Plus de 1.300 attaques informatiques contre des établissements de santé signalées en 2015 (ministère)

Plus de 1.300 attaques informatiques contre les établissements de santé ont été signalées en 2015, a indiqué le 5 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d’information (FSSI) au ministère des affaires sociales, lors du congrès de l’Association pour la promotion de la sécurité des systèmes d’information en santé au Mans (Apssis).

Ce décompte repose sur les « remontées volontaires » effectuées par les responsables informatiques des établissements de santé au FSSI, grâce à la « chaîne d’alerte » mise en place par le ministère des affaires sociales (voir dépêche du 24 février 2016), et ne constitue donc pas une liste exhaustive des attaques ayant eu lieu, a précisé Philippe Loudenot.

Au moins 18 incidents ont été liés à des « attaques ciblées » guidées par une véritable « volonté de nuisance », 816 ont été qualifiées d' »attaques par opportunisme », profitant de « portes ouvertes » dans les systèmes d’information (SI), et 498 sont liées à des « mésusages » de ces SI, a-t-il détaillé.

Le FSSI a estimé qu’il y avait « un énorme travail à faire » et « des marges de progression très grandes » en matière de sécurisation des systèmes d’information en santé français, qu’il a qualifié de « trop poreux », et en matière de sensibilisation des professionnels de santé.

Il a évoqué « une trop grande dichotomie » entre les différentes composantes du système d’information hospitalier (SIH) liées à la gestion administrative, logistique et médicale, soulignant particulièrement la vulnérabilité des appareils biomédicaux qui restent « trop souvent en dehors du scope des directeurs des systèmes d’information [DSI] ».

Philippe Loudenot a aussi déploré le faible nombre, « moins d’une cinquantaine », de responsables de la sécurité des systèmes d’information (RSSI) nommés dans les établissements de santé. « Ce sont encore trop souvent des ingénieurs sécurité ou des DSI qui endossent cette fonction », a-t-il regretté.

Lorsque la fonction RSSI existe, il est nécessaire qu’elle « soit située au plus près de la direction et puisse lui transmettre un bilan de la sécurité des SI au moins deux fois par an », a-t-il ajouté, estimant que ce poste ne devait pas être rattaché directement à une DSI.

ESSOR DES INFECTIONS PAR RANCONGICIELS

Parmi les attaques informatiques visant les établissements de santé, l’infection des SIH par des « rançongiciels » (ramsomware) est en « constante augmentation », a indiqué Philippe Loudenot.

Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l’utilisateur pour qu’il puisse à nouveau y avoir accès.

Egalement invité à s’exprimer lors de la quatrième édition du congrès de l’Apssis au Mans, Jimaan Sané, spécialiste du cyber-risque et souscripteur chez l’assureur Beazley, a partagé une analyse des attaques qui ont visé les clients de Beazley entre 2013 et 2015.

Alors que les cyber-extorsions concernaient 20 attaques en 2013, leur nombre est passé à 50 en 2014 et « plus d’une centaine » en 2015. Le secteur de la santé apparaît particulièrement visé par le piratage puisqu’il représente « entre 20% et 30% » des clients de Beazley dans le monde, mais concentre « un peu moins de 70% des incidents ».

Jimaan Sané a notamment expliqué ce phénomène par la valeur d’un dossier médical revendu 50 dollars en moyenne sur le « Dark web », contre 5 dollars pour des identifiants et mots de passe d’une boîte mail, et entre 5 et 30 dollars pour des codes de carte bancaire.

Aux Etats-Unis, la menace a pris une telle ampleur que le FBI a publié sur son site web le 25 mars dernier un podcast pour sensibiliser à une meilleure protection contre les rançongiciels.

NOUVELLES DISPOSITIONS LÉGALES

En France, la loi « de modernisation de notre système de santé » promulguée en janvier dernier rend obligatoire, pour « les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins », le signalement à l’agence régionale de santé (ARS) des « incidents graves de sécurité des systèmes d’information », rappelle-t-on.

Les ARS sont ensuite tenues de transmettre « les incidents de sécurité jugés significatifs » aux autorités compétentes de l’État.

Présente au congrès de l’Apssis, Frédérique Pothier, chargée de mission auprès de la délégation à la stratégie des systèmes d’information de santé (DSSIS), a expliqué qu’un décret d’application de la loi devait préciser la définition d’un « incident grave » et d’un « incident jugé significatif », ainsi que la liste des établissements de santé concernés.

Le décret, qui fera l’objet d’une concertation, doit paraître « courant 2016 », a-t-elle assuré, ajoutant que les services du ministère et de la DSSIS « travaillent d’arrache-pied » pour respecter ce délai.

Source: TIC santé. Lire l’article ici.

Advertisements
Cet article, publié dans Evolutions numériques, International, Risques et menaces, Système de santé et gouvernance, Techniques médicales, Technologies, USA, est tagué , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s