Le 5 juillet, l’Agence de l’Union européenne pour la cybersécurité (European Union Agency for Cybersecurity, Enisa) a publié son premier rapport sur la cybersécurité dans le secteur de la santé. Elle a analysé 215 incidents qui ont eu lieu dans des hôpitaux, des laboratoires, des mutuelles, des organismes publics de santé ou encore des industries pharmaceutiques, entre janvier 2021 et mars 2023.
« Un nombre significatif d’incidents »
Comme le souligne le rapport « le secteur de la santé en Europe a connu un nombre significatif d’incidents ». « Les professionnels de santé représentent 53% du nombre total d’incidents » précise l’Enisa. Puis vient le secteur hospitalier avec 42% des incidents signalés, soit 89 au total (cf. Cyberattaque : un nouvel hôpital francilien pris pour cible).
Pour ce qui est de la répartition par pays, la France a connu 43 incidents (cf. France : un été de cyberattaques). Elle est loin devant l’Espagne qui a subi 25 incidents, suivie de l’Allemagne (23), des Pays Bas (20) et de l’Italie (19). La Finlande (1 incident), la Norvège et la République tchèque (2 incidents), puis l’Irlande et la Roumanie (3 incidents) sont les pays les moins touchés.
Au total, l’Union européenne a connu 91 incidents, contre 84 en 2022. Sur les trois premiers mois de 2023, elle en compte déjà 40.
L’agence européenne nuance toutefois ces chiffres qui n’impliquent pas forcément une hausse des attaques. « Une telle augmentation peut avoir lieu dans un contexte de maturation d’un secteur en matière de détection et de signalements d’incidents, ce qui peut être lié à l’effet des obligations légales de signalements d’incidents en vigueur dans l’Union européenne » explique-telle.
Les établissements de santé, des « cibles attrayantes »
Les rançongiciels (cf. En 2020, les cyberattaques par rançongiciels ont augmenté de 255 %) et les menaces liées aux données sont les deux principaux risques identifiés. La présence de données de santé dans ces établissements en fait des « cibles attrayantes pour les acteurs de la cybermenace qui profiteraient de l’opportunité pour faire de l’extorsion sous la menace de divulgation », indique l’agence européenne (cf. Cyberattaque : des données de santé de l’hôpital de Corbeil Essonne divulguées).
En 2023, l’Enisa remarque aussi la hausse des « attaques déni de service distribué ». Elles ont lieu par le biais d’un épuisement du service et de ses ressources, ou « en surchargeant les composants de l’infrastructure du réseau » précise l’agence.
Dans 40% des cas le responsable de l’incident est inconnu, note par ailleurs l’Enisa. Quant aux motivations des cybermenaces, elles sont pour 83% financières, 10% idéologiques, 1% liées à de l’espionnage, et pour 6% d’une autre nature.
Veiller à la sécurité des patients
Les données personnelles et les données de santé des patients, y compris leurs dossiers médicaux, sont les principales cibles (63 cas recensés), soit 30% des cas (cf. Essonne : après la cyberattaque, l’hôpital victime de « chantage aux données »). Les autres cibles sont les systèmes informatiques et réseaux non médicaux (26%), les systèmes d’information (23%) et les données de la structure et de son personnel (15%).
« La sécurité des patients apparaît comme une préoccupation primordiale pour la communauté de la santé » prévient l’agence européenne.
Le rapport indique également que les incidents ont eu des conséquences en matière de vol de données (43%), de services de santé perturbés (22%) (cf. Une cyberattaque paralyse une chaîne d’hôpitaux américaine) et de services non liés aux soins (26%), sans compter les pertes financières. En 2022, une étude estimait le coût médian d’un incident de sécurité majeur dans le secteur de la santé à 300 000 €.
L’agence formule enfin des recommandations à destination des professionnels de santé. Elle rappelle, notamment, que la directive Network and Information Security 2 oblige désormais les directions à s’engager pleinement sur la thématique de la cybersécurité.
Source : Hospimedia, Marie Sénéchal, 24/07/2023
