Cyberattaques : +20 % d'incidents déclarés par les établissements de santé en 2019

Par

Publié le 24/07/2020

Article réservé aux abonnés

Crédit photo : Phanie

La déclaration des incidents informatiques par les établissements de santé est en hausse de 20 % en 2019 par rapport à l'année précédente, relève l'Agence numérique de santé (ANS) dans son rapport publié le 10 juillet.

Plus précisément, 400 incidents informatiques ont été signalés au ministère de la Santé par 300 établissements via le dispositif de déclaration « cyberveille-sante.gouv.fr » déclenché en 2017.

Les demandes de rançons augmentent

Dans le détail (voir graphique ci-dessous), 43 % des incidents sont d'origine malveillante, en légère hausse par rapport à 2018 (41 %). L'ANS observe une croissance significative des attaques par rançongiciels (+40 %) des structures de santé de petite ou grande taille. La technique du « phishing » par mail ou site Web suspect constitue le vecteur privilégié pour déployer un code malveillant dans les logiciels informatiques et récupérer des données. Les attaques ciblent des failles de sécurité.

L'ANS note que « le montant de la rançon n’est pas précisé systématiquement dans le message de l’attaquant. Il est demandé de plus en plus fréquemment à la structure de prendre contact avec une adresse mail ». Selon les signalements, les montants demandés étaient en moyenne « d'une dizaine de milliers d’euros ». L'ANS ajoute que deux structures du secteur privé ont payé la rançon demandée pour récupérer leurs données, sans en dévoiler l'identité.

A contrario, 57 % des incidents sont d'origine non malveillante. Les plus courantes sont les coupures Internet et de téléphone qui affectent le fonctionnement des logiciels : dossiers patients, télétransmissions de scanners, accès à des résultats de biologie, flux avec l’EFS, messagerie, etc. « De nombreuses structures ont signalé une interruption de services de plus de 4 heures et quelques-unes de plus d’une journée », déclare l'ANS.

D'autres incidents se concentrent sur les bugs de logiciels, notamment d'aide à la prescription et de dispensation ayant mené à des erreurs de prescriptions, ou sur les bugs d'accès au dossier patient informatisé. Soixante-six déclarations indiquaient une mise en danger potentielle de patients (ex. : une patiente n'a pas reçu la totalité de son traitement personnel pendant 10 jours, entraînant une détresse respiratoire grave sur œdème aigu pulmonaire ; surdosage d’insuline et surdosage de traitement anticoagulant).

En tout, 70 incidents ont demandé un accompagnement spécifique de la cellule cybersécurité en santé (ACSS - ANS) et 14 incidents ont été suivis de près par le fonctionnaire de sécurité des systèmes d'information (FSSI).

Pour la moitié des signalements, l’incident était déjà résolu par la structure lors de sa déclaration, que ce soit en 2018 ou 2019. Dans 21 % des cas, l'origine de l'incident n'a pas été identifiée. Les régions d'Occitanie et l'Auvergne-Rhône-Alpes concentrent 48 % des déclarations. Les établissements de santé publics déclarent le plus d'incidents, devant les ESPIC, les EHPAD ou encore les pharmacies et les cabinets de libéraux (voir graphique ci-dessous).

Le Covid-19 n'a pas arrêté la cybercriminalité. Mi-juin 2020, la cellule ACSS faisait état de 121 signalements d’incidents, notamment à l'AP-HP, l'AP-HM et Toulouse, ainsi que 39 demandes d’accompagnement de la part d’établissements de santé. À la même période, les sénateurs alertaient déjà sur le sous-investissement chronique des établissements dans la sécurité informatique et réclamaient des moyens supplémentaires.