Selon un rapport de l'Observatoire des signalements d'incidents de sécurité des systèmes d’information pour le secteur santé, le CERT Santé, qui assure un accompagnement aux établissements de santé lorsqu'ils subissent un incident de sécurité, a dû faire face à 733 déclarations d'incidents en 2021. Ce nombre correspond à une augmentation de presque 100 % par rapport à 2019 (392) et 2020 (369).

Une recrudescence des cyberattaques dans les organismes de santé en 2021

Ces 733 incidents de sécurité ont pu être déclarés par 582 établissements de santé à l'aide d'un portail de signalements dédié. Là aussi, c'est plus du double du nombre de structures ayant déclaré au moins un incident en 2020. Parmi ces établissements, 189 d'entre elles ont demandé d'être accompagnées par le CERT Santé pour améliorer la sécurité de leur infrastructure ou de leurs outils informatiques.

Si le CERT Santé est intervenu dans la plupart de ces incidents, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et France Sûreté Sécurité Incendie (FSSI) sont intervenus au profit de 37 structures de santé.

De plus en plus d'hôpitaux et d'organismes de santé font face à un grand nombre d'attaques informatiques. En février 2021, l'hôpital de Villefranche-sur-Saône a subi un ransomware qui a obligé l'établissement à reporter ses interventions chirurgicales. Si aucun incident au niveau de la santé des patients n'a été à déplorer ce jour-là, cela n'a pas été le cas en Allemagne où une femme est décédée au cours d'une attaque par rançongiciel à l'hôpital universitaire de Düsseldorf.

Pourquoi le nombre d'attaques a-t-il doublé en 2021 ?

Selon le rapport, la hausse des incidents de sécurité en 2021 par rapport aux années précédentes s'explique par l'utilisation plus prononcée des prestataires de services (hébergeurs) par les organismes de santé. Leur part de marché étant plus significative, dès lors que ces prestataires sont touchées par une cyberattaque, leurs clients le sont quasiment tout autant.

Il est important de noter que ces incidents ne sont pas forcément d'origine malveillante : seuls 52 % le sont. Parmi les problèmes de sécurité rencontrés n'ayant aucune origine malveillante, on retrouve notamment les pannes d'hébergeurs, mais aussi la perte du lien télécom, qui impacte le fonctionnement des activités métier des structures de santé. Au contraire, le nombre de déclarations lié à un bug applicatif est le même en comparaison à 2020.

Pour ce qui est des incidents de nature malveillante, le rapport précise que l'année 2021 a été marquée par un grand nombre de vols d'identifiants de comptes de messagerie et de comptes d'accès à distance (via phishing, en exploitant certaines vulnérabilités sur des équipements non mis à jour ou bien en testant un grand nombre de mots de passe pour trouver celui correspondant à un identifiant). L'AP-HP en a notamment fait les frais en septembre 2021, victime d'un vol massif de données médicales.