Alors que la digitalisation s’accélère et que les menaces d’attaques informatiques se multiplient, la cybersécurité dans le secteur de la santé est aujourd’hui une véritable priorité. Toutefois, garantir la protection des appareils médicaux et des données des patients avec un niveau de sécurité optimal n’est pas une mince affaire…
Qu’est-ce que la cybersécurité ?
La cybersécurité désigne un ensemble de moyens et de techniques permettant d’assurer la protection et l’intégrité des données d’une entité, qu’il s’agisse d’un particulier, d’une entreprise ou, en l’occurrence, d’un établissement de santé.
Aussi appelée sécurité des systèmes d’information, elle permet de prémunir les réseaux informatiques contre les risques de cyberattaques, de garantir la confidentialité et l’intégrité des données médicales, mais aussi de mieux authentifier les personnes qui accèdent à ces données.
La sécurité des systèmes informatiques implique également une démarche de formation auprès des utilisateurs, afin de leur apporter les connaissances et les outils nécessaires pour limiter les risques.
Quelles sont les cyberattaques susceptibles de se produire dans le monde de la santé ?
Il existe une multitude de risques cyber. Toutefois, les incidents de sécurité les plus fréquents dans les établissements de santé sont :
- Le phishing, qui consiste à manipuler un utilisateur pour l’inciter à divulguer des informations confidentielles à son insu. Cette technique repose généralement sur une usurpation de l’identité de l’expéditeur d’un mail ou d’un SMS.
- Le ransomware, un logiciel malveillant qui chiffre les données de l’établissement ciblé avant de demander le paiement d’une rançon en échange du déchiffrage des informations.
- Le cheval de Troie, un programme malveillant caché dans un logiciel, qui s’introduit dans le système informatique à l’insu de l’utilisateur. Le cybercriminel peut ensuite accéder à l’ensemble des données présentes sur le poste.
Les conséquences d’une cyberattaque pour les structures de santé
Si la cybersécurité dans le domaine de la santé est primordiale, c’est parce qu’une attaque informatique peut avoir des conséquences désastreuses pour les établissements :
- Mise à l’arrêt du système d’information
- Risque de perte ou de vol des données des patients
- Déprogrammation ou report des interventions chirurgicales
- Réorientation des urgences vers d’autres centres hospitaliers
- Services de soins dégradés
En plus de cela, l’image de l’établissement est profondément entachée, avec le risque que les patients engagent des poursuites judiciaires en cas d’utilisation frauduleuse de leurs données.
Enfin, une cyberattaque peut entraîner des pertes financières de différentes natures :
- Extorsion d’argent en cas de paiement de la rançon
- Coût de restauration du matériel numérique
- Pertes d’exploitation pouvant se chiffrer en millions d’euros
Quelles mesures pour renforcer la cybersécurité des hôpitaux ?
Lancé en juin 2019, le Plan de renforcement de la cybersécurité des hôpitaux a pour objectif d’accompagner les structures de santé dans la sensibilisation des personnels et l’adoption de nouveaux comportements individuels et collectifs, afin de protéger le système de soins des risques cyber.
Cette campagne est pilotée par le ministère des Solidarités et de la Santé, en coordination avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les agences régionales de santé (ARS) sont chargées de décliner localement ce plan, à travers l’accompagnement des établissements de santé.
Quels sont les enjeux actuels de la cybersécurité dans la santé ?
Le domaine de la santé et du médico-social est une proie facile pour les cybercriminels, du fait de la faiblesse relative des infrastructures SI.
Les établissements hospitaliers, en particulier, constituent une cible de choix, car ils stockent de grandes quantités de données sensibles et ont besoin de pouvoir accéder à un système numérique fonctionnant en permanence.
Mais c’est aussi une véritable poule aux œufs d’or : les données médicales sont très lucratives et leur valeur ne fait qu’augmenter depuis plusieurs années.
Autre facteur aggravant : les systèmes informatiques hospitaliers sont assez difficiles à protéger contre les cyberattaques. Un phénomène qui s’explique par :
- La présence de connexions peu sécurisées entre les systèmes d’information des hôpitaux et ceux de leurs prestataires
- La multiplication des logiciels et applications
- Le développement des dispositifs médicaux connectés
- L’installation de logiciels non approuvés par le service informatique
- La faible sensibilisation des équipes à la sécurité informatique
Comment faire face aux cyberattaques dans le secteur de la santé ?
Pour renforcer la cybersécurité des structures de santé et prévenir les risques de piratages, il existe différentes solutions technologiques à déployer au quotidien, notamment :
- L’installation d’un système de sécurité renforcé, avec un pare-feu, un logiciel antivirus et un VPN
- Le recours à une société de télésurveillance
- La sécurisation des mots de passe,
- La réalisation de sauvegardes régulières
- La sécurisation des accès Wi-Fi
- La mise en place d’un verrouillage automatique pour protéger l’accès aux postes de travail
- L’utilisation d’une messagerie sécurisée de santé
Par ailleurs, il est indispensable de diffuser les bonnes pratiques de sécurité à l’ensemble des professionnels de santé. Cette démarche passe par trois types de mesures :
- Des campagnes de sensibilisation, en appelant tous les utilisateurs du système informatique à la vigilance et en rappelant les principaux risques auxquels ils s’exposent.
- Des actions de formation, en présentiel ou en e-learning, pour apprendre au public à mieux utiliser les outils informatiques et leur transmettre les bonnes pratiques.
- Des mesures d’obligation : elles consistent, par exemple, à imposer l’utilisation d’une messagerie sécurisée, un changement de mot de passe régulier ou encore à interdire l’utilisation des clés USB.
Face à l’intensification des menaces, la cybersécurité des établissements de santé est un enjeu majeur à l’heure actuelle. Un défi de taille, qui peut malgré tout être relevé en insufflant les bonnes pratiques de sécurité au sein des équipes, mais aussi en déployant des solutions techniques adaptées.