D’après les chiffres publiés par l’Agence du numérique en santé (ANS) dans son observatoire, 392 incidents de « sécurité des systèmes d’information (SI) » ont été déclarés en 2019 « par 300 établissements ». « Soit une augmentation de 20% par rapport à 2018. » Et chaque région a déclaré « au moins un incident ». Des incidents qui, selon l’agence, ont eu parfois « des conséquences importantes sur la prise en charge des patients ». En effet, « la perte de l’accès à Internet (perte du lien télécom) “constitue l’incident le plus fréquent” », et « cette perte peut fortement impacter le fonctionnement des activités métiers des structures de santé », comme en témoigne le fait que « de nombreuses structures ont signalé une interruption de services de plus de 4 heures et quelques-unes de plus d’une journée ». Mais « pour 30% des signalements, les structures assurent “qu’il n’y a eu aucun impact sur les données” ».
« 43% des incidents ont une origine malveillante. » Ainsi, « les attaques par rançongiciels des structures de santé ont connu une croissance significative (+40%), même si elles ne sont pas propres au secteur ». Le rapport souligne que « de façon marquante, ces attaques ont visé les établissements de grande taille “avec des impacts conséquents sur la continuité d’activité de certains services” ». 7 alertes ont dû être transmises à la Direction générale de la santé (DGS), via le Centre opérationnel de réception et de régulation des urgences sanitaires et sociales (Corruss). Elles « ont concerné des incidents d’origine malveillante avec arrêt du SI et pertes de données causées par des rançongiciels ainsi que des dysfonctionnements de logiciels de prescription ayant entrainé une suspicion de surdosage ou encore la production de prescriptions erronées. »
Mais au total « 66 mises en danger potentielles ont été constatées en 2019, soit 19% des incidents ». « Parmi elles, 5 incidents ont entraîné une mise en danger des patients avérée avec : prescription incomplète ou erronée dans 3 cas (dans l’un des cas, une patiente n’a pas reçu la totalité de son traitement personnel pendant 10 jours, entraînant une détresse respiratoire grave sur œdème aigu pulmonaire) ; surdosage d’insuline et surdosage de traitement anticoagulant. »
Des conséquences sur la prise en charge des patients qui sont dues à « des bugs sur des logiciels de prescription et d’aide à la dispensation impactant l’intégrité des prescriptions et des dispensations », des « bugs sur des logiciels de dossier patient informatisé », ou encore à des « dysfonctionnements de l’infrastructure locale ». Toutefois, « l’ANS note que les dysfonctionnements des logiciels de prescription/aide à la dispensation liés à des bugs ayant provoqué des erreurs dans les prescriptions et la délivrance des médicaments “auraient pu entraîner une mise en danger des patients plus importante sans la vigilance des professionnels de santé et la mise en place de procédures permettant d’identifier les erreurs” » (cf. Seulement deux tiers des erreurs évitées par les dossiers médicaux électroniques).
Pour aller plus loin :
Les données de santé : cible des cybercriminels en temps de pandémie
Cybermalveillance : l’alerte et les recommandations du Sénat
La cybersécurité : un enjeu primordial pour les données de santé
Rapport de la CNIL : des plaintes toujours plus nombreuses dans le domaine de la santé
Recoverable fatal error : Argument 1 passed to xmlsitemap_node_create_link() must be an instance of stdClass, boolean given, called in /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module on line 28 and defined dans xmlsitemap_node_create_link() (ligne 194 dans /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module).
Recoverable fatal error : Argument 1 passed to xmlsitemap_node_create_link() must be an instance of stdClass, boolean given, called in /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module on line 28 and defined dans xmlsitemap_node_create_link() (ligne 194 dans /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module).
Hospimedia, Géraldine Tribault (13/07/2020)