Dans son rapport annuel, qui vient d'être rendu public, l'Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé relève qu'en 2019, 300 établissements ont déclaré 392 incidents, soit une augmentation de 20 % par rapport à 2018, qui avait dénombré 247 structures ayant déploré 327 incidents.
Un total qualifié d'« encore faible au regard du nombre de structures concernées par l’obligation de déclaration (plus de 3000) et la probabilité qu’au moins la moitié des structures concernées a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année ».
Au demeurant, 55 structures ont déclaré plus de 2 incidents, 7 plus de 4. Avec respectivement 57 et 49 signalements, l'Occitanie et la région Auvergne-Rhône-Alpes représentent à elles seules plus de 28 % du total.
L'Observatoire constate par ailleurs que le nombre d’incidents d’origine malveillante est en légère augmentation (43 %) par rapport à 2018 (41 %), avec comme principaux vecteurs de déclenchement les messages électroniques et logiciels malveillants.
Il souligne en revanche une croissance significative des attaques par rançongiciels (+ 40 %), « qui n’est cela dit pas spécifique au secteur santé mais concerne l’ensemble des secteurs d’activité ».
Parmi les 66 mises en danger potentielles en 2019 (19%), 5 incidents ont entrainé une « mise en danger patient avérée » : prescription incomplète ou erronée (3 cas, dont une patiente qui n'a pas reçu la totalité de son traitement personnel pendant 10 jours, entraînant une détresse respiratoire grave), surdosage d’insuline et surdosage de traitement anticoagulant.
Ces conséquences sur la prise en charge des patients sont dues à des :
- bugs sur des logiciels de prescription et d’aide à la dispensation impactant l’intégrité des prescriptions et des dispensations ;
- bugs sur des logiciels de dossier patient informatisé ;
- dysfonctionnements de l’infrastructure locale.
Le phishing constitue le vecteur d’attaque privilégié pour déployer un code malveillant sur un système ciblé. L’Observatoire déplore à ce titre que « le manque de vigilance ou la négligence est souvent à l’origine de la compromission : réponses à des messages électroniques malveillants ou accès à des sites web malveillants ».
Les attaquants ont également exploité deux autres types de vulnérabilité pour déployer leurs rançongiciels :
- des failles de sécurité (OS, logiciels, progiciels ou matériels non patchés) ;
- l’accès à distance à des systèmes Windows avec des mots de passe peu complexes.
L’incident était déjà résolu par la structure lors de sa déclaration dans la moitié des signalements, que ce soit en 2018 ou 2019. En revanche, si dans 15 % des cas l’origine de l’incident n’avait pas encore été identifiée (en cours d’investigation) en 2018, ce chiffre s’élève à 21% pour l’année 2019.
L'Observatoire déplore qu'« après avoir restauré les systèmes et les données impactées, une majorité des structures de santé n’a ni le temps, ni l’expertise ou les moyens financiers pour rechercher méthodiquement la porte d’entrée utilisée par l’attaquant ».
En outre, 8 structures n’ont pas donné de suite à leur déclaration malgré une demande de compléments d’information ou une proposition d’appui.
A contrario, 70 demandes d’accompagnements ont été formulées auprès de la cellule cybersécurité en santé, dédiée à l’appui des structures au sein de l’Agence du numérique en santé, contre 47 en 2018.
Mis en place depuis le 1er octobre 2017 par le ministère des solidarités et de la santé, rappelle l’Observatoire, le dispositif de traitement des signalements constitue le premier maillon de la cybersécurité du secteur, en contribuant à repérer les attaques avant qu’elles ne se répandent et à renforcer ainsi la capacité de réponse collective.
Le dispositif de prévention et d’alerte ministériel s’articule autour du portail cyberveille-sante.gouv.fr, conçu pour informer sur les menaces numériques qui pèsent sur le secteur, donner aux acteurs les clés pour y faire face, et partager les pratiques au sein d’un espace sécurisé.
Commentaires