La santé a toujours été l’un des secteurs les plus visés par les cybercriminels. Les données patients sont hautement convoitées par les pirates informatiques qui cherchent à les exploiter à des fins malveillantes, à perturber les traitements médicaux et plus gravement, à compromettre la disponibilité des services. Résultat, l’ensemble de l’écosystème de santé — patients, médecins, hôpitaux, etc. — subit directement les lourdes conséquences de ces attaques.
- En 2020, les violations de sécurité dans le secteur de la santé ont entraîné des pertes estimées à 6 000 milliards de dollars.
- Rien que pour le mois de février 2020, plus d’un million de dossiers médicaux a été compromis [aux États-Unis] lors de 39 incidents distincts.
Deux constats s’imposent :
- La santé est un besoin fondamental pour les populations et représente 10 % du PIB des pays développés, d’où l’urgence à protéger ce secteur contre les cyberattaques.
- Or, l’émergence d’inventions technologiques et leur évolution rendent les défis de cybersécurité toujours plus complexes.
Le secteur de la santé doit, dans ce contexte, réellement prendre conscience des enjeux cyber. Cet article se penche sur les principaux risques de cybersécurité à connaître quand on est un professionnel IT dans le secteur médical.
Top 10 des défis de cybersécurité pour le secteur de la santé
1. Violations de données
En 2021, le coût moyen d’une violation de données dans la santé atteignait 9,6 millions de dollars, faisant de ces infractions l’un des défis les plus critiques pour ce domaine. Pour renforcer la sécurité, trois priorités s’imposent : une gestion rigoureuse des appareils, une surveillance étroite et le chiffrement des données sensibles relatives aux patients et à leurs traitements. Un autre enjeu majeur concerne la conformité aux réglementations, notamment la loi américaine HIPAA (Health Insurance Portability and Accountability Act), qui impose aux éditeurs de logiciels et aux établissements de santé [concernés par cette loi] des mesures strictes pour protéger ces informations. Pourtant, peu d’entre eux appliquent ces règles de manière rigoureuse, laissant ainsi une brèche exploitable par les cybercriminels.
2. Rançongiciels et malwares
Source: McAfee
Un rançongiciel (ransomware) est un type de logiciel malveillant (malware) utilisé par les cybercriminels pour chiffrer les données d’un système informatique et exiger une rançon en échange de leur déchiffrement et de la restauration des accès. Parmi les cybermenaces auxquelles les professionnels de santé sont confrontés, il s’agit sans doute de l’une des plus redoutables. À l’échelle mondiale, 304,7 millions d’attaques par rançongiciels ont été recensées au premier semestre 2021, soit une augmentation de 151 % par rapport à 2020. Pour infecter les systèmes, les cybercriminels privilégient les chevaux de Troie ou envoient des e-mails d’hameçonnage contenant des liens piégés ou des pièces jointes malveillantes.
3. Vulnérabilité des anciens systèmes
Le remplacement des infrastructures vieillissantes par un écosystème modernisé est devenu une priorité. Pourtant, de nombreux organismes de santé hésitent encore à franchir le cap, par crainte du changement et par attachement à leurs anciens systèmes. Cette réticence expose toutefois ces établissements à des cyberattaques d’envergure, les systèmes obsolètes étant insuffisamment protégés contre les malwares et virus actuels. Plusieurs facteurs expliquent ces retards dans la mise à jour des infrastructures IT : des budgets limités, le coût de la montée en compétence des équipes, des exigences réglementaires contraignantes et, parfois, un certain laisser-aller. Cette inertie offre ainsi aux cybercriminels l’opportunité d’exploiter des failles de sécurité, notamment via des portes dérobées.
4. Dispositifs et équipements médicaux non sécurisés
Source: Embedded Computing Design
Les hôpitaux modernes abritent une gigantesque réserve de données médicales. Aujourd’hui, les professionnels de santé s’appuient largement sur des dispositifs connectés pour soigner leurs patients, rendant la sécurisation de ces équipements absolument essentielle. Pourtant, de nombreux établissements négligent encore cet aspect et deviennent, de facto, des cibles de choix pour des cyberattaques d’envergure. En 2020, près de cinq millions de dispositifs médicaux non sécurisés étaient reliés à Internet via l’Internet des objets (IoT) et l’Internet des objets médicaux (IoMT). Pour les attaquants, c’est alors l’occasion idéale d’infiltrer ces équipements et d’en prendre le contrôle total.
5. Menaces internes
Toutes les cyberattaques ne viennent pas de l’extérieur ; les menaces internes représentent aussi un risque majeur. Il arrive, par exemple, que des employés mécontents dérobent délibérément des informations sensibles ou perturbent le réseau afin d’en compromettre la disponibilité. Ces attaques, qualifiées de menaces internes, ont augmenté de 47 % ces dernières années. De nombreuses organisations estiment qu’elles sont principalement le fait d’utilisateurs bénéficiant de privilèges d’accès élevés, ce qui souligne la nécessité de surveiller rigoureusement ces profils pour limiter les risques.
