Face à des menaces cyber toujours plus présentes et sophistiquées, le secteur de la santé démontre, en 2024, une vigilance renforcée et une capacité accrue de réponse collective. L’Observatoire annuel des incidents de sécurité des systèmes d’information en santé, piloté par le CERT Santé, témoigne d’une évolution encourageante : plus d’incidents sont signalés, mais leur gravité tend à diminuer, traduisant un gain en maturité et en réactivité des établissements.

Avec 749 incidents déclarés en 2024, soit une hausse de 29 % par rapport à 2023, l’augmentation des signalements reflète une meilleure appropriation des dispositifs de remontée d’incidents, notamment dans le secteur médico-social. Loin d’illustrer une aggravation, cette tendance confirme la prise de conscience collective des enjeux de cybersécurité.

Dans le même temps, le nombre d’incidents majeurs recule, preuve que les établissements sont davantage préparés à faire face : exercices de crise, alertes ciblées, accompagnement personnalisé du CERT Santé et audits réalisés dans le cadre du programme CaRE  contribuent à renforcer la résilience des structures de santé.

Les attaques par rançongiciel restent la menace la plus impactante en 2024. Pourtant, les capacités de détection et de réponse s’améliorent nettement : seuls 4 cas de compromission majeure sont recensés sur les 40 incidents signalés. Cette maîtrise accrue s’explique par une coordination plus fluide entre les équipes internes, les dispositifs de sécurité et l’appui du CERT Santé.

Au-delà de la réponse opérationnelle, l’ensemble de l’écosystème poursuit sa transition vers une maturité cyber renforcée. Les défis restent nombreux – protection des sauvegardes, gestion des accès distants, cartographie des SI – mais les fondations se consolident, portées par :

• le programme CaRE qui a soutenu la généralisation des audits et des actions de remédiation associées. Les établissements ont ainsi fermé des portes aux cyberattaquants en améliorant la sécurité de leur surface exposée sur internet et de leur annuaire d’entreprise. Les prochains dispositifs du programme accompagneront la généralisation des plans de continuité et de reprise d’activité, le renforcement des infrastructures de sauvegarde et la mise en place de l’authentification forte ;

• la forte mobilisation de l’échelon régional (ARS et GRADeS) avec le déploiement, financé par le programme CaRE, des Centres Régionaux de Ressources Cyber - CRRC - qui appuient localement les établissements avec la mise à disposition d’offres de services ;

• les évolutions règlementaires à venir, et notamment la future transposition de la directive européenne NIS 2, attendue pour 2025, qui incitera les établissements nouvellement concernés à intégrer la cybersécurité dans leur gouvernance.

Ce bilan 2024 souligne la dynamique positive d’un secteur en transformation. Les acteurs de terrain s’outillent, s’organisent, coopèrent et cette mobilisation continue permettra de faire face aux menaces à venir et de garantir la sécurité des données et des soins. Nous devons rester pleinement engagés collectivement pour consolider ces acquis et poursuivre les efforts engagés sur l’ensemble du territoire.

> Découvrez l’intégralité de l’Observatoire 2024

Les cyber-attaques sont de nouvelles formes de criminalité dont sont victimes de nombreuses personnes, ainsi qu’un nombre croissant d’organismes publics ou privés. Depuis le milieu des années 2010, les cybercriminels se sont attaqués aux hôpitaux (1), dans un but de vandalisme ou de déni de service, ou pour exiger une rançon, l’insertion d’un rançongiciel altérant la bonne marche de services ou équipements essentiels (2) en rendant inutilisables les données des systèmes.

En France, en 2021, 1 582 établissements de santé ont été victimes d’une attaque, soit un établissement sur six, deux fois plus qu’en 2020. En 2023, les plus grands hôpitaux publics ont été ciblés (hôpital de la Pitié-Salpêtrière et hôpital Saint-Antoine à Paris, hôpitaux de l’Assistance Publique-Hôpitaux de Marseille et des Hospices Civils de Lyon). Les établissements privés n’ont pas été épargnés (Hôpital Américain de Paris). En février 2024, l’hôpital d’Armentières a été la cible d’une cyberattaque avec une demande de rançon qui a eu pour conséquence la fermeture du service des urgences durant 24 heures (3).

