Le rapport de l’agence nationale du numérique sur les incidents connus par les établissements santé en 2019
Le 10 juillet dernier, l’Agence du Numérique en Santé publiait rapport sur les incidents connus par les établissements de santé en France au cours de l’année 2019.
Ce rapport est disponible sur le site de l’Observatoire des incidents de sécurité.
Cet article va aussi vous intéresser : Une évolution de 20 % des incidents de sécurité informatique au niveau des établissements de santé en France
En résumé l’on peut tout simplement dégager le point essentiel de ce rapport qui a monté une évolution de 20 % des incidents rencontrés par les établissements de santé en France, durant l’année passée. Cet article, nous allons aborder certains points essentiels développés dans le rapport ainsi que les chiffres clés en la matière.
Le rapport final retient que durant l’année 2019, 392 incidents ont été signalés par les établissements de santé, parmi lesquels 300 ont été touchés.
16 de ces incidents de sécurité ont été communiquée par l’Agence nationale de sécurité du médicament ANSM. De ce côté, il n’y a pas grand changement par rapport à 2018 ou 15 ont été identifiés par l’agence de médicaments.
« Dans une majorité des cas, les prestataires (opérateurs, éditeurs, hébergeurs) ont apporté une réponse aux incidents dans des délais raisonnables. » toutefois, « 40% des structures ont été contraintes à mettre en place en 2019 un fonctionnement en mode dégradé du système de prise en charge des patients » sur une journée dans la moyenne. En prenant l’exemple de CHU de Rouen, ce dernier a malheureusement dû fonctionner dans une situation très inconfortable, suite à l’attaque informatique qu’il a subi.
De plus, « environ 70% des signalements sont réalisés le jour de la survenance de l’incident et 80% dans les 24 heures. »
Par ailleurs, le rapport souligne qu’environ la moitié des incidents soit 168 plus précisément ont pu être résolu, juste après leur signalement. 83 d’entre eux étaient « en cours de résolution », 73 « en cours d’investigation » soit moins de 1 quart. Le bilan de 20 incidents aurait déjà été effectuée alors que 10 me n’ont pas été pris en charge.
Dans 19 pourcents des cas, le rapport a observé une « mise en danger potentielle des patients. ». Sur 354 incidents, on parle de 66 mise en danger potentiel. Ces cas ont été signalé et même traité par la cellule d’accompagnement en cybersécurité de l’Agence nationale de numérique pour les structures de santé.
Cependant, il a été observé de manière officielle « 5 incidents ont entraîné une mise en danger patient avérée. » Comme le mentionne l’ANS dans son rapport. Dans 3 de ces cas de mise en danger avérée, les prescriptions étaient « incomplètes ou erronées », « dans l’un des cas, une patiente n’a pas reçu la totalité de son traitement personnel pendant 10 jours, entraînant une détresse respiratoire grave sur [un œdème aigu pulmonaire] ». En ce qui concerne les deux derniers cas, il a été observé un « surdosage d’insuline et un surdosage de traitement anticoagulant. ». « Ces conséquences sur la prise en charge des patients sont dues à des bugs sur des logiciels de prescription et d’aide à la dispensation impactant l’intégrité des prescriptions et des dispensations, des bugs sur des logiciels de dossier patient informatisé, ou des dysfonctionnements de l’infrastructure locale. », explique l’Agence.
« Les dysfonctionnements des logiciels de prescription/aide à la dispensation liés à des bugs ayant provoqué des erreurs dans les prescriptions et la délivrance des médicaments auraient pu entrainer une mise en danger des patients plus importante sans la vigilance des professionnels de santé et la mise en place de procédures permettant d’identifier les erreurs », s’inquiète-t-elle.
Pour la moitié des incidents signalés, en vérifiant dans le système d’information des établissements de santé touchés, les données médicales étaient pratiquement ou en partie inaccessibles selon l’Ans.
Il a alors été recenser près de 46 « divulgations ou accès non autorisés à des informations à caractère personnel » et 29 « atteintes à l’intégrité des données » et 15 « divulgations ou accès non autorisés à des données relatives à la structure. ».
Si cela peut être vu comme une bonne nouvelle il faut signifier que « Pour 30% des signalements, les structures assurent qu’il n’y a eu aucun impact sur les données. » notait l’ANS. Par ailleurs, selon 38 % des établissements de santé, les incidents de sécurité n’ont eu aucun impact négatif sur leur fonctionnement.
Les incidents les plus fréquemment observées selon le rapport sont :
– La perte du lien telecom qui a apparu dans 64 au signalements
– Un dysfonctionnement de l’infrastructure locale ou du prestataire, constaté dans le 62 signalement
– L’intervention de programme malveillant invoqué lors de 61 de signalements
En plus de ces trois problèmes clés, il a été observé
– Des bug au niveau des applications dans 42 cas
– Les courriels malveillants dans 42 cas
– La compromission de système informatique dans 39 cas
En ce qui concerne les incidents qui puisent leur source dans des origines malveillantes, on observe une légère hausse. « Le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%), » décrit le rapport. « Ces attaques ont souvent exploité le manque de vigilance des personnels par rapport aux messages malveillants (phishing) et l’exposition sur internet de services d’accès à distance à des systèmes insuffisamment sécurisés » et « l’absence de mesures de cloisonnement fort entre les différents domaines métier du SI » indique le rapport.
Accédez maintenant à un nombre illimité de mot de passe :