Les leçons des cyberattaques à répétition ayant touché le secteur de la santé en 2023 ont-elles été tirées ? Rien n’est moins sûr, affirme Jean-Michel Tavernier, directeur commercial France de la société californienne Armis, spécialiste de la cybersécurité.
Dans un article récent intitulé « Cyberattaques : hôpitaux privés et publics, le pire est-il à venir ? », il met en garde contre une nouvelle année noire. De fait, les hôpitaux publics et privés restent une cible privilégiée par les hackers. Et la menace est particulièrement pesante dans ce secteur sensible. Au-delà des perturbations opérationnelles sur les établissements, la compromission des données patients peut avoir des conséquences directes sur la vie privée des personnes et leur sécurité financière.
Une interconnexion qui exacerbe la vulnérabilité
En cause, l’insuffisance des moyens financiers et technologiques combinée à la trop grande dépendance des hôpitaux à un écosystème complexe de fournisseurs et de prestataires. Une interconnexion qui accroît le périmètre de la surface d’attaque et exacerbe la vulnérabilité du système de santé dans son ensemble. Fournisseurs et prestataires ont en effet accès à de vastes quantités de données sensibles (dossiers médicaux, informations d’assurance et de paiement…), sans toujours disposer des outils nécessaires de cybersécurité ou mesurer l’ampleur des risques.
En témoigne l’attaque contre le système d’information (SI) de Change Healthcare/Optum aux États-Unis, en février 2024. Cette cyberattaque, qui s’est propagée « comme une traînée de poudre », a paralysé nombre d’hôpitaux, de pharmacies et de prestataires à travers le pays, entraînant des retards dans la livraison de médicaments et le traitement des demandes de remboursement.
Repenser l’ASM
Pour Tavernier, ces événements mettent en évidence la nécessité urgente de repenser la gestion de la surface d’attaque (Attack Surface Management ou ASM) du secteur de la santé, c’est-à-dire tous les points d’entrée d’un SI « où une entité non autorisée pourrait essayer de s’introduire ». Identifier, surveiller et réduire les points d’entrée vulnérables est crucial pour renforcer la résilience contre les attaques, assurer la sécurité des données sensibles des patients et maintenir la continuité des soins.
Lire aussi sur L’Essor de la Sécurité : La menace cyber encore et toujours au cœur des préoccupations à l’approche des JO
Or, en la matière, le secteur de la santé s’appuie encore sur des technologies obsolètes selon une enquête récente d’Armis, menée en Angleterre, aux États-Unis, en France et en Allemagne. Cependant, des progrès sont possibles note l’auteur de l’article. En France, notamment, « les organisations peuvent trouver un soutien dans le plan stratégique de lutte contre les cyberattaques, annoncé en décembre 2023 par l’État ». Ce plan prévoit « une première tranche de financement de plus de 230 M€ allouée jusqu’en 2024, pour un montant qui pourrait atteindre jusqu’à 750 M€ en 2027 ». Encore faut-il que le secteur adopte « des technologies de protection proactives » et comprenne que « nous sommes désormais dans un état de menaces cyber perpétuel ».