Au-delà de l’extorsion de fonds ou du coût lié au renforcement de la sécurité du système d’information d’un hôpital, ces cyber-attaques mettent en danger la vie des patients, de plusieurs façons : retard à la prise en charge des urgences ; atteinte du bon fonctionnement de dispositifs d’assistance vitale, par exemple au bloc opératoire ou en réanimation ; allongement du délai de mise en œuvre de certaines procédures diagnostiques ou thérapeutiques.

Des études récentes ont documenté l’impact de ces attaques sur le retard des soins aux patients, par exemple dans la prise en charge des accidents vasculaires cérébraux (4) ou d’un cancer (5). Une attaque récente de l’hôpital Guy’s et St Thomas’ à Londres (6) a illustré ces graves conséquences : annulation d’opérations chirurgicales ; impossibilité de procéder à des transfusions sanguines, les données requises ayant été effacées ; obligation de transférer des patients dans d’autres hôpitaux.

Face à l’accroissement des attaques informatiques contre les établissements de santé, des actions sont engagées dans de nombreux pays qui relèvent, au niveau national, des autorités en charge de la sécurité intérieure, de la cybersécurité et de la justice et, au niveau de chaque établissement de santé, du renforcement de la sécurité des systèmes d’informations et de la sensibilisation de ses personnels à ce risque.

• La nécessité de documenter les impacts sanitaires de ces attaques sur les patients pris en charge ou en attente de prise en charge ;
• L’indispensable sensibilisation et formation aux risques des cyber-attaques pour tous les professionnels de santé usant du numérique dans les établissements de santé ;
• En complément des mesures de renforcement de la cybersécurité prévues dans le plan incitatif CaRE (7, 8), la vigilance extrême requise concernant les compétences spécifiques en cybersécurité des agents en charge des services informatiques ;
• La nécessaire préparation de tous les établissements de santé, par des mesures d’anticipation et d’organisation, pour assurer la continuité des activités en cas d’attaque, soit en mode dégradé, soit via un dispositif de coopération, préparé et testé à l’avance, entre établissements de santé ;
• Le caractère pénal des cyber-attaques des hôpitaux qui, au-delà de l’extorsion de fonds ou du vandalisme, constituent une mise en danger de la vie d’autrui, éventuellement un homicide.

(1) Argaw, S.T., Bempong, N.E., Eshaya-Chauvin, B. et al., The state of research on cyberattacks against hospitals and available best practice recommendations: a scoping review. BMC Med Inform Decis Mak, 2019,19, 10.
(2) Williams P.A., Woodward A.J., Cybersecurity vulnerabilities in medical devices: a complex environment and multifaceted problem, Med Devices Evid Res, 2015, Jul 20.8: 305-16
(3) Lemaignen J., Romain M. : Cyberattaques dans les hôpitaux, Le Monde, 7 décembre 2022
(4) Dameff C., Tully J., Chan T.C. et al., Ransomware attack associated with disruptions at adjacent emergency departments in the US, JAMA, 2023: 6(5) e 2312270
(5) Keogh R., Harvey H., Brady C. et al., Dealing with digital paralysis: surviving a cyberattack in a national cancer center, Journal of Cancer Policy, 2024, 39, 100466
(6) https://www.theguardian.com/society/article/2024/jun/11/cyber-attack-on-london-hospitals-to-take-many-months-to-resolve?CMP=Share
(7) Agence du numérique en Santé, Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social 2023, 2024
https://esante.gouv.fr/sites/default/files/media_entity/documents/observatoire-incidents-cybersecurite-sante-2023.pdf
(8) Agence du numérique en Santé, Cybersécurité accélération et Résilience des Etablissements (CaRE), https://esante.gouv.fr/strategie-nationale/cybersecurite

