Mis en place en 2017 par le ministère de la Santé et de la Prévention, le CERT Santé (anciennement l’ACSS, Cellule d’Accompagnement en Cybersécurité des Structures de Santé) est une cellule dédiée au traitement des signalements des incidents de sécurité pour les systèmes d’information (SI) des structures de santé. Voici les premiers chiffres de son rapport annuel, qui devrait paraître dans les prochaines semaines.
Le bilan 2022
En matière de cybersécurité, l’année 2022 est marquée par une baisse des signalements des acteurs du monde de la santé (établissements et éditeurs principalement) sur le portail du CERT Santé (588 au total vs. 733 en 2021) mais les structures ayant déclaré au moins un incident sont beaucoup plus nombreuses (582 vs 290 en 2021). En somme, les déclarations d’incidents multiples sont moins nombreuses.
Le CERT Santé expliquait dans son rapport 2021 l’augmentation significative des incidents par les incidents rencontrés par des prestataires de services (hébergeurs en particulier) ayant une part de marché significative. Plusieurs centaines de structures des secteurs sanitaire et médico-social (40% des incidents signalés) avaient ainsi été impactées.
Marc Loutrel, directeur du département Expertise, Innovation et International à l’Agence du numérique en santé, fait remarquer le nombre d’incidents a ainsi baissé de 25 % en 2021, mais que 219 déclarations supplémentaires ont été faites par rapport à 2020 (369 incidents). Compte tenu de l’obligation de déclaration d’un incident cyber, qui a été étendue l’an dernier aux structures médico-sociales, les derniers chiffres correspondent à peu près, selon lui, à une stabilisation du nombre réel d’incidents.
Les causes de cette évolution
Si l’on s’intéresse plus dans le détail à la nature des incidents, 26 d’entre eux (5%) étaient des incidents “graves ou significatifs”. Ils étaient 59 en 2021 et 49 en 2020. Presque étonnamment, même si les cyberattaques russes persistent, le contexte international n’a pas fait exploser leur nombre, observe Marc Loutrel. La crise sanitaire n’est pas selon lui étrangère à la forte hausse du nombre d’incidents ces deux dernières années. “En 2020, au début de la crise sanitaire, on a demandé aux établissements de santé d’ouvrir leur SI alors qu’ils n’y étaient pas préparés. Aussi, à l’époque, ils n’étaient pas particulièrement matures en matière de cybersécurité”, note-t-il. La dynamique actuelle, sensiblement différente, serait pour lui le résultat du plan de renforcement cyber, débuté dès 2019. Ce dernier “a permis aux directeurs d’établissements de santé de prendre conscience des actions à mener. Le fait de nommer des établissements de santé OIV ou OSE (Opérateur de Service Essentiel ou Opérateur d’Importance Vitale) a influencé les choses. Légalement ils sont responsables”
La nature des incidents
Parmi tous les incidents déclarés, 50% sont d’origine malveillante (52% en 2021). Ces derniers proviennent pour 46 % d’entre eux d’un hameçonnage ou d’un malspam, 40% d’une compromission des comptes. 27 des incidents recensés en 2022 relèvent d’une attaque par rançongiciel (59 en 2021).
Sur toute l’année 2022, le CERT Santé a envoyé plus de 2200 alertes, qui ont concerné. Plus de 70 alertes provenant de l’Anssi ont été traitées, concernant plus de 100 structures. Le CERT Santé, qui propose un accompagnement aux structures touchées par une cyberattaque, a été sollicité par 170 structures en 2022 (vs. 189 en 2021) et a mené 101 interventions techniques d’appui (conseils techniques personnalisés, investigation numérique, remédiation,…) contre 80 en 2021.
Les audits
Parmi les 112 audits réalisés en 2022 par le CERT Santé, 45 concernent des GHT (représentant au total 297 établissements de santé). Deux des 45 GHT audités présentaient des vulnérabilités critiques et 18 ont au moins une vulnérabilité critique. Sept seulement n’avaient ni vulnérabilité critique, ni vulnérabilité haute.
“Deux types d’audit menés par l’Anssi, sont demandés aux établissements, précise Marc Loutrel : les active directory (menés par l’Anssi) et les audits de cybersurveillance (menés par le CERT-Santé). Ce sont les 2 types d’audit que nous demandons pour avoir une cartographie globale du niveau d’exposition au risque cyber”.