Santé : un secteur qui profite d’une préparation accrue

En 2023, le CERT Santé, rattaché à l’agence du numérique en Santé, a reçu 581 déclarations d’incident de cybersécurité, un niveau considéré comme stable par rapport à l’année précédente (592), dont toujours 50 % d’origine malveillante. Mais le nombre d’établissements déclarants a toutefois progressé de 9 % d’une année sur l’autre.

Pour le CERT, deux tendances s’opposant expliquent ces constatations. Tout d’abord, il y a la prévention, « en particulier lorsque des campagnes d’exploitation de vulnérabilités critiques ont été identifiées » et une maturité en progression qualifiée de « sensible » quant à la gestion de la surface d’attaque exposée. De quoi faire reculer le nombre d’incidents d’origine malveillante. Las, l’activité offensive n’a pas reculé en 2023, loin de là, comme LeMagIT a pu l’observer. 

Selon les analyses du CERT Santé, « la menace rançongiciel reste la plus importante en 2023 en matière d’impact sur le SI ». D’ailleurs, « le nombre d’incidents liés à cette menace est en hausse de 10 % par rapport à 2022 ».

D’ailleurs, les efforts préventifs n’ont pas empêché l’exploitation de vulnérabilités pour la conduite de cyberattaques contre le secteur de la santé l’an dernier. Le rapport du CERT dresse la liste des vulnérabilités concernées :

• CVE-2022-27518, CVE-2023-3529, CVE-2023-3466, CVE-2023-3467, CVE-2023-4966 (Citrix) ;
• CVE-2023-23397 (Microsoft Outlook) ;
• CVE-2022-41082, CVE-2022-41040, CVE-2023-21707 (Microsoft Exchange) ;
• CVE-2023-22913, CVE-2023-22914 (Zyxel) ;
• CVE-2023-27997 (Fortinet) ;
• CVE-2023-20198 (Cisco). 

Mais si ces incidents conduisent généralement à un fonctionnement en mode dégradé, « le nombre d’incidents d’origine malveillante ayant un effet extrême ou important sur le système d’information de l’établissement victime a diminué : il y en avait 22 en 2022 contre 17 en 2023 ». 

La préparation semble en outre payer : sur 69 incidents ayant entraîné une potentielle mise en danger de patients, cette dernière n’a été avérée que pour un seul incident. Son origine – malveillante ou non – n’est pas précisée.

Reste que 2023 a été marqué par des incidents affectant des ESN, en particulier Hosteur et Coaxis, avec un impact sur de nombreux clients. De quoi expliquer qu’en 2023, « les incidents signalés, où tout ou partie des données des applications de la structure étaient devenus inaccessibles, ont augmenté de 15 % par rapport à 2022 », relève le rapport d’activité du CERT.

Au total, il faut compter 32 attaques avec rançongiciel contre le secteur de la santé en 2023 – et pas 41 comme pouvaient le laisser craindre les bulletins mensuels du CERT de l’année écoulée portant sur les signalements. Nous en avions relevé 15.

De quoi rappeler que les attaques contre ce secteur profitent d’une forte couverture médiatique du fait de leurs effets plus facilement et rapidement visibles que pour d’autres victimes. Ce qui contribue à donner une fausse impression de ciblage pour un secteur dont rien n’indique qu’il le soit.