Le Centre Hospitalier Universitaire de Rouen en 2019, le Centre Hospitalier de Dax en 2021, le Centre Hospitalier Sud Francilien en 2022, le Centre Hospitalier Universitaire de Rennes en 2023… Depuis plusieurs années, les cyberattaques contre les hôpitaux font régulièrement la Une des journaux. Pourtant, ces attaques impressionnantes ne sont que la partie émergée de l’iceberg. En 2022, le rapport de l’Observatoire des incidents du CERT Santé [voir encadré] indique que 39 % des structures de santé « ont été contraintes de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients ». Si, cette même année, seulement la moitié des incidents recensés par le CERT Santé étaient d’origine malveillante, le secteur de la santé reste particulièrement sensible. 

« Le risque cyber ne doit pas continuer d’être perçu comme lointain ou vague. Tous les professionnels du monde de la santé doivent avoir conscience qu’il s’agit d’un risque concret et bien réel », a ainsi rappelé le 23 novembre dernier Silvère Ruellan, chef du bureau Santé et Affaires sociales de l’Agence nationale de sécurité des systèmes d’information (ANSSI), lors de la Conférence Cyber & Santé organisée dans le cadre de l’European Cyber Week de Rennes. « Ce constat est partagé », a abondé Clara Morlière, directrice de projet au sein de la Délégation du numérique en santé (DNS), en insistant sur la nécessité de travailler encore sur les volets de la « gouvernance », la « sensibilisation » et la « gestion de crise », tout en « consolidant un socle minimal ».  

Si les risques de vol de données, de revente et de chantage commencent à s’inscrire dans les esprits, « il y a aussi des menaces moins visibles, liées à des stratégies étatiques, avec des volontés d’espionnage ou de déstabilisation », a également alerté Silvère Ruellan. Et, en la matière, les Jeux olympiques de Paris 2024 s’annoncent déjà comme une période de tensions. Avec plusieurs millions de visiteurs attendus, l’événement « aura un impact sanitaire », a prévenu le représentant de l’ANSSI. Une « préparation au risque cyber » est ainsi prévue au premier semestre 2024, notamment dans les zones concernées par la tenue des épreuves sportives, a annoncé, au cours de la même conférence, Nolwenn François, experte métiers des établissements de santé au sein de l’Agence du numérique en santé. 

La réalisation d’exercices de crise est d’ailleurs inscrite au cœur du programme CaRE (Cybersécurité, accélération et résilience des établissements), qui propose des kits prêts à l’emploi disponibles sur le site de l’ANS. Objectif prioritaire de la feuille de route du numérique en santé, « le programme CaRE prévoit également le financement d’audits et de plans de remédiation, le déploiement massif d’antivirus et de meilleurs moyens d’identification électroniques, la généralisation des plans de sauvegarde, etc. », détaille Hela Ghariani, co-responsable de la DNS. Pour cette année 2024, la DNS prévoit d’ailleurs « des financements substantiels », avec « un doublement des budgets dédiés à cet enjeu au sein des établissements de santé ».

Et ce sont loin d’être les seules évolutions à positionner l’année 2024 comme celle de la cybersécurité. Dans sa version réactualisée, le dispositif de certification de la Haute Autorité de Santé intègre lui aussi des critères cyber de manière beaucoup plus forte, ce qui devrait favoriser l’augmentation des budgets hospitaliers en la matière. « La cybersécurité a besoin de financement. L'objectif est de lui dédier au moins 2 % du budget consacré par un établissement à sa transformation numérique », a ainsi expliqué Clara Morlière dans son intervention Cyber & Santé. L’appui de la puissance publique, en termes de financements comme d’objectifs à atteindre, devrait, pour sa part, continuer à se matérialiser au travers d’autres programmes nationaux. Un volet HOP’EN 2 est d’ailleurs « à l’étude pour l’année prochaine », a déclaré la directrice de projet. 

