Les principaux chiffres à retenir du rapport 2021 de l’Observatoire du CERT-Santé

C’est un rapport qui était très attendu dans le secteur de la santé. L’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé a publié le 21 avril 2022 son rapport sur l’année 2021. Et comme l’annonçait déjà au congrès de l’Apssis Jean-François Parguet, le fonctionnaire de sécurité des systèmes d’informations des ministères sociaux, le nombre d’incidents a pratiquement doublé entre 2020 et 2021.

Les établissements de santé déclarent le plus d’incidents de sécurité

Ainsi, 582 établissements ont déclaré 733 incidents en 2021. Une hausse liée à des incidents majeurs rencontrés par des prestataires et ayant impacté plusieurs centaines de structures des secteurs sanitaire et médico-social (40% des incidents signalés) mais également à un taux mensuel moyen de déclaration ayant augmenté de 33%, passant de 30 à 40 signalements par mois. “Le taux de déclaration reste relativement faible au regard du nombre de structures concernées par cette obligation”, note toutefois l’observatoire.

La majorité (65%) des incidents de sécurité est déclarée par les établissements de santé. Cependant, elle baisse au profit d’une nette augmentation des déclarations issues des établissements et services médico-sociaux (25% au lieu de 8% en 2020). La catégorie “Autre” est en augmentation cette année et correspond à des déclarations réalisées par des cabinets libéraux ou des GRADeS. La part des établissements publics dans la déclaration des incidents a encore augmenté en 2021. Celle des établissements privés à but lucratif a été divisée par un peu plus de 2. À noter : 97 établissements référencés OSE (opérateurs de services essentiels) ont déclaré au moins un incident en 2021.

Des incidents encore déclarés tardivement

Un nombre important de déclarations ont eu lieu en mars, août et novembre 2021. Elles sont liées à des incidents ayant touché des hébergeurs d’applications métier, avec pour conséquence l’impossibilité pour les établissements de santé d’accéder à leurs données. On compte en 2021 une moyenne de 61 déclarations par mois (31 en 2020).

Autre fait notable, le retard avec lequel les incidents sont parfois déclarés. En 2021, comme en 2020, plus de la moitié des incidents sont résolus ou en cours de résolution par la structure avant leur déclaration. Or, “il est nécessaire de déclarer un incident de sécurité au plus tôt, dès le démarrage de l’attaque, afin de prendre des mesures adaptées”, rappelait Jean-François Parguet dans une récente interview à mind Health. En revanche, la part des signalements résolus baisse en 2021, en particulier au profit d’incidents déclarés “En cours d’investigation”. Un chiffre qui pourrait témoigner de la complexité grandissante des attaques.

Typologie des compromissions

Comme en 2020, les fuites de données concernant les identifiants d’accès à distance et la compromission de comptes de messagerie ont été nombreuses. Dans certains cas, l’attaquant a été en mesure de pénétrer au sein du système d’information de la structure pour déployer un code malveillant (rançongiciel et cryptominer dans la majorité des compromissions). De même, des vulnérabilités critiques concernant la messagerie Exchange et des accès VPN (Fortinet, Pulse…) ont été publiées et ont fait l’objet d’une activité malveillante importante. De même, l’Anssi a récemment attiré l’attention sur le risque de campagnes malveillantes d’espionnage, alors que le contexte international tendu dû à la guerre en Ukraine fait craindre de nouvelles menaces. Pour alerter les acteurs du secteur, le CERT-Santé a mené plusieurs campagnes d’alertes, avec 1959 alertes envoyées en 2021 (+143 % vs 2020) à plus de 1100 structures.

Pour la moitié des incidents signalés en 2021, tout ou partie des données des applications de la structure n’étaient plus accessibles. Ces incidents avaient une origine malveillante (rançongiciels) ou non malveillante (panne de l’hébergeur). Pour 30% des signalements, les structures assurent qu’il n’y a eu aucun impact sur les données. On retrouve alors des incidents ayant pour origine des tentatives de phishing, d’intrusion sur le SI, des attaques par ingénierie sociale, la réception de fausses factures papier ou bien encore des bugs applicatifs ou une perte de la ligne téléphonique. Concernant les divulgations de données, elles sont dues en majeure partie à des vols d’identifiants de comptes d’accès à distance (VPN, RDP) et de messagerie (Webmail). Accessoirement, cette atteinte à la confidentialité des données peut être due à un vol d’équipement.

Enfin, les régions pour lesquelles le nombre de signalements est le plus important sont l’Occitanie et l’Ile-de-France avec respectivement 92 et 81 signalements. Ces deux régions représentent à elles seules plus de 24% du total des signalements. Au moins un incident a été déclaré dans chaque région.

Retrouvez l’intégralité du rapport ici.