Le cabinet PwC enregistre une augmentation de plus de 500% en un an, dans le monde, pour les cyberattaques visant des établissements de santé.
La France n'échappe pas à cette hausse vertigineuse. En effet, les attaques informatiques ont quadruplé depuis le début de la pandémie de COVID-19, avec comme cible préférentielle les réseaux de la santé. Après deux attaques qui ont paralysé les systèmes d’information et contraint les hôpitaux touchés à travailler sur papier, c’est désormais une trentaine de laboratoires français qui subissent une attaque informatique de type rançongiciel. Les données médicales confidentielles et sensibles de près de 500 000 patients auraient été dérobées puis mises en ligne sur internet.
Au total en 2020 les hôpitaux français ont fait l’objet de 27 cyber-attaques majeures.
Cette multiplication des attaques de systèmes d’information d’établissements de santé met un coup de projecteur sur l’importance de la sécurité de l’information, tout particulièrement dans le secteur de la santé compte tenu de la sensibilité des données.
Pourquoi le secteur de la santé est-il une cible de choix pour les pirates informatiques ?
- La santé connectée :
Selon Pwc, avec la 5G et les objets connectés, les attaques vont augmenter. L’augmentation de l’utilisation de l’IoT en télémédecine génèrent des quantités massives de données sur l’état de santé d’un individu et les envoient vers le cloud. Par ailleurs la multiplication des objets connectés sont autant d’options d’entrées pour les cyberpirates. Les hôpitaux sont digitalisés et très dépendants de leurs données pour travailler, ils ne peuvent pas s’arrêter. Ce qui fait d'eux une cible privilégiée pour une demande de rançon.
- Un manque de maintenance des systèmes :
Les mises à jour régulières de logiciel de protection sont aussi importantes que l’achat du logiciel. 99,9% des attaques pourraient être évitées avec une meilleure « hygiène informatique » selon PwC. Il y a par ailleurs un manque de professionnels qualifiés en matière de cybersécurité dans le secteur de la santé. Il faut aussi une équipe experte et dédié au sujet de la sécurité de l’information.
- Le facteur humain :
Comme souvent c’est le maillon faible de la chaine de sécurité. Le stress, la fatigue, le manque de vigilance ou encore le manque de formation sont autant d’éléments pris en compte par les pirates pour construire leurs attaques.
Voici quelques conseils pour vous prémunir d’une attaque dans le secteur de la santé :
- Ressources et expertises :
Il est primordial pour les prestataires de soins de santé de consacrer davantage de temps et de ressources à la protection des informations relatives aux patients. S’équiper de logiciels de protection ne suffit pas pour assurer la protection de vos données car les pirates débordent d’ingéniosité pour trouver la moindre brèche. Le plus important est donc de dédier à une équipe experte la gestion et la maintenance de votre système de sécurité pour le maintenir à jour à tout moment.
- Procédures et formation:
Élaborez des politiques et des procédures de sécurité de l'information conformes aux législations en vigueur. En vous appuyant sur le Règlement General sur La Protection des Données (RGPD) vous pouvez protéger les données de vos patients, votre réputation et surtout assurer votre mise en conformité.
Instaurez une culture de la sécurité avec des opérations de sensibilisation et de communication.
- Une vision à 360 ° des données
La destruction sécurisée des documents n'est qu'un aspect de la sécurité des données de santé et de la protection de la vie privée sur le lieu de travail. Introduisez un processus de gestion des documents qui protège les données confidentielles depuis leur création (par exemple, une politique de bureau propre, des mots de passe, une authentification à deux facteurs, des contrôles d'accès) jusqu'à leur fin de vie (établissez un partenariat avec un leader de la sécurité de l'information disposant de protocoles de chaîne de possession sécurisés pour l'élimination des disques durs et d'autres mesures de protection).
La protection des informations confidentielles n'est pas seulement une bonne pratique, c'est la loi !
Comme la plupart des industries qui traitent avec des informations sensibles et confidentielles, le secteur des soins de santé est fortement réglementé. Les lois conçues pour protéger les identités, les informations médicales, les données financières et la vie privée sont assorties de règles strictes - et de fortes amendes sont prévu en cas de violation.