Alors que le nombre d’ « incidents » de cybersécurité dans les établissements de santé a doublé en 2021 par rapport à 2020, « parmi les 80 mises en danger patient de cette année 2021 (11 % du nombre total d’incidents), 5 incidents ont entrainé une mise en danger patient avéré », relève le CERT Santé.
« En 2021, 582 établissements ont déclaré 733 incidents, soit pratiquement le double par rapport à 2020 », indique le dernier rapport de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé :
« Cette hausse est liée non seulement à des incidents majeurs rencontrés par des prestataires et ayant impacté plusieurs centaines de structures des secteurs sanitaire et médico-social (40% des incidents signalés) mais également à un taux mensuel moyen de déclaration ayant augmenté de 33% passant de 30 à 40 signalements par mois (hors incidents prestataires). »
Pour autant, « le taux de déclaration reste relativement faible au regard du nombre de structures concernées par cette obligation » : le secteur comprend en effet 3 306 établissements de santé au 31 décembre 2018, et près de 35 000 établissements ou services médico-sociaux.
Une remarque similaire avait déjà été faite en ce sens dans le rapport 2019, alors que 300 établissements ont déclaré 392 incidents, soit une augmentation de 20 % par rapport à 2018, qui avait dénombré 247 structures ayant déploré 327 incidents. À titre de comparaison, 369 incidents avaient été déclarés en 2020, alors que la pandémie avait pourtant vu certains établissements de santé être spécifiquement ciblés.
De plus, si 2021 « a été marquée par de nombreux incidents majeurs liés à des attaques de rançongiciels » ou à « l’exfiltration massive de données […] il n’y a pas eu cependant à ce jour d’attaque coordonnée visant à désorganiser fortement le système de soins français ».
Cette remarque est d’importance, d’une part au vu des cyberattaques ayant ciblé des hôpitaux et établissements de soin pendant la pandémie, d’autre part parce que le ministère des Solidarités et de la Santé a lancé une campagne de cybersécurité en juin 2019, notamment au travers de son initiative #TousCybervigilants.
Cette initiative a pour but de « sensibiliser et d’accompagner les structures sanitaires et médico-sociaux pour faire face aux actes de cybermalveillance », mais également parce qu’on assiste aussi à une montée en puissance de son CERT Santé (pour Computer Emergency Response Team, le centre d’alerte et de réaction aux attaques informatiques du ministère).
Porté par l’Agence du numérique en santé (ANS), c’est « le premier CERT sectoriel en France », qui a de plus, et « après avoir été accompagnée par l’ANSSI pour gagner en maturité », intégré en janvier 2021 dans l’InterCERT FRANCE (anciennement InterCERT-FR), l’association loi 1901 qui constitue la première communauté de Computer Security information Response Team (CSIRT) en France :
« Avec le Ségur du numérique en santé et France Relance, le ministère des Solidarités et de la Santé, avec l’appui opérationnel de l’ANS, et l’ANSSI ont investi massivement dans l’amélioration de la sécurité des systèmes d’information de santé. La collaboration entre l’ANS et l’ANSSI en matière d’alerte et de réponse à incident s’est accentué en 2021. »
« Au total, 350 millions d’euros issus du Ségur de la Santé sont fléchés directement au renforcement du niveau de protection des structures de santé et du médico-social, ainsi qu’à la montée en puissance du dispositif de cyberveille du secteur de la santé », souligne à ce titre Acteurs Publics, pour qui cette augmentation du nombre d’incidents enregistrés relèverait aussi d’une « meilleure prise en compte par les établissements de santé », et qui précise que « par ailleurs, l’Anssi a elle ciblé 20% des 136 millions d’euros du plan de relance cyber des services publics, vers les établissements de santé ».