Le renforcement du niveau de sécurité numérique des acteurs du secteur santé est une priorité pour le ministère des Solidarités et de la Santé. Concernant la sécurité opérationnelle, l’Agence du numérique en santé (ANS) joue un rôle central, en particulier depuis l’intégration du CERT Santé, Service d’appui à la gestion des cybermenaces, au sein de l’InterCERT-FR en janvier 2021. Le rapport 2021 de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé dresse un état des lieux qui suscite la cybervigilance de tous.
Voilà ce que l’on peut lire en préambule de ce rapport 2021. « Aujourd’hui plus que jamais, la mobilisation de tous les acteurs, directions, experts techniques et professionnels de santé est nécessaire afin de parer aux menaces de cybercriminalité qui s’intensifient dans un contexte général instable« .
En effet,l’année 2021 a été marquée par de nombreux incidents majeurs liés à des attaques par rançongiciel (CH de Dax, Villefranche-sur-Saône ou Arles) mais aussi à l’exfiltration massive de données (AP-HP et encore récemment la CNAM ). Il n’y a pas eu cependant à ce jour d’attaque coordonnée visant à désorganiser fortement le système de soins français. En 2021, le CERT Santé, qui assure également la mission de prévention et d’alerte face aux menaces de cybersécurité auprès des établissements santé et services médico-sociaux, a géré le double de déclarations d’incident (733) par rapport à 2020. Cette augmentation s’explique en partie par les incidents rencontrés par des prestataires de services (hébergeurs en particulier) ayant une part de marché significative. Plusieurs centaines de structures des secteurs sanitaire et médico-social (40% des incidents signalés) ont ainsi été impactées.
« Il est nécessaire de rappeler à toutes les structures de santé l’obligation de déclaration des incidents de sécurité, en particulier dans les régions où le nombre de signalements rapporté à l’activité hospitalière est faible ».
Le nombre moyen mensuel de déclaration a lui aussi augmenté de 33%, même s’il reste relativement faible au regard du nombre de structures concernées par cette obligation de déclaration. La déclaration des établissements et services médico-sociaux est en forte hausse (multipliée par 4) par rapport à 2020, en particulier pour les établissements accueillant des personnes en situation de handicap, ce qui atteste de leur bonne compréhension de l’extension du dispositif à leur secteur d’activité.
Et le rapport de rappeler qu’avec le Ségur du numérique en santé et France Relance, le ministère des Solidarités et de la Santé, avec l’appui opérationnel de l’Agence du Numérique en Santé (ANS), et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont investi massivement dans l’amélioration de la sécurité des systèmes d’information de santé. La collaboration entre l’ANS et l’ANSSI en matière d’alerte et de réponse à incident s’est accentuée en 2021. Les deux agences œuvrent en synergie pour aider les acteurs à gagner en maturité et atteindre un niveau de résilience collective indispensable pour surmonter une attaque de grande ampleur. Depuis le début de l’année 2022, le CERT Santé renforce son accompagnement et améliore les outils mis au service des établissements et acteurs de la santé et du médico-social pour les aider à développer leur capacité à faire face à une menace toujours plus complexe.
« Parmi les 80 mises en danger patient de cette année 2021 (11% du nombre total d’incidents), 5 incidents ont entrainé une mise en danger patient avérée. »
Synthèse de l’activité en 2021 - En 2021, 582 établissements ont déclaré 733 incidents, soit pratiquement le double par rapport à 2020. - 52%, c’est le pourcentage en 2021 des incidents qui ont une origine malveillante. Ce chiffre a diminué de 8% depuis l’année précédente. - La déclaration des ESMS (Établissement ou service social ou médico-social) est en forte hausse (multiplié par 4) par rapport à 2020,en particulier pour les établissements accueillant des personnes en situation de handicap. - Durant cette année,des établissements et des prestataires (en particulier du secteur médico-social) ont subi des sinistres majeurs à la suite d’une attaque par rançongiciel. - Le nombre de structures ayant formulé une demande d’accompagnement a doublé en 2021. - Comme en 2020, les fuites de données concernant les identifiants d’accès à distance et la compromission de comptes de messagerie ont été nombreuses.Dans certains cas, l’attaquant a été en mesure de pénétrer au sein du SI de la structure pour déployer un code malveillant (rançongiciel et cryptominer dans la majorité des compromissions). - La majorité (65%) des incidents de sécurité est déclarée par les établissements de santé. Cependant,elle baisse au profit d’une nette augmentation des déclarations issues des établissements et services médico-sociaux(25%au lieu de 8% en 2020). - 72 : c’est le nombre de structures ayant déclaré plus de 2 incidents durant l’année 2021 sur 582 structures au total. 14 d’entre elles ont signalé au moins quatre incidents. - 52%, c'est le pourcentage de structures qui ont été contraintes de mettre en place en 2021 un fonctionnement en mode dégradé du système de prise en charge des patients (7% de plus qu’en 2020). - 60% , c'est le pourcentage de structures indiquant que l’incident a eu un impact sur des données, qu’elles soient à caractère personnel, techniques ou relatives au fonctionnement de la structure. - Parmi les 80 mises en danger patient de cette année 2021 (11% du nombre total d’incidents), 5 incidents ont entrainé une mise en danger patient avérée.
• Rapport de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé – Rapport public 2021 (PDF)
