Cyberattaques : le CERT Santé révèle les premiers chiffres de son bilan 2022

Mis en place en 2017 par le ministère de la Santé et de la Prévention, le CERT Santé (anciennement l’ACSS, Cellule d’Accompagnement en Cybersécurité des Structures de Santé) est une cellule dédiée au traitement des signalements des incidents de sécurité pour les systèmes d’information (SI) des structures de santé. Voici les premiers chiffres de son rapport annuel, qui devrait paraître dans les prochaines semaines.

Le bilan 2022

En matière de cybersécurité, l’année 2022 est marquée par une baisse des signalements des acteurs du monde de la santé (établissements et éditeurs principalement) sur le portail du CERT Santé (588 au total vs. 733 en 2021) mais les structures ayant déclaré au moins un incident sont beaucoup plus nombreuses (582 vs 290 en 2021). En somme, les déclarations d’incidents multiples sont moins nombreuses. 

Le CERT Santé expliquait dans son rapport 2021 l’augmentation significative des incidents par les incidents rencontrés par des prestataires de services (hébergeurs en particulier) ayant une part de marché significative. Plusieurs centaines de structures des secteurs sanitaire et médico-social (40% des incidents signalés) avaient ainsi été impactées. 

Marc Loutrel, directeur du département Expertise, Innovation et International à l’Agence du numérique en santé, fait remarquer le nombre d’incidents a ainsi baissé de 25 % en 2021, mais que 219 déclarations supplémentaires ont été faites par rapport à 2020 (369 incidents). Compte tenu de l’obligation de déclaration d’un incident cyber, qui a été étendue l’an dernier aux structures médico-sociales, les derniers chiffres correspondent à peu près, selon lui, à une stabilisation du nombre réel d’incidents.

Les causes de cette évolution

Si l’on s’intéresse plus dans le détail à la nature des incidents, 26 d’entre eux (5%) étaient des incidents “graves ou significatifs”. Ils étaient 59 en 2021 et 49 en 2020. Presque étonnamment, même si les cyberattaques russes persistent, le contexte international n’a pas fait exploser leur nombre, observe Marc Loutrel. La crise sanitaire n’est pas selon lui étrangère à la forte hausse du nombre d’incidents ces deux dernières années. “En 2020, au début de la crise sanitaire, on a demandé aux établissements de santé d’ouvrir leur SI alors qu’ils n’y étaient pas préparés. Aussi, à l’époque, ils n’étaient pas particulièrement matures en matière de cybersécurité”, note-t-il. La dynamique actuelle, sensiblement différente, serait pour lui le résultat du plan de renforcement cyber, débuté dès 2019. Ce dernier “a permis aux directeurs d’établissements de santé de prendre conscience des actions à mener. Le fait de nommer des établissements de santé OIV ou OSE (Opérateur de Service Essentiel ou Opérateur d’Importance Vitale) a influencé les choses. Légalement ils sont responsables”

La nature des incidents 

Parmi tous les incidents déclarés, 50% sont d’origine malveillante (52% en 2021). Ces derniers proviennent pour 46 % d’entre eux d’un hameçonnage ou d’un malspam, 40% d’une compromission des comptes. 27 des incidents recensés en 2022 relèvent d’une attaque par rançongiciel (59 en 2021).

Veille proactive et accompagnement

Sur toute l’année 2022, le CERT Santé a envoyé plus de 2200 alertes, qui ont concerné. Plus de 70 alertes provenant de l’Anssi ont été traitées, concernant plus de 100 structures. Le CERT Santé, qui propose un accompagnement aux structures touchées par une cyberattaque, a été sollicité par 170 structures en 2022 (vs. 189 en 2021) et a mené 101 interventions techniques d’appui (conseils techniques personnalisés, investigation numérique, remédiation,…) contre 80 en 2021. 

Les audits

Parmi les 112 audits réalisés en 2022 par le CERT Santé, 45 concernent des GHT (représentant au total 297 établissements de santé). Deux des 45 GHT audités présentaient des vulnérabilités critiques et 18 ont au moins une vulnérabilité critique. Sept seulement n’avaient ni vulnérabilité critique, ni vulnérabilité haute. 

“Deux types d’audit menés par l’Anssi, sont demandés aux établissements, précise Marc Loutrel : les active directory (menés par l’Anssi) et les audits de cybersurveillance (menés par le CERT-Santé). Ce sont les 2 types d’audit que nous demandons pour avoir une cartographie globale du niveau d’exposition au risque cyber”. 

Les actions en cours et à venir

Marc Loutrel rappelle que le plan de renforcement cyber va être mis en place dès cette année, puisqu’il est inscrit dans la feuille de route 2023-2027 de la DNS. En parallèle, ajoute-t-il, l’ANS mène des actions auprès des industriels, au travers de la vague 1 du Ségur numérique. Sans être directement liée à une problématique cyber, cette première vague a déjà permis de référencer des éditeurs dont les solutions sont sécurisées et interopérables. “La vague 2, explique Marc Loutrel, marquera une étape où des exigences de cybersécurité des SI vont être imposées aux industriels. Nous avons listé une cinquantaine d’exigences de cybersécurité pour que les industriels soient plus matures mais aussi pour aider les responsables d’établissements à avoir des logiciels avec un label qui correspond à un niveau de maturité réel. Il faut mettre ces exigences en regard de l’article 53 du PLFSS où l’ANS va jouer un rôle de régulateur, avec la mise en place de l’opposabilité. 

Autre mesure, en attente de concrétisation :  annoncée fin 2022, une task force destinée à bâtir un plan cyber pour protéger les hôpitaux doit voir le jour d’ici mars 2023. “Aujourd’hui, il s’agit de savoir comment cela elle va être pilotée”, précise Marc Loutrel qui détaille les actions qui restent encore à mener : “La prévention n’est pas le coeur de l’activité du CERT Santé mais sur cet aspect, il y a encore beaucoup à faire. Nous avons donc demandé aux établissements de créer des offres de formation et des offres plus techniques et plus liées à la remédiation suite à un incident.” 

Annoncés il y a déjà plusieurs mois, deux autres dispositifs stratégiques destinés à évaluer et à augmenter le niveau de sécurité des SI hospitaliers – l’observatoire OPSSIES et le référentiel MaturiN’H – ont pris du retard mais devraient voir le jour prochainement, selon Marc Loutrel, précisant que MaturiN’H est prévu pour juin.