Les établissements de santé français sont devenus les cibles privilégiées des cybercriminels. En cause ? Les données personnelles des dossiers médicaux se vendent à prix d’or sur le Dark Web… et les hôpitaux sont loin d’être correctement protégés d’un point de vue sécurité informatique.
En effet, la numérisation des dossiers s’est faite très rapidement sans que la sécurité suive le rythme pour autant.
Avec l’arrivée de l’Internet des Objets (IoT) dans les secteurs de la santé et des soins médicaux, ce sont les cyberattaques qui augmentent de façon alarmante. Et cela ne va faire qu’empirer si rien n’est fait, car le domaine médical avance vite, très vite du point de vue technologique.
Sauf que, à mesure que le nombre d’organisations de santé s’équipant de solutions IoT augmente, les incidents de sécurité dus aux vulnérabilités des appareils connectés augmentent aussi. A cause des logiciels obsolètes encore présents dans certains établissements, les attaques à grande échelle comme les rançongiciels WannaCry et NotPetya ont déjà fait d’innombrables dégâts.
Pourquoi les hôpitaux sont-ils une cible facile pour les hackers ?
Bien que de nombreux efforts aient été faits pour renforcer la sécurité informatique des établissements de santé, ils ne sont pas assez rapides pour les hackers, toujours à la pointe.
Seuls 6% du budget informatique total des organismes de santé sont consacrés à la protection des informations et des IoT, alors que ce sont des structures considérées comme « à risque » en termes de cybersécurité. Après tout, il en va de la vie des patients.
Si la cybersécurité n’évolue pas assez vite, c’est aussi parce que le secteur se heurte à plusieurs obstacles : le manque de personnel qualifié en cybersécurité, le manque de ressources financières, trop de postes, de serveurs, de PC… et des attaques toujours plus sophistiquées.
Quelles sont les conséquences d’une cyberattaque ?
Elles sont tout d’abord humaines : imaginez que les informations concernant un patient traité pour un cancer soient inaccessibles ou fausses ? Cela mettrait en danger sa vie. Idem pour les pompes à insuline ou les robots chirurgicaux…
L’impact d’une cyberattaque est aussi financier : un piratage coûte une fortune à un hôpital car il est obligé de réduire, voire de stopper son activité. Résultat ? Des millions de perte chaque jour. C’est pour cela que certaines structures paient la rançon, d’ailleurs : qu’est-ce que payer 15 000€ lorsque vous en perdez cent fois plus chaque jour bloqué ? Hélas, il n’est pas toujours certains qu’après paiement l’hôpital retrouve ses données intactes.
Du côté des hackers, le vol puis la vente sur le Dark Web peut rapporter 350€ ! à ce prix-là, ce n’est pas tant le contenu des dossiers volés, mais plutôt la quantité qui importe aux pirates. Certains grands groupes pharmaceutiques ou certains états paient encore plus cher pour récupérer ces dossiers pour bâtir à partir de ces informations des stratégies de communication encore plus ciblées.
Mieux protéger les informations de santé des Français est donc enjeu majeur suffisant pour que le Ministère de la Santé réfléchisse à la mise en place d’Assises de la cybersécurité en Santé, normalement pour cet automne 2020. En attendant, notre ex-ministre de la santé Agnès Buzyn a lancé fin novembre dernier une campagne nationale d’information à destination des personnels hospitaliers afin qu’ils fassent de « l’hygiène numérique » un vrai réflexe.
A suivre !