.com

Cybersécurité : la santé, vraiment cancre ?

La récente cyberattaque conduite contre le centre hospitalier Sud-Francilien a ravivé le débat sur la posture de cybersécurité du monde de la santé. Des efforts semblent indispensables, mais le secteur n’apparaît pas surreprésenté dans les chiffres.

Le centre hospitalier Sud-Francilien, fin août. Avant lui, celui de Mâcon, fin mai. Un mois plus tôt, c’était le groupement hospitalier territorial Cœur Grand Est. Fin mars, l’hôpital de Castelluccio, en Corse, tombait dans les griffes de Vice Society. Et l’année s’était ouverte sur une cyberattaque contre le pôle santé Léonard de Vinci, en Touraine. À cette liste, on peut aussi ajouter les cliniques COB ou encore le cabinet d’un chirurgien esthétique à Marseille.

Chaque cyberattaque contre un établissement de santé impressionne par les risques qu’elle fait peser, en premier lieu, sur les patients et leur prise en charge. Ce n’est pas pour rien, d’ailleurs, que 13 CHU ont été rapidement désignés comme opérateurs de services essentiels (OSE) parce qu’opérateurs d’importance vitale (OIV). Après les attaques conduites contre les hôpitaux de Dax et de Villefranche-sur-Saône, une centaine de plus ont été désignés OSE.

Ces attaques profitent en outre d’une forte couverture médiatique parce que leurs effets sont plus facilement visibles que pour d’autres victimes. Et pourtant, tous les cas ne sont pas médiatisés.

Pour 2021 par exemple, quelques cas d’attaques sur le secteur de la santé sont connus : la clinique de l’Anjou, le centre hospitalier de Dax, le groupement hospitalier de Dordogne, l’hôpital Nord-Ouest, à Villefranche-sur-Saône, l’hôpital de La Châtre, le centre hospitalier d’Oloron, l’hôpital de Saint-Gaudens, le centre de lutte contre le cancer François-Baclesse, le laboratoire Cerba, le centre hospitalier d’Arles, et encore la polyclinique Bordeaux Nord.

Mais il y a eu en réalité au moins 47 cyberattaques avec ransomware contre des établissements de santé français en 2021. C’est ce qui ressortait des chiffres présentés par le haut fonctionnaire de défense et de sécurité (HDFS) du ministère des Solidarités et de la Santé, lors d’un colloque organisé fin novembre dernier par l’Agence du Numérique de Santé.

Selon ces mêmes chiffres, il fallait compter une « trentaine d’attaques par rançongiciels » en 2018, puis 46 en 2019, et 49 en 2020. Le périmètre considéré recouvre 3 000 établissements de santé publics et privés.

Cela fait beaucoup, mais c’est relativement rapporté à la totalité des cyberattaques avec ransomware ayant frappé des entités françaises au cours des dernières années.

Ainsi, nous avons identifié près de 80 collectivités territoriales ayant été victimes d’attaque informatique menée à coup de rançongiciel depuis début 2020. Ce n’est qu’une toute petite partie de la réalité : rien qu’au premier semestre 2022, plus de 160 administrations et collectivités territoriales ont été touchées, selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr.

Ce portail a reçu près de 800 demandes d’assistance en 2019, puis près de 1000 en 2020, et un peu plus de 1850 en 2021, associations, entreprises, administrations et collectivités confondues. Au 31 juillet 2022, il fallait déjà en compter plus de 930.

Au fil des ans, le dispositif cybermalveillance.gouv.fr a gagné en réputation. Ses chiffres reflètent chaque année un peu plus la réalité. De quoi estimer que les établissements de santé ont peut-être représenté, tout au plus, 3 % des cas de cyberattaque avec rançongiciel, en France, en 2021.

Cette représentation somme toute limitée du monde de la santé ne suggère pas qu’il n’a pas mal à sa cybersécurité. Elle suggère plutôt que le secteur n’est pas forcément plus mal loti que le reste des organisations privées comme publiques de l’Hexagone.

Pour approfondir sur Menaces, Ransomwares, DDoS

Fait partie de: Tout savoir sur la cyberattaque du centre hospitalier Sud-Francilien

Up Next
Close