Cybersécurité et Santé

Dans le monde moderne, nous faisons face à un accroissement rapide des technologies digitales (BlockChain, IA…), celles-ci facilitent le transfert de données et donne une agilité dans leur gestion.
Cependant, toutes technologies qu’elles soient nouvelles ou anciennes sont sujettes à des risques de piratages et des violations de protections.

La cybersécurité regroupe la protection des datas (données) dans des conditions optimales et sécurisées contre les « cybercriminels ». Toutes activités personnelles ou professionnelles sont soumises aux risques d’attaques par ces individus malveillants pour des phishing ou des usurpations d’identité.

Quelques mécanismes de défenses sont possibles outre les classiques antivirus et VPN (réseau privé virtuel), il faut imposer des processus d’identification et des chiffrements données / connexions et des dispositifs de récupération rapides des données sensibles en cas de problèmes techniques (Sage, 2020)1.

Depuis le 1er octobre 2017, les structures de santé doivent relayer aux agences régionales de santé (ARS) les incidents de sécurité « graves » et « significatifs », et l’ANS doit apporter un appui au traitement des incidents au travers de sa cellule ACSS (Accompagnement Cybersécurité des Structures de Santé).

En France, l’ANSM établit des recommandations et surveille les moindres fuites de données patients :

« L’ANSM (Agence nationale de sécurité du médicament et des produits de santé) vient de d’ouvrir à la consultation publique un projet de guide de recommandations à destination des fabricants de dispositifs médicaux (DM). Ce guide a pour but d’intégrer des considérations de cybersécurité lors de la conception et du développement de tels dispositifs. En effet, ceux-ci sont de plus en plus interconnectés et leur exposition à différentes attaques informatiques augmente en conséquence, mettant en danger la santé des patients ainsi que la confidentialité de leurs données.

L’ANSM a constaté que si les dispositifs médicaux sont très encadrés par des réglementations, le niveau de maturité sur le plan de la cybersécurité des différents fabricants reste par contre très hétérogène. Ainsi, le projet de guide aborde les sujets de contrôle d’accès, de gestion des authentifications, de la sécurité physique, des interconnexions réseaux ou encore de la journalisation. » (ANSM, 2019)2
D’après l’ANS (ex-Asip santé), en 2019, il y a une hausse de plus de 20% d’incidents signalés dans les établissements de santé.

« Le nombre total de déclaration reste encore faible au regard du nombre de structures concernées par l’obligation de déclaration (plus de 3.000) et la probabilité qu’au moins la moitié des structures concernées a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année », signale l’ANS.

La majorité a été signalé par des établissements de santé (333), puis par les Ehpad (24). Le reste est réparti entre les laboratoires de biologie médicale (3), les centres de radiothérapie (4) et les autres structures (28): pharmacies, cabinets libéraux, établissements publics du secteur médico-social.

Ces pannes affectent les services hébergés par l’établissement (dossiers patient informatisés, résultats de laboratoires…), mais aussi les services de téléphonie. « Les structures disposent souvent de modes dégradés de fonctionnement concernant l’accès aux données via Internet, mais plus rarement en ce qui concerne la téléphonie (à l’exception de la régulation des appels pour les services d’urgence), ce qui peut impacter fortement la coordination des soins« , souligne l’ANS (Léo Caravagna, 2020)3

Les établissements de santé font face à des défis opérationnels et budgétaires quotidiennes, les tentatives de cyberattaques ont été elles en augmentation ces dernières années. Outre l’impact du chiffrage sur la balance financière des établissements, c’est la nature même de la menace qui évolue avec des attaques, qui exploitent les impacts organisationnels : mise en place du télétravail, diminution de la disponibilité des compétences en sécurité informatique et vigilance des acteurs détournés vers d’autres enjeux. La crise sanitaire tend à s’atténuer, cependant beaucoup d’établissements de santé vont devoir de manière durable transformer leurs organisations et leurs pratiques pour une protection pérenne (Rédaction Weka 2020)4.

L’ Interpol a publié un rapport présentant une augmentation des cyberattaques durant la pandémie COVID-19. L’analyse montre que les « cyberattaquants » s’adaptent à la situation actuelle, on remarque l’utilisation des thèmes de COVID-19 pour le phishing et la fraude en ligne depuis le début de l’épidémie.
Il semblerait que des attaques par « rançongiciel » ont visé des infrastructures stratégiques (banques, ministères…) et des établissements de santé, notamment en Europe. Ces structures sont ciblées non seulement pour en tirer des avantages financiers, mais aussi pour les fragiliser puisqu’elles possèdent des données sensibles.

Les attaques étaient adaptées au marché de la santé, car certaines adresses électroniques de fournisseurs ou de clients ont été usurpées pour détourner des fonds importants liées aux demandes de matériaux de soins (masques, blouses, gants…). Le rapport montre également un accroissement d’hameçonnage avec usurpations d’identité des entités gouvernementales liées à la santé (fausses recommandations, demandes de données patients, ou installation de malware).

Interpol invite les pays membres à lui transmettre les informations sur les attaques récentes. Elles lui permettront d’identifier précisément les tendances émergentes et de partager les modes opératoires criminels via son réseau mondial. Grace à ces informations, Interpol pourra aider les pays membres à définir et à appliquer une réponse adéquate (Interpol, 2020)5.

Sources :
1-Cybersécurité : Définition de la cybersécurité, Sage, consulté en ligne le 25/08/2020, https://www.sage.com/fr-fr/blog/glossaire/cybersecurite-definition-de-la-cybersecurite/
2- Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie, ANSM, juillet 2019, consulté en ligne le 25/08/2020, https://www.cyberveille-sante.gouv.fr/cyberveille-sante/1370-lansm-met-en-consultation-publique-un-projet-de-guide-sur-la-cybersecurite.
3- Cybersécurité: +20% d’incidents signalés en 2019 par les établissements de santé (ANS), Léo Caravagna, 22/07/2020, consulté en ligne le 26/08/2020, https://www.ticsante.com/story/5266/cybersecurite-20-d-incidents-signales-en-2019-par-les-etablissements-de-sante-(ans).html.
4- Cybersécurité et RGPD, les oubliés de la crise sanitaire !, Rédaction Weka, 08/07/2020, consulté en ligne le 26/08/2020, https://www.weka.fr/actualite/sante/article/cybersecurite-et-rgpd-les-oublies-de-la-crise-sanitaire-105359/.
5- [MONDE] INTERPOL PUBLIE UN RAPPORT SUR L’ÉVOLUTION DE LA CYBERCRIMINALITÉ PENDANT CETTE PÉRIODE DE PANDÉMIE , Interporl, Août 2020, consulté en ligne le 26/08/2020, https://www.cyberveille-sante.gouv.fr/cyberveille-sante/1985-monde-interpol-publie-un-rapport-sur-levolution-de-la-cybercriminalite.