6. Attaques par déni de service distribué (DDoS)
Source: ResearchGate
Une attaque par déni de service distribué (DDoS) vise à submerger un site web ou un réseau sous un flot massif de trafic Internet dans le but d’en altérer les performances et d’en compromettre la disponibilité. Pour y parvenir, les cybercriminels s’appuient sur des bots qui envoient un nombre de requêtes bien au-delà des capacités du serveur, entraînant ainsi sa saturation et son interruption. Souvent combinées avec des rançongiciels, les attaques DDoS représentent l’un des combos d’attaques les plus destructeurs. Dans la santé, ces attaques peuvent paralyser des infrastructures critiques pendant de longues périodes, semant la panique, car les établissements médicaux ne peuvent se permettre une interruption prolongée de leurs services.
7. Absence de politiques de cybersécurité et de gouvernance documentées
Source: LinkedIn
Toute organisation de santé devrait établir des règles claires en matière de cybersécurité et mettre en place des mécanismes de gouvernance adaptés. Chaque établissement médical devrait également conserver, pendant au moins six ans, la documentation relative aux politiques de sécurité, aux actions requises, aux mesures mises en place et aux évaluations des dispositifs de protection. Pourtant, de nombreux établissements de santé négligent ces procédures et omettent de créer une documentation fiable. Ils y voient une perte de temps qui nuit à la productivité. En réalité, ces efforts constituent le fondement même d’un écosystème sécurisé et résilient.
8. Les menaces dans le cloud
La plupart des établissements de santé migrent vers le cloud pour stocker et gérer des pétaoctets de données sensibles. Portant, 94 % d’entre eux expriment des inquiétudes quant à la sécurité du cloud. Le modèle cloud repose sur un accès distant, disponible à tout moment et depuis n’importe où, permettant à des millions d’utilisateurs d’interagir avec un serveur centralisé. Or, plus un site enregistre d’utilisateurs, plus le risque de cyberattaques s’accroît. Même des géants comme AWS ou Dropbox ne respectent pas entièrement les exigences de la loi HIPAA. Dès lors, comment s’attendre à ce qu’une entreprise classique se conforme strictement à ces réglementations ?
9. Attaque par hameçonnage
Source: Simplilearn
Une attaque par hameçonnage (phishing) vise à tromper un utilisateur afin de lui soutirer son mot de passe ou des informations personnelles exploitables par un cybercriminel. Ces attaques reposent principalement sur l’ingénierie sociale et se propagent généralement via des messages ou des e-mails frauduleux. Un attaquant peut, par exemple, envoyer un message indiquant qu’un mot de passe est invalide et fournir un lien pour le réinitialiser. S’il ne se méfie pas, l’utilisateur clique sur ce lien et atterrit sur une page falsifiée où il saisit ses identifiants, aussitôt récupérés par le pirate. Une fois ces informations en main, le cybercriminel peut facilement accéder au compte visé et voler des données sensibles.
10. Manque de sensibilisation à la cybersécurité
Pour un organisme de santé, il est essentiel de maîtriser les bonnes pratiques en matière de protection des données sensibles, de comprendre les réglementations en vigueur, de définir des politiques de gouvernance adaptées et de sécuriser l’ensemble de son écosystème. Pourtant, le manque de sensibilisation à la cybersécurité demeure un problème majeur. De nombreux utilisateurs ne mesurent pas pleinement les enjeux liés à la sécurité et à la gouvernance des données. Voici quelques points de cybervigilance souvent négligés dans le secteur de la santé :
- Incapacité à distinguer un site frauduleux d’un site légitime
- Téléchargement de pièces jointes sans analyse préalable
- Création d’identifiants et de mots de passe trop faibles
- Méconnaissance des techniques d’hameçonnage
- Difficulté à détecter les premiers signes d’une infection par un malware
- Clics aléatoires sur des liens sans vérification de la source
- Méconnaissance de l'authentification à deux facteurs ou à plusieurs facteurs
En résumé
Pour de nombreux administrateurs de sites web, la cybersécurité est une source constante de préoccupations… et de nuits blanches. Dans le secteur de la santé, l’enjeu est d’autant plus critique que des données sensibles et des informations vitales sont en jeu. Aucune organisation ne peut prétendre maîtriser totalement ses actifs numériques, car chaque année voit émerger de nouvelles cybermenaces. Pour garantir leur viabilité et leur pérennité, les structures médicales doivent impérativement prendre conscience des risques qui pèsent sur elles.
Face aux défis croissants de la cybersécurité, les professionnels de santé doivent redoubler de vigilance et adopter une approche proactive. Sensibilisation, anticipation, préparation et réactivité sont les seuls leviers efficaces pour atténuer les risques et renforcer la sécurité. La tâche est exigeante, mais un engagement sur le long terme permettra de bâtir un écosystème de santé plus résilient face aux cybermenaces.
