L'Agence du Numérique en Santé et le ministère de la Santé et des Solidarités, sous la responsabilité du haut fonctionnaire de défense et de sécurité (HFDS), viennent de publier l'observatoire des signalements d'incidents de sécurité des systèmes d'information pour le secteur santé pour l'année 2019. Celui-ci indique qu'en 2019, 300 établissements ont déclaré un total de 392 incidents, une proportion qui reste relativement faible par rapport aux 3000 structures concernées par l'obligation de déclaration. Toutefois, le nombre d'incidents est en hausse de 20% par rapport à 2018, où 327 incidents avaient été remontés. Si 168 incidents étaient déjà résolus au moment de leur déclaration, 83 étaient en cours de résolution et 73 en phase d'investigation. Les hôpitaux publics représentent la majorité des déclarations (74%), 12% émanant des ESPIC (établissements de santé privés d'intérêt collectif) et 14% des établissements privés à but lucratif. Le rapport estime que les chiffres du secteur privé sont sous-évalués en raison d'une sous-déclaration persistante dans celui-ci.

La majorité des incidents signalés (57%) sont d'origine non malveillante : ils proviennent notamment de pannes massives chez les opérateurs télécom (en avril et en juin), de bugs applicatifs ou de problèmes locaux (interruptions de service non programmées, dégradations physiques de l'infrastructure). Le rapport observe néanmoins une légère hausse des cyberattaques, passant à 43% des incidents remontés contre 41% en 2018. Parmi celles-ci, les attaques par rançongiciels augmentent de 40%. Le rapport précise que « ces attaques ont souvent exploité le manque de vigilance des personnels par rapport aux messages malveillants (phishing) et l'exposition sur Internet de services d'accès à distance à des systèmes insuffisamment sécurisés. » Un cloisonnement insuffisant entre les différents domaines métiers du système d'information est également évoqué comme facteur facilitant la tâche des cybermalfaiteurs.

Vigilance sur les correctifs et les contrats de sous-traitance

Dans la majorité des cas, les incidents n'ont heureusement pas eu d'impact sur les patients. Cependant, le rapport identifie tout de même 66 mises en danger potentielles, dont 5 avérées, notamment des bugs sur des logiciels gérant les prescriptions. Dans les petites structures, les incidents ont parfois débouché sur des pertes de données, en particulier pour celles dépendant de prestataires qui n'appliquaient pas les bonnes pratiques de sécurité en termes de sauvegarde et de cloisonnement des réseaux. L'observatoire relève également que des établissements de grande taille ont subi des incidents avec un impact important sur la continuité des activités, nécessitant un accompagnement de différents acteurs. L'ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Information) est notamment intervenue sur 11 incidents.

Le recensement et l'analyse des incidents ont permis d'aboutir à six grandes préconisations pour améliorer la sécurité des SI de santé : réduire la surface d'attaque ; améliorer le suivi des correctifs ; renforcer la configuration et la sécurisation des accès ; vérifier la suppression des failles web classiques (présentées dans le Top 10 OWASP) ; limiter l'indexation par les moteurs de recherche de vulnérabilités et enfin inclure des engagements sur le maintien en condition de sécurité dans les contrats passés avec les prestataires.