La cybersécurité, véritable enjeu de santé publique

11 janvier 2024 cybersécurité
Un futur règlement pour créer « l'espace européen des données de santé (EHDS) »

Face à l’augmentation des menaces cyber ciblant les établissements de santé, les pouvoirs publics ont considérablement musclé les exigences en matière de cybersécurité. Celle-ci occupe ainsi une place de plus en plus large au sein des programmes nationaux, depuis le dispositif de certification par la Haute Autorité de Santé jusqu’au lancement du plan CaRE (Cybersécurité, accélération et résilience des établissements), en passant par la mise en application de la directive européenne NIS 2.

Le Centre Hospitalier Universitaire de Rouen en 2019, le Centre Hospitalier de Dax en 2021, le Centre Hospitalier Sud Francilien en 2022, le Centre Hospitalier Universitaire de Rennes en 2023… Depuis plusieurs années, les cyberattaques contre les hôpitaux font régulièrement la Une des journaux. Pourtant, ces attaques impressionnantes ne sont que la partie émergée de l’iceberg. En 2022, le rapport de l’Observatoire des incidents du CERT Santé [voir encadré] indique que 39 % des structures de santé « ont été contraintes de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients ». Si, cette même année, seulement la moitié des incidents recensés par le CERT Santé étaient d’origine malveillante, le secteur de la santé reste particulièrement sensible.

« Le risque cyber ne doit pas continuer d’être perçu comme lointain ou vague. Tous les professionnels du monde de la santé doivent avoir conscience qu’il s’agit d’un risque concret et bien réel », a ainsi rappelé le 23 novembre dernier Silvère Ruellan, chef du bureau Santé et Affaires sociales de l’Agence nationale de sécurité des systèmes d’information (ANSSI), lors de la Conférence Cyber & Santé organisée dans le cadre de l’European Cyber Week de Rennes. « Ce constat est partagé », a abondé Clara Morlière, directrice de projet au sein de la Délégation du numérique en santé (DNS), en insistant sur la nécessité de travailler encore sur les volets de la « gouvernance », la « sensibilisation » et la « gestion de crise », tout en « consolidant un socle minimal ».


Un été 2024 à risques

Si les risques de vol de données, de revente et de chantage commencent à s’inscrire dans les esprits, « il y a aussi des menaces moins visibles, liées à des stratégies étatiques, avec des volontés d’espionnage ou de déstabilisation », a également alerté Silvère Ruellan. Et, en la matière, les Jeux olympiques de Paris 2024 s’annoncent déjà comme une période de tensions. Avec plusieurs millions de visiteurs attendus, l’événement « aura un impact sanitaire », a prévenu le représentant de l’ANSSI. Une « préparation au risque cyber » est ainsi prévue au premier semestre 2024, notamment dans les zones concernées par la tenue des épreuves sportives, a annoncé, au cours de la même conférence, Nolwenn François, experte métiers des établissements de santé au sein de l’Agence du numérique en santé.