Cybersécurité : hausse de 20 % des incidents déclarés par les structures de santé en 2019

392 déclarations d’incidents provenant de 300 établissements ont été recensées par l’Observatoire des signalements d’incidents de sécurité des systèmes d’information (SI) pour le secteur santé pour l’année 2019. Publié le 10 juillet 2020, il révèle une augmentation de 20 % par rapport à 2018, tout en estimant que le nombre de déclarations ne reflète pas la réalité : “le nombre total de déclarations reste encore faible au regard du nombre de structures concernées par l’obligation de déclaration (plus de 3 000) et la probabilité qu’au moins la moitié des structures concernées a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année”. Depuis le 1er octobre 2017, les établissements de santé doivent déclarer les incidents de sécurité des SI, en application de l’article L. 1111-8-2 du code de la santé publique. Au sein de l’Agence du numérique en santé (ANS), la cellule Accompagnement cybersécurité des structures de santé (ACSS) intervient auprès des établissements. En 2019, 70 demandes d’accompagnement ont résulté des 392 déclarations d’incidents. Et certaines structures ont enregistré plusieurs incidents en 2019. Elles sont 55 à en avoir connu plus de deux, dont sept avec plus de quatre incidents en 2019.

Légère augmentation des incidents d’origine malveillante

“En 2019, le nombre d’incidents d’origine malveillante est en légère augmentation (43 %), par rapport à 2018 (41 %). On constate une croissance significative des attaques par rançongiciels (+ 40 %) des structures de santé”, signale le rapport. Avant d’ajouter : “Certaines structures de petite taille, souvent dépendantes d’un prestataire ne mettant pas en oeuvre les bonnes pratiques de cloisonnement des réseaux et de gestion des sauvegardes, ont perdu une grande partie de leurs données à la suite d’une attaque”. L’observatoire pointe également le recours plus important aux structures d’accompagenement, dans 20 % des déclarations. “Les accompagnements sont en général demandés lors d’incidents ayant un impact important sur la structure. La principale demande d’appui concerne la gestion des attaques virales et la compromission des systèmes”, souligne l’observatoire. Ainsi, l’Anssi (Agence nationale de sécurité des système d’information) a été sollicitée 11 fois en 2019, contre deux l’année précédente. Et huit alertes ont fait l’objet d’une alerte via le CORRUSS (Centre opérationnel de réception et de régulation des urgences sanitaires et sociales) de la direction générale de la santé (DGS), notamment pour “des dysfonctionnements de logiciels de prescription ayant entraîné une suspicion de surdosage ou encore la production de prescriptions erronées”.

L’observatoire révèle que 40 % des structures ont été “contraintes à mettre en place en 2019 un fonctionnement en mode dégradé du système de prise en charge des patients”, avec 66 mises en danger potentiels de patients (contre 35 en 2018). De plus, le rapport montre une forte augmentation du nombre de cas avec une perte de données ou une impossibilité d’y accéder : 175 en 2019 contre 127 en 2018. De même, les incidents avec une divulgation ou un accès non autorisé à des informations à caractère personnel ont augmenté, passant de 19 en 2018 à 46 en 2019. Face à ces incidents, la cellule ACSS rappelle six axes d’amélioration : “réduire les surfaces d’attaques, améliorer le suivi des correctifs, renforcer la configuration et la sécurisation des accès, vérifier la suppression des failles web classiques, limiter l’indexation par les moteurs de recherche de vulnérabilité et inclure des engagement sur le maintien en condition de sécurité des équipements gérés par des prestataires”.