Cybersécurité : les établissements de santé commencent à s’organiser
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Face à la recrudescence des cyberattaques qui continuent de toucher les acteurs de la santé sur le territoire français, la riposte s’organise, lentement mais sûrement. À coup de sensibilisation et de solutions de sécurité managées, les établissements de santé prennent la mesure des risques.
Le marché mondial de la cybersécurité dans le secteur de la santé a atteint un chiffre d’affaires de 14,7 milliards de dollars en 2022. Son volume d’affaires devrait être de 56,3 milliards de dollars en 2030, suivant un taux de croissance annuel composé de 18,3 % sur la période, selon les données du cabinet d’études Grand View Research.
Ce marché est stimulé par l’augmentation des cyberattaques envers les établissements de santé, par l’adoption accrue de solutions – notamment fondées sur le cloud – de cybersécurité avancées, mais aussi par le nombre croissant d’objets connectés et de smartphones, ainsi que par la montée en puissance de la 5G.
Une explosion des attaques sur le territoire national
En France, sur la seule année 2021, le nombre d’incidents de sécurité informatique notifiés à l’Agence du numérique en santé (ANS) a presque doublé par rapport à 2020. Le CERT Santé a ainsi reçu plus de 730 déclarations d’incidents en 2021, contre 369 en 2020.
Cette augmentation s’explique en partie par les incidents rencontrés par des prestataires de services (hébergeurs en particulier) ayant une part de marché significative. Plusieurs centaines de structures des secteurs sanitaire et médico-social (40 % des incidents signalés) ont ainsi été impactées. L’année 2021 a également été marquée par de nombreux incidents majeurs liés à des attaques par rançongiciel (Centres Hospitaliers de Dax, Villefranche-sur-Saône ou Arles), mais aussi à l’exfiltration massive de données (AP-HP et encore récemment la CNAM).
En 2022, des attaques ont notamment ciblé le Groupement Hospitalier de Territoire (GHT) Cœur Grand-Est en avril, l’hôpital de Corbeil-Essonnes et l’Ehpad de Beuzeville (Eure) en août et l’hôpital André Mignot de Versailles, en décembre.
Ransomwares et sensibilisation des collaborateurs au programme des établissements de santé
Selon une étude IDC, commanditée par Orange Cyberdefense, le ransomware est la menace informatique qui fait peser le plus de risques sur les établissements de santé français (71 % des répondants) et celle contre laquelle ils souhaitent se protéger de manière prioritaire dans les deux années à venir (66 %). En deuxième et troisième positions, on trouve le vol de données depuis l’extérieur et les virus informatiques détruisant les données ou les rendant inutilisables.
Les menaces informatiques faisant peser le plus de risques sur les établissements de santé et contre lesquelles ils souhaitent se protéger en priorité dans les deux ans à venir (Source : Étude IDC 2021)
Toujours selon IDC, près de six établissements de santé sur dix estiment que la prise de conscience des salariés face aux menaces informatiques est faible. Et même si les proportions sont moindres, une part non négligeable des managers de proximité et des directeurs a également un niveau de conscience relativement faible (respectivement 35 % et 24 %). D’importants efforts de sensibilisation sont donc à consentir non seulement auprès des employés mais également auprès de leur encadrement.
Un des axes de travail en matière de sensibilisation concerne le shadow IT. Un établissement de santé sur quatre identifie relativement mal le phénomène en son sein, notamment en matière de cloud public (recours à des outils tels que Zoom, Dropbox, WeTransfer ou encore Google Drive, sans l’approbation de la DSI). Lorsqu’il n’est pas identifié par l’équipe informatique, le shadow IT peut être une source de vulnérabilités : partage d’informations confidentielles dans des environnements non sécurisés, utilisation de services présentant des failles de sécurité…
Un recours de plus en plus intense aux solutions managées
Du côté des infrastructures de sécurité, les établissements de santé recourent déjà ou affichent la volonté d’utiliser davantage de Services Managés de Sécurité (MSS) et de Services Managés de Détection et de Réponse (MDR) dans les douze prochains mois, selon le rapport d’IDC. Cela souligne le besoin qu’ont les établissements de soins de se faire épauler quant à la gestion de leur infrastructure de sécurité et à la mise en œuvre de contre-mesures en cas d’incident.
Le recours aux services de sécurité managés et aux services de détection et de réponse aux incidents par les établissements de santé (Source : Étude IDC 2021)
Ces projets d’équipement en solutions de sécurité sont une réelle occasion pour les acteurs français de la cybersécurité, auxquels les établissements de santé sont particulièrement sensibles. La première des raisons expliquant cette inclination pour les fournisseurs hexagonaux de services de sécurité IT est la réglementation, citée par 61 % des répondants, quelle que soit leur taille. La proximité géographique avec les interlocuteurs arrive en deuxième position (56 %), suivie de la connaissance du marché et de l’écosystème français qu’ont ces acteurs (41 %).