Touché par un piratage pendant le week-end du 10 février dernier, l’hôpital d’Armentières dans la région des Hauts-de-France a vu 18 Go de données diffusées sur le dark web comprenant des dossiers médicaux de plus de 950 000 patients. L’établissement de santé continue ses investigations pour confirmer la fuite de données.
Dans le domaine complexe de la cybersécurité, la protection des données sensibles, en particulier celles des patients, prend une importance capitale.
En raison de la sensibilité de leurs données et de leur activité, les établissements de santé sont souvent en première ligne des attaques par rançongiciels. Ces logiciels malveillants, aussi connus sous le nom de ransomwares, bloquent l’accès aux fichiers de l’ordinateur et les cyberattaquants qui en sont à l’origine exigent une rançon pour les libérer. Une menace grandissante, qui complexifie la protection des données de santé et le maintien de la cybersécurité.
Face à cet enjeu, voici comment limiter les risques de rançongiciels et les actions à mettre en œuvre en cas de cyberattaque.
Comment reconnaître une attaque de type ransomware ?
Une attaque de type ransomware se caractérise par l’infiltration d’un logiciel malveillant dans le système informatique de l’établissement de santé. Ce logiciel bloque l’accès aux fichiers, systèmes et applications essentiels. L’attaquant exige ensuite le paiement d’une rançon pour débloquer l’accès.
Les cybercriminels visent particulièrement les établissements de santé pour plusieurs raisons :
- Les données de santé sont sensibles et précieuses, ce qui augmente la probabilité d’un paiement de la rançon.
- Les établissements de santé dépendent fortement de l’accessibilité et de la disponibilité de leurs systèmes d’information pour assurer leurs services. Une interruption peut mettre en danger des vies, ce qui crée une pression supplémentaire pour payer la rançon.
Ces attaques se sont multipliées et sophistiquées ces dernières années, posant un véritable problème de cybersécurité pour le secteur de la santé.
Quel est l’impact d’un rançongiciel sur un établissement de santé ?
Les données de santé : une cible privilégiée
Le secteur de la santé est particulièrement exposé aux attaques par rançongiciels. En effet, les données de santé sont des ressources précieuses pour les pirates informatiques. Selon le Cert Santé, le nombre d’attaques visant spécifiquement les établissements de santé a augmenté de 94% en 2021. De plus, 66% des établissements de santé ont été touchés par ces attaques, soit une augmentation significative par rapport à l’année précédente.
Ces attaques ont un taux de réussite plus élevé dans le secteur de la santé. En effet, 65% des établissements touchés ont déclaré que leurs données avaient été chiffrées, contre une moyenne de 54% tous secteurs confondus.
Il est également important de noter que, même après avoir payé la rançon, les établissements de santé ne récupèrent qu’une partie de leurs données. En 2021, seuls 65% des données ont été récupérées après paiement de la rançon, contre 69% en 2020. De plus, seuls 2% des établissements ayant payé la rançon en 2021 ont récupéré toutes leurs données, contre 8% en 2020.
Les conséquences d’une attaque par rançongiciel
Une attaque par rançongiciel entraîne des conséquences lourdes pour les établissements de santé. L’indisponibilité du système d’information hospitalier est la première de ces conséquences. Les hackers peuvent paralyser l’ensemble des activités, entrainant des perturbations majeures de l’offre de soins.
Cela peut aller jusqu’à la fermeture temporaire de services vitaux tels que les urgences, comme l’a vécu l’hôpital d’Armentières. De plus, les attaques peuvent entrainer des pertes de données irréversibles, mettant en péril la continuité des soins et la sécurité des patients.
Enfin, l’impact financier d’une cyberattaque est conséquent, ajoutant aux pertes d’exploitation le coût élevé de la rançon exigée par les cybercriminels.
Comment se prémunir des attaques de type ransomware ?
Pour y faire face, le gouvernement a renforcé sa stratégie nationale de cybersécurité avec une enveloppe d’au moins 350 M €. Cette stratégie vise notamment à :
- Former les équipes aux risques cyber, pour faire face à la menace principale : les rançongiciels transmis par courriels piégés.
