Les hôpitaux manquent des ressources face à la cybercriminalité
Les cyberattaques ont un œil favorable à l’égard des hôpitaux.
Depuis un certain moment, nous avons constaté une multiplication des attaques informatiques ciblant les établissements de santé. Avec la crise sanitaire les choses malheureusement ce sont empirées. L’intérêt que porte les pirates informatiques au secteur hospitalier s’explique par un manque flagrant de ressources. Que ce soit au niveau des compétences, de la main d’œuvre ou encore des moyens financiers, d’une manière ou d’une autre, la cyber sécurité des hôpitaux est mise en marche.
Cet article va aussi vous intéresser : Attaque informatique contre un hôpital : d’où vient exactement la faille
Face à cette situation, le gouvernement a alors décidé de prendre cette affaire à bras le corps, surtout en investissant au maximum dans le renforcement de la sécurité des systèmes d’information des institutions de santé.
Dans l’un de ces récents discours, le président de la République française Emmanuel Macron portait une précision sur « les conséquences dramatiques que peuvent avoir ces attaques contre des établissements médicaux dont on voit bien la grande sensibilité, qui plus est en contexte pandémique ». Il annonça alors restauration de l’Observatoire permanent pour Une meilleure maîtrise de la cybersécurité de ces établissements.
Cette approche est nécessaire et tombe à point nommé. En effet, la sécurité informatique des hôpitaux ne présente aucune homogénéité. Établissement sur la mise à sa manière content de ses moyens et de ses priorités. C’est pour cela, que le ministre chargé de la santé ainsi que le secrétaire d’État chargé du numérique mis en avant le déploiement du « service national de cyber surveillance en santé » par l’Agence nationale de sécurité des systèmes d’information en collaboration avec l’Agence du numérique en santé.
C’est un service qui est dans une phase de « montée en charge progressive » de l’Agence du numérique en santé de l’ANS. Il sera chargé de cartographier les surfaces d’attaques des systèmes informatiques, permettant ici de déterminer les potentielles failles de sécurité et les éventuelles fuites de données. Cette organisation de « Cyber veille en santé » sera construit de sorte à les rendre plus efficace pour qu’il soit une aide contre les attaques informatiques.
Dans la continuité, 135 groupements hospitaliers vont rejoindre la catégorie des opérateurs de services essentiels. Cela apportera une certaine obligation dans la manière d’organiser et de contrôler les systèmes informatiques ainsi que la mise en place de certains moyens permettant de bonnes pratiques d’hygiène numérique. Tout sera fait de sorte à ce que la sensibilisation à la cyber sécurité sera « intégrée à tous les cursus de formation des acteurs en santé afin conforter les pratiques d’hygiène numérique, dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information » comme le précise le secrétaire d’État au numérique, M Cédric O.
« Les services numériques sont vitaux au fonctionnement des hôpitaux, comme des collectivités, qui sont aux yeux des attaquants les plus à même de payer la rançon exigée. Ainsi, ces établissements ne sont pas attaqués au motif que les criminels voudraient viser le système de santé en soi, mais parce que ceux-ci veulent faire du ROI », explique Romain Lecoeuvre, patrin et cofondateur de la société française spécialisée dans la chasse de prime de bug, YesWeHack.
Selon Jacques de La Rivière, le patron de la Société française Gatewatcher : « Les attaquants n’ont pas compris qu’il n’y a pas autant de cash dans les hôpitaux français que dans les cliniques américaines, et qu’ils n’ont pas le droit de payer la rançon. Toujours est-il que le secteur hospitalier reste très alléchant pour les cybercriminels, avant tout en raison de son manque de sécurisation faute de ressources. ».
Comme nous l’avons mentionné plus haut, l’une des principales raisons de ce manque est le manque criard. « On a maintenant le plan de relance cyber où on annonce des coopérations public-privé pour répondre à ces enjeux de sécurité », notait Romain Lecoeuvre. De son côté, Karl Rigal souligne : « Des revues de vulnérabilité à la mise en place de pentest, en passant à la configuration de politiques de sécurité, de forensic, de gouvernance, le secteur privé peut accompagner ces structures qui ne sont souvent ni équipées, ni sensibilisées en interne à ces problématiques. ».
« À un moment donné, il faudra aller sur la taille des équipes. Il est déjà étonnant que les équipes informatiques des hôpitaux arrivent à faire ce qu’ils font avec si peu de moyens ». Christophe Corne, Pour le responsable de Systancia.
Accédez maintenant à un nombre illimité de mot de passe :