Cybersécurité : la France est le pays européen qui a connu le plus d’incidents

Publié le 25 Juil, 2023

Le 5 juillet, l’Agence de l’Union européenne pour la cybersécurité (European Union Agency for Cybersecurity, Enisa) a publié son premier rapport sur la cybersécurité dans le secteur de la santé. Elle a analysé 215 incidents qui ont eu lieu dans des hôpitaux, des laboratoires, des mutuelles, des organismes publics de santé ou encore des industries pharmaceutiques, entre janvier 2021 et mars 2023.

« Un nombre significatif d’incidents »

Comme le souligne le rapport « le secteur de la santé en Europe a connu un nombre significatif d’incidents ». « Les professionnels de santé représentent 53% du nombre total d’incidents » précise l’Enisa. Puis vient le secteur hospitalier avec 42% des incidents signalés, soit 89 au total (cf. Cyberattaque : un nouvel hôpital francilien pris pour cible).

Pour ce qui est de la répartition par pays, la France a connu 43 incidents (cf. France : un été de cyberattaques). Elle est loin devant l’Espagne qui a subi 25 incidents, suivie de l’Allemagne (23), des Pays Bas (20) et de l’Italie (19). La Finlande (1 incident), la Norvège et la République tchèque (2 incidents), puis l’Irlande et la Roumanie (3 incidents) sont les pays les moins touchés.

Au total, l’Union européenne a connu 91 incidents, contre 84 en 2022. Sur les trois premiers mois de 2023, elle en compte déjà 40.

L’agence européenne nuance toutefois ces chiffres qui n’impliquent pas forcément une hausse des attaques. « Une telle augmentation peut avoir lieu dans un contexte de maturation d’un secteur en matière de détection et de signalements d’incidents, ce qui peut être lié à l’effet des obligations légales de signalements d’incidents en vigueur dans l’Union européenne » explique-telle.

Les établissements de santé, des « cibles attrayantes »

Les rançongiciels (cf. En 2020, les cyberattaques par rançongiciels ont augmenté de 255 %) et les menaces liées aux données sont les deux principaux risques identifiés. La présence de données de santé dans ces établissements en fait des « cibles attrayantes pour les acteurs de la cybermenace qui profiteraient de l’opportunité pour faire de l’extorsion sous la menace de divulgation », indique l’agence européenne (cf. Cyberattaque : des données de santé de l’hôpital de Corbeil Essonne divulguées).

En 2023, l’Enisa remarque aussi la hausse des « attaques déni de service distribué ». Elles ont lieu par le biais d’un épuisement du service et de ses ressources, ou « en surchargeant les composants de l’infrastructure du réseau » précise l’agence.

Dans 40% des cas le responsable de l’incident est inconnu, note par ailleurs l’Enisa. Quant aux motivations des cybermenaces, elles sont pour 83% financières, 10% idéologiques, 1% liées à de l’espionnage, et pour 6% d’une autre nature.

Veiller à la sécurité des patients

Les données personnelles et les données de santé des patients, y compris leurs dossiers médicaux, sont les principales cibles (63 cas recensés), soit 30% des cas (cf. Essonne : après la cyberattaque, l’hôpital victime de « chantage aux données »). Les autres cibles sont les systèmes informatiques et réseaux non médicaux (26%), les systèmes d’information (23%) et les données de la structure et de son personnel (15%).

« La sécurité des patients apparaît comme une préoccupation primordiale pour la communauté de la santé » prévient l’agence européenne.

Le rapport indique également que les incidents ont eu des conséquences en matière de vol de données (43%), de services de santé perturbés (22%) (cf. Une cyberattaque paralyse une chaîne d’hôpitaux américaine) et de services non liés aux soins (26%), sans compter les pertes financières. En 2022, une étude estimait le coût médian d’un incident de sécurité majeur dans le secteur de la santé à 300 000 €.

L’agence formule enfin des recommandations à destination des professionnels de santé. Elle rappelle, notamment, que la directive Network and Information Security 2 oblige désormais les directions à s’engager pleinement sur la thématique de la cybersécurité.

 

Source : Hospimedia, Marie Sénéchal, 24/07/2023

 

Partager cet article

[supsystic-social-sharing id='1']

Synthèses de presse

Avortement : le fœtus a « un droit fondamental à la vie » selon la Cour suprême indienne
/ IVG-IMG

Avortement : le fœtus a « un droit fondamental à la vie » selon la Cour suprême indienne

Dans une décision du 15 mai, la Cour suprême indienne a rejeté la demande d’avortement d’une femme de 20 ans ...
Des paralytiques retrouvent l’usage de leurs mains grâce à un dispositif de stimulation externe
/ Transhumanisme

Des paralytiques retrouvent l’usage de leurs mains grâce à un dispositif de stimulation externe

A l’aide d’un dispositif de stimulation non invasive de la moelle épinière des personnes paralysées ont retrouvé l’usage de leurs ...
neurons-582050_640

Des organoïdes de cerveau plus réalistes

Des chercheurs ont fabriqué des organoïdes composés de quatre types différents de cellules cérébrales quand d'autres sont parvenus à reproduire ...

Textes officiels

Fiches Pratiques

Bibliographie

Lettres