Autre attendu majeur pour 2024, l’entrée en vigueur de la directive NIS 2 (Network and Information Security), publiée au Journal officiel de l'Union européenne en décembre 2022. En cours de transposition dans le droit français, le texte devrait être mis en application dès le mois d’octobre prochain. Les principaux changements par rapport à la version précédente résident dans l’élargissement des objectifs et du périmètre d’application de la réglementation cyber. « Alors qu’environ 150 structures du domaine de la santé étaient concernées par la NIS 1, elles seront plus de 1 000 avec la NIS 2 », a noté Silvère Ruellan.
La NIS 2 s’appliquera ainsi à l'administration publique dans son ensemble, désormais classée comme Entité Essentielle (EE). Parmi les autres nouvelles EE, l’on trouve également les prestataires de soins de santé, les fabricants de produits pharmaceutiques, et les structures de recherche et développement dans le domaine des médicaments, de plus de 250 employés. Lorsqu’elles totalisent de 50 à 250 employés, ces mêmes entreprises seront désormais considérées comme des Entités Importantes (EI). Ce sera également le cas pour les fabricants des dispositifs médicaux et les organismes de recherche de plus de 50 employés. 
Si le périmètre d’application de la nouvelle directive se dessine déjà dans ses grandes lignes, « des consultations sont en cours entre les ministères et les organisations professionnelles pour le définir plus précisément, mais aussi clarifier les interactions entre l’ANSSI et les futures entités régulées, ainsi que les mesures de sécurité applicables », a expliqué Silvère Ruellan. Sont attendues, à terme, la publication de guides pratiques et la mise en œuvre d’une assistance par l’ANSSI, en fonction du niveau d’exigence en matière de sécurité numérique. L’objectif : « mobiliser le tissu économique national et le secteur public, face à la menace », a fait savoir l’agence.

Les CSIRT, de nouveaux acteurs régionaux

À l’échelle régionale, de nouveaux acteurs de la cybersécurité entrent progressivement en action. Issus d’un projet France Relance datant de 2021, les CSIRT régionaux (Computer Security Incident Response Team) ont été créés pour « offrir une réponse de proximité aux victimes » et renforcer la maturité des territoires sur le sujet. Intervenant en complément des acteurs existants, en particulier l’Agence nationale de sécurité des systèmes d’information (ANSSI), ces nouvelles structures sont principalement pensées pour venir en appui aux collectivités territoriales, Petites et moyennes entreprises (PME), Entreprises de taille intermédiaires (ETI), et associations. 

Douze CSIRT viennent ainsi d’être créées : le CSIRT Bourgogne-Franche-Comté, le CSIRT Hauts-de-France, Normandie Cyber, Breizh Cyber, Grand Est Cybersécurité, Pays de la Loire Cyber Assistance, ainsi que CybeRéponse dans le Centre-Val de Loire, le Campus régional de Cybersécurité et de Confiance numérique en Nouvelle-Aquitaine, Cyber’Oc en Occitanie et Urgence Cyber région Sud en Provence-Alpes-Côte d’Azur. 
 

Le CERT Santé, un outil dédié au monde de la santé

Créé en 2017, le CERT Santé intervient 24h/24 et 7j/7 pour apporter de premières réponses à un incident cyber survenu au sein des organismes publics, des Opérateurs d’importance vitale (OIV) et des Opérateurs de services essentiels (OSE). Cette structure spécialisée dans le secteur de la santé réalise aussi une veille des vulnérabilités, publie des alertes et effectue des audits ciblés sur l’exposition sur internet des Établissements sanitaires et médico-sociaux (ESMS).

