Le champ de la santé reste « un secteur hautement critique » pour les cyber attaques, qui peuvent avoir un impact considérable sur l’activité. Dans ce contexte, les établissements de santé sont les premiers visés. L’Agence nationale de sécurité des systèmes d’information (Anssi) dresse un état des lieux, à partir des incidents déclarés, et présente 12 recommandations de sécurité. Synthèse des auteurs.
Le secteur de la santé est un secteur hautement critique, qui intègre une typologie d’acteurs variée allant des acteurs liés à la gestion du système de santé, aux prestataires de soins, en passant par les industriels de produits de santé et les fournisseurs et prestataires pour le secteur de la santé. Les attaques informatiques qui l’affectent peuvent engendrer des conséquences significatives en termes de disponibilité, d’intégrité, de confidentialité et de traçabilité pour les services fournis et les données hébergées, pouvant aller jusqu’à la mise en danger de la vie humaine. Le secteur constitue ainsi une cible de choix pour divers acteurs de la menace opérant à des fins lucratives, de déstabilisation ou encore d’espionnage.
La part des incidents et signalements en lien avec le secteur de la santé et traités par l’ANSSI n’a cessé d’augmenter depuis l’année 2020, marquée par début de la crise sanitaire liée à la Covid-19. Ils sont ainsi passés de 2,87% en 2020 à 11,4% en 2023. Entre janvier 2022 et décembre 2023, la majorité des incidents et signalements liés au secteur concernaient notamment des établissements de santé. Les particularités de leurs systèmes d’information ainsi que les contraintes structurelles qui les affectent tendent en effet à favoriser leur ciblage.
Cet état de la menace s’accompagne de 12 recommandations de sécurité, qui se déclinent à différents niveaux :
• Sécurité des ressources humaines
– sensibiliser les collaborateurs ;
• Gestion des risques
– réaliser une cartographie de son système d'information (SI) et de son environnement ;
– mener une analyse de risque ;
• Acquisition, développement et maintenance
– inclure des exigences de sécurité dans les cahiers des charges ;
• Architecture
– mettre en œuvre une passerelle d'interconnexion à Internet ;
– cloisonner et filtrer les différents systèmes d'information ;
– protéger les données par mécanisme cryptographique ;
• Gestion des identités et des accès
– identification unique des utilisateurs ;
– protéger les données d'authentification ;
– limiter les droits d'accès aux ressources du SI ;
– limiter les droits d'accès aux données sensibles ;
• Gestion des vulnérabilités
– durcir la configuration des équipements ;
– maintenir à jour le SI ;
• Journalisation et détection de sécurité
– utiliser une solution de protection contre les logiciels malveillants ;
– centraliser les journaux d'événements et les alertes des capteurs de sécurité ;
– maintenir à jour les règles de détection ;
• Résilience du système d’information
– définir un plan de reprise d'activité (PRA) et un plan de continuité d'activité (PCA) ;
– assurer la sauvegarde des données ;
– mettre en œuvre un plan de réponse aux cyberattaques.
• Secteur de la santé – État de la menace informatique, Cert-FR (, ANSSI, à télécharger en pdf
