Cybersécurité : les actes de malveillance en hausse de 17 %

En 2021, la cellule ACSS (Accompagnement en Cybersécurité des Structures de Santé) est rebaptisée le CERT santé.  Le rapport publié le 28 avril dernier, indique qu’en 2020, 369 incidents ont été déclarés par 250 établissements (contre respectivement 392 incidents et 300 établissements en 2019) au CERT santé. Cette baisse de 5,9 % est cependant à rapprocher du plus faible nombre d’établissements ayant fait une déclaration en 2020 (-16 %). Selon l’observatoire, cette baisse des déclarations pourrait être liée à la gestion de la crise Covid 19. Cependant, le taux de déclaration reste faible au regard du nombre de structures concernées par l’obligation de déclaration. L’observatoire estime que sur 3 000 établissements, environ la moitié a dû connaître un incident ayant impacté son système d’information. Parmi les 250 structures ayant déclaré un incident, 39 en ont déclaré plus de deux. Tout ou partie des données présentes sur le SI a été impacté dans la moitié des cas, et les données de santé à caractère personnel sont visées dans 79 % de ces événements. Face à ces situations, 45 % des établissements ont dû fonctionner en mode dégradé. Par ailleurs, la part des hôpitaux publics dans les signalements est toujours très élevée : elle représente 75 % de l’ensemble des établissements de santé.

Fait notable, la part des incidents d’origine malveillante est en constante augmentation depuis trois ans, passant de 41 % en 2018 à 60 % en 2020. Deux catégories regroupent à elles seules plus de la moitié des actes malveillants et augmentent nettement en un an : la  compromission d’un système d’information (+125 %) et les logiciels malveillants/virus (+44 %). Également préoccupante par sa forte progression (+228 %), la typologie “message électronique malveillant”.

Tendance de fond déjà repérée en 2019, la croissance significative des attaques par maliciels se confirme. Selon le rapport, elles représentent presque 25 % des incidents déclarés en 2020, dont plus de la moitié sont des rançongiciels. Les structures ont été victimes de variantes de rançongiciels connus comme Ranion, Dharma et Sodinokibi ou encore Magneto et Snake. Le rapport précise que “la technique du phishing constitue encore en 2020 un vecteur d’attaque privilégié pour déployer un code malveillant sur un système ciblé. Le manque de vigilance ou la négligence est souvent à l’origine de la compromission”. Le rapport souligne à ce propos que les solutions antivirales du marché n’ont pas détecté certains rançongiciels, ce qui signifie que les SI ne devraient pas axer leur protection sur ce seul outil de sécurité.

Également significative, l’augmentation de la compromission des accès à distance, “que ce soit par l’exploitation de vulnérabilités critiques présentes sur des équipements non mis à jour, ou le vol de mots de passe de comptes d’accès. C’est souvent par ce canal que les attaquants accèdent au SI interne pour ensuite déployer un code malveillant”. » Cette évolution est en partie explicable par l’utilisation accrue des accès à distance avec la pandémie et par des failles de SI trop exposées sur Internet.