- Structurer la gouvernance de la cybersécurité en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels).
- Créer des plans d’action pour gérer les crises et renforcer la résilience.
L’utilisateur des Systèmes d’Information Hospitaliers (SIH) et Systèmes d’Information de Santé (SIS) est un maillon essentiel de cette chaîne de cybersécurité.
- Lire aussi : Quel budget pour ma cybersécurité ? Pour quel ROI ?
Les solutions pour sécuriser les données personnelles
Pour sécuriser les données personnelles, plusieurs mesures peuvent être mises en œuvre.
- Mise à jour régulière des logiciels et systèmes : les logiciels obsolètes peuvent présenter des failles de sécurité qui sont autant de portes d’entrée pour les rançongiciels. Il est donc essentiel de maintenir à jour les logiciels et les systèmes utilisés.
- Utilisation de logiciels de sécurité : ces outils, comme les antivirus, permettent de détecter et de bloquer les menaces avant qu’elles ne pénètrent dans le système.
- Formation du personnel à la cybersécurité : les utilisateurs sont souvent la première ligne de défense contre les cyberattaques. Il est donc crucial de les former à la reconnaissance des tentatives de phishing et à l’application des bonnes pratiques en matière de cybersécurité.
- Sauvegarde régulière des données : en cas d’attaque, avoir une sauvegarde récente des données permet de les récupérer sans avoir à payer de rançon.
- Respect du RGPD : la conformité au Règlement Général sur la Protection des Données (RGPD) impose des mesures de sécurité qui peuvent contribuer à prévenir les attaques.
- Adoption d’une stratégie de défense en profondeur : cette approche repose sur l’utilisation de plusieurs couches de sécurité pour remédier aux vulnérabilités et atténuer les risques.
Ces mesures ne garantissent pas une protection totale, mais elles permettent de réduire considérablement les risques d’attaque par rançongiciel.
Les actions à mettre en œuvre en cas de cyberattaque
Face à une cyberattaque, voici les premières actions à réaliser :
- Alerter immédiatement son support informatique s’il est disponible ;
- Isoler les équipements touchés pour empêcher la propagation de l’attaque ;
- Ne pas éteindre les appareils infectés, cela pourrait compliquer les opérations de récupération ;
- Ne pas payer la rançon exigée, car cela ne garantit pas la récupération des données et encourage la cybercriminalité ;
- Préserver les preuves pour faciliter l’identification des attaquants ;
- Mettre en œuvre un plan de réponse aux cyberattaques, préétabli et régulièrement testé ;
- Penser à la stratégie de communication de crise pour informer les parties prenantes de la situation.
Ces actions doivent être adaptées à la taille et aux ressources de l’établissement. Un prestataire spécialisé en cybersécurité peut être d’une aide précieuse dans ces situations. Enfin, une déclaration à l’ANSSI et à la CNIL peut être nécessaire selon la nature de l’attaque.
La révélation que certains établissements de santé ont dû attendre jusqu’à 18 mois pour récupérer pleinement leurs systèmes opérationnels post-attaque met en perspective l’énorme impact de ces incidents sur le secteur. Cette situation soulève des questions critiques sur la préparation, la résilience et la capacité de récupération des infrastructures face aux cybermenaces.
Il est évident que, dans ce contexte, le rôle des experts en cybersécurité et des organismes comme l’ANSSI est plus crucial que jamais.
Société de conseil experte en cybersécurité et systèmes d’informations, Netsystem aide les organismes publics et entreprises de santé à se protéger des rançongiciels grâce à une politique cyber adéquate.
Notre accompagnement s’inscrit parfaitement dans la politique globale de ces organisations pour prévenir et mitiger les risques, sécuriser les données sensibles et restaurer les services essentiels post-attaque constituent un pilier fondamental de la confiance numérique et de la sécurité publique. Vous souhaitez en savoir plus ? Contactez-nous !