Intégré à l’Agence du numérique en santé (ANS), le CERT Santé traite également les déclarations d’incidents de sécurité dans les ESMS, ce qui lui permet d’établir des statistiques sur la réalité des problématiques cyber dans les établissements de santé français. Pour 2023, il a ainsi enregistré une « forte activité malveillante relative au vol d’identifiants (login - mot de passe), de comptes de messagerie et de comptes d’accès à distance ». « L’attaque par phishing reste forte, a indiqué, lors de la conférence du 23 novembre dernier, Emmanuel Sohier, expert CERT Santé. Mais les attaquants récupèrent les identifiants selon trois modes opératoires : l’hameçonnage [ou phishing, NDLR], l’exploitation de vulnérabilités sur des équipements non mis à jour, et l’attaque par force brute, c’est-à-dire le test d’un grand nombre de mots de passe ». 

Une fois les identifiants récupérés, les attaquants peuvent donner libre cours à leur imagination : connexion aux serveurs internes, récupération des identifiants administrateurs, désactivation des antivirus, exfiltration des données, pour revente voire chiffrage dans le cas de l’utilisation d’un rançongiciel. En 2023, le CERT Santé a ainsi enregistré 24 attaques par rançongiciel, contre 19 en 2022. Si celles-ci sont particulièrement spectaculaires, elles ne doivent toutefois pas éclipser les autres types de compromissions. Quelques-unes semblent toutefois sur une pente descendante. Par exemple, en 2023, le CERT Santé a enregistré moins de compromissions par messages électroniques malveillants ou virus informatique, par rapport à l’année précédente. Un phénomène qu’Emmanuel Sohier explique par « le travail effectué ces dernières années en matière de sensibilisation, d’accompagnement et de déploiement de correctifs ».

> Article paru dans Hospitalia #63, édition de décembre 2023, à lire ici

« Dès que le numérique est présent, le cyber-risque doit être pris en compte ». Dès l’ouverture de la journée consacrée à la santé de l’European Cyber Week, Jérôme Tré-Hardy, conseiller régional de Bretagne, délégué à la cybersécurité, aux services numériques et aux données, a alerté les professionnels et étudiants présents. Du 16 au 18 novembre, cet événement réunissait à Rennes les principaux acteurs du monde cyber, qu’ils travaillent dans les secteurs de la mer, de l’armée, des smart cities, de la santé… Le dernier jour de cette 6^ème édition était d’ailleurs dédié au monde de la santé et au risque cyber.
 

« À tous les niveaux, on assiste à une explosion du risque cyber principalement via des rançongiciels. Tous les secteurs sont touchés, il n’y a pas d’immunité pour les établissements de la santé ou du social », a prévenu Christophe Millet, responsable cyber-risques pour l’assureur Sham. Dans tous les secteurs, le risque cyber croît et « les attaquants se structurent », a pour sa part constaté le vice-amiral d’escadre Arnaud Coustillière, président du pôle d’excellence Cyber. « Depuis 2017, on assiste à une envolée de la cybercriminalité qui comprend désormais des sabotages informatiques à grande échelle », a poursuivi le militaire, n’hésitant pas à parler « d’industrialisation des cyberattaquants » et même de « mafias ».

Le système de santé français n’est d’ailleurs lui-même pas épargné par ces groupes. Ainsi en 2020, 27 attaques sur des hôpitaux ont été enregistrées en France. « Le secteur de la santé compte, depuis le début de l’année 2021, une cyberattaque par semaine en moyenne », a précisé Christophe Millet. Pourtant, « les établissements de santé ne sont pas particulièrement visés, ils sont touchés comme les autres », avait indiqué, lors d’une interview préenregistrée, Jean-François Parguet, fonctionnaire de sécurité des systèmes d'information (FSSI). « La plupart du temps, les attaquants se rendent compte très tard qu’ils sont dans un établissement de santé », a complété Christophe Bidan, directeur du campus rennais de CentraleSupélec.
 

