Les incidents de sécurité ont doublé en un an

Consultez le rapport 2021 de l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé.

Le renforcement du niveau de sécurité numérique des acteurs du secteur santé est une priorité pour le ministère des Solidarités et de la Santé. Concernant la sécurité opérationnelle, l’Agence du Numérique en Santé joue un rôle central, en particulier depuis l’intégration du CERT Santé au sein de l’InterCERT-FR en janvier 2021.

Aujourd’hui plus que jamais, la mobilisation de tous les acteurs, directions, experts techniques et professionnels de santé est nécessaire afin de parer aux menaces de cybercriminalité qui s’intensifient dans un contexte général instable.

L’année 2021 a été marquée par de nombreux incidents majeurs liés à des attaques par rançongiciel (CH de Dax, Villefranche-sur-Saône ou Arles) mais aussi à l’exfiltration massive de données (AP-HP et encore récemment la CNAM ). Il n’y a pas eu cependant à ce jour d’attaque coordonnée visant à désorganiser fortement le système de soins français.

En 2021, le CERT Santé, qui assure également la mission de prévention et d’alerte face aux menaces de cybersécurité auprès des établissements santé et services médico-sociaux, a géré le double de déclarations d’incident (733) par rapport à 2020. Cette augmentation s’explique en partie par les incidents rencontrés par des prestataires de services (hébergeurs en particulier) ayant une part de marché significative. Plusieurs centaines de structures des secteurs sanitaire et médico-social (40% des incidents signalés) ont ainsi été impactées.

Le nombre moyen mensuel de déclaration a lui aussi augmenté de 33%, même s’il reste relativement faible au regard du nombre de structures concernées par cette obligation de déclaration.

La déclaration des établissements et services médico-sociaux est en forte hausse (multipliée par 4) par rapport à 2020, en particulier pour les établissements accueillant des personnes en situation de handicap, ce qui atteste de leur bonne compréhension de l’extension du dispositif à leur secteur d’activité.

Avec le Ségur du numérique en santé et France Relance, le ministère des Solidarités et de la Santé, avec l’appui opérationnel de l’ANS, et l’ANSSI ont investi massivement dans l’amélioration de la sécurité des systèmes d’information de santé. La collaboration entre l’ANS et l’ANSSI en matière d’alerte et de réponse à incident s’est accentuée en 2021. Les deux agences œuvrent en synergie pour aider les acteurs à gagner en maturité et atteindre un niveau de résilience collective indispensable pour surmonter une attaque de grande ampleur.

Depuis le début de l’année 2022, le CERT Santé renforce son accompagnement et améliore les outils mis au service des établissements et acteurs de la santé et du médico-social pour les aider à développer leur capacité à faire face à une menace toujours plus complexe.

Un seul mot d’ordre collectif : TOUS CYBERVIGILANTS !