Tél : 02.78.77.53.86 hello@avantdecliquer.com

Cyberattaque dans le domaine de la santé : quelques chiffres

Les cyberattaques quelles qu’elles soient touchent les organisations de tous secteurs d’activité. Leur coût moyen augmente considérablement chaque année. Ils sont passés de 9000€ par entreprise en 2019 pour atteindre 52 100€ euros en 2020. (source : bayvet-basset.com)

Inévitablement, le monde de la santé n’est pas épargné : rançongiciel, phishing, spear phishing … En 2016 et 2017, plusieurs cyberattaques ont ciblé près d’un tiers des hôpitaux d’Angleterre. Par exemple, Wannacry a touché 300 000 ordinateurs dans 150 pays. Ces actes malveillants ont coûté près de 100 millions de livres (environ 115 millions d’euros) au service national de la santé, entraînant l’annulation de 19 000 rendez-vous. (source : le ministère de la Santé britannique).

En France, beaucoup d’établissements furent aussi touchés, notamment ceux de Villefranche-sur-Saône et de Dax en février dernier ou encore Oloron-Sainte-Marie en mars. Cela a entraîné la mise à l’arrêt du fonctionnement de l’hôpital, l’annulation de la prise de rendez-vous, de certains examens médicaux ou encore le blocage de l’accès aux systèmes informatiques et communications téléphoniques.

Un Etablissement Médico Social Suisse a aussi été contraint de payer une rançon à des cybercriminels par exemple.

Par ailleurs, d’autres secteurs de la santé sont victimes de cyberattaques. Récemment le secteur pharmaceutique avec le groupe Pierre Fabre à la fin du mois de mars 2021. (source : siecledigital.fr) 

Ou encore la plateforme Doctolib en juillet 2020, victime d’un vol d’informations administratives représentant 6128 rdv médicaux. (source : usine-digitale.fr)

Le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) indique que des attaques plus sérieuses suivent « désormais le rythme d’une par semaine » et ajoute « Nous sommes obligés de réagir, il s’agit d’une question d’éthique lorsque des hôpitaux sont touchés ».

Pourquoi le secteur de la santé est-il visé ?

Contrairement aux OIV (Opérateurs d’Importance Vitale), les hôpitaux n’ont pas la même criticité pour l’ANSSI et ne sont pas contraints de protéger leur système informatique.

Le milieu de la santé est en état de tension permanent dû aux manques de moyen matériel, financier mais aussi plus particulièrement depuis la pandémie mondiale. En touchant le milieu hospitalier, des établissements relativement critiques, les cybercriminels touchent une corde sensible auprès de pays tout entier et s’imaginent qu’il est plus facile d’y extorquer une rançon.

Les Responsables des Systèmes Informatiques (RSSI) et Directeurs des Systèmes d’Informations (DSI) ont un rôle à jouer considérable au sein de leurs organismes en sensibilisant leurs équipes à la problématique du phishing, car depuis l’entrée en vigueur du Règlement Générale sur la Protection des Données, les établissements se doivent de mieux protéger leurs systèmes d’informations.

Une cyberattaque dans le milieu de la santé coûte extrêmement cher à plusieurs niveaux :

  • les vies humaines menacées lorsque tout le matériel informatique est à l’arrêt. 
  • le report de certaines interventions, faute d’un rapide retour à la normale.
  • le temps perdu lié au retour du papier/stylo, puis pour tout numériser une fois le système restauré.
  • dans certains cas, le coût d’une restauration système.
  • la complication de la gestion des stocks de médicaments par exemple qui est informatisée.
  • sans compter la rançon demandée (50 000 dollars en bitcoins pour l’hôpital d’Oloron dans les Pyrénées Atlantiques). 

Le montant d’une cyberattaque, au niveau humain, matériel ou financier est très difficile à mesurer exactement. Les malfaiteurs peuvent continuer de nuire même après le rétablissement des systèmes. Les données collectées peuvent être utilisées des mois ou années plus tard contre les établissements de santé voire même les usagers. 

C’est pourquoi Avant de Cliquer aide les établissements de santé à se protéger du phishing, étant membre de l’APSSIS nous accordons une grande importance à la protection de vos données de santé.