Lieu par essence ouvert, incluant une grande variété d’utilisateurs pas toujours formés à la sécurité, un système d’information construit sur des infrastructures classiques, une connexion internet, et des données sensibles relevant de la vie privée, « l’hôpital est un rêve pour les attaquants », a résumé Christophe Bidan. « En établissement de santé, les systèmes d’information regroupent une infrastructure réseau et bureautique, un système d’information métier administratif et un système d’information métier santé. Si ce dernier est très spécifique, les autres briques, et notamment les infrastructures bureautiques et réseaux, sont assez classiques et donc très vulnérables », a ajouté le spécialiste, en précisant que « les attaquants qui ne ciblent pas d’établissements particuliers se dirigeront donc naturellement vers ces infrastructures, sans même savoir à qui elles appartiennent ».

Pour Christophe Bidan, l’attaque par rançongiciel d’un établissement de santé se divise en quatre étapes : l’infiltration dans le système via un logiciel dédié et téléchargé par un utilisateur, l’exploration du système d’information et l’installation de nouveaux logiciels, la propagation dans le système d’information et enfin, l’attaque à proprement parler. « Les données sont alors indisponibles soit par chiffrement, soit par prise de contrôle de l’infrastructure réseau. Certaines peuvent aussi être exfiltrées », a-t-il expliqué, tout en rappelant que « l’objectif final reste le gain financier ».
 

Se prémunir de ce type d’attaques peut donc passer par plusieurs actions : former les utilisateurs afin de limiter les risques d’hameçonnage, notamment par mail, sauvegarder les données pour pouvoir les récupérer au plus vite, effectuer des audits réguliers pour visualiser le niveau de maturité de l’établissement, développer les outils de détection de l’intrusion, introduire la sécurité numérique dans les procédures d’acquisition de matériel… « Même si le Directeur du Système d’Information (DSI) est en première ligne, tous les services de l’hôpital sont concernés », a noté Christophe Nicolai, DSI du Groupe Hospitalier Paris Saint-Joseph.

Les professionnels intervenus au cours de cette journée étaient d’ailleurs unanimes sur « la nécessité de sensibiliser tous les acteurs de l’hôpital » aux risques informatiques. Le vice-amiral Arnaud Coustillière, lui, va même plus loin : « Pour répondre à une attaque cyber, il faut opter pour un mode de pensée militaire : s’entraîner à toutes les circonstances pour être prêt le moment venu ». S’appuyant sur des opérations de faux phishing, mais aussi et surtout sur l’entraînement à la gestion d’une situation de crise, ces démarches semblent bien s’imposer dans le milieu hospitalier. « À terme, l’enjeu pour nous est de passer d’un système de verrouillage extérieur à un système dit de “zero trust”, qui consiste à n’accorder sa confiance à aucun système, à distribuer soi-même les autorisations, à réguler les échanges et à être constamment à jour », a pour finir résumé Christine Pichon, DSI du CHU de Rennes.

Article publié dans l'édition de décembre 2021 d'Hospitalia à lire ici.

 

Création d’un observatoire de cybersécurité en santé
Les hôpitaux de Dax et de Villeneuve-sur-Saône en février 2021, celui d’Albertville-Moûtiers en décembre 2020 ou encore le CHU de Rouen en 2019. Le nombre d’attaques contre les établissements de santé, et surtout leur médiatisation, n’en finit pas de croître. La prise en compte du risque cyber semble elle aussi se développer, avec plusieurs actions et directives au niveau national et régional. Ainsi, si en Bretagne, on a fait le choix de la mutualisation pour développer des outils de sécurité informatique, le gouvernement également déployé plusieurs outils, via le Ségur du Numérique en Santé et le plan cyber qui lui est rattaché. Le nombre d’Opérateurs de Services Essentiels (OSE) a ainsi été augmenté et leur accompagnement renforcé. Un observatoire permanent de la sécurité des systèmes d’information des établissements de santé (OPSSIES) sort progressivement de terre. Il devrait, entre autres, proposer des audits de sécurité aux établissements de santé, ciblant prioritairement les OSE.