Cybersécurité : comment va la santé en France ?

Le 5 octobre dernier, nos confrères de Ouest France nous l’apprenaient : le groupe Hospi Grand Ouest venait, 48 heures plus tôt, d’être victime d’une cyberattaque. 

Une cellule de crise « très renforcée » a été mise en place le vendredi soir. Première action adoptée : l’isolation des systèmes d’information d’Internet, rapportaient nos confrères. À 20h30 le samedi 5 au soir, « seule La Sagesse est touchée, nous avons des plans d’action pour protéger les huit autres établissements ».

Si l’impact d’une cyberattaque sur l’activité d’un établissement de santé est toujours aussi remarquable, force est de constater que le nombre d’incidents affectant le secteur de la santé n’a cessé de reculer au fil des ans. 

Depuis le début de l’année, nous avons ainsi compté dix incidents rapportés dans la presse ou revendiqués par des cybercriminels. Sur l’ensemble de 2023, nous en avions recensé 17. Pour l’année précédente, nous étions à 19, contre 20 en 2021. L’inventaire complet est présenté dans la frise chronologique, à la fin de cet article.

Les comptes du CERT Santé, rattaché à l’agence du numérique en Santé, sont plus représentatifs, car les établissements de santé doivent signaler « sans délai » les incidents de cybersécurité survenus depuis la fin 2017. Et justement, le CERT Santé a commencé, en 2022, à publier mensuellement des indicateurs sur l’origine des incidents de sécurité déclarés.

Pour 2024, ces indicateurs font ressortir 25 incidents impliquant rançongiciel et chiffrement à fin septembre, contre 33 l’an dernier, sur la même période. Mais la rentrée 2023 s’était avérée particulièrement brutale pour le secteur de la santé.

Le nombre de compromissions est également en recul sur un an pour les 9 premiers mois de 2024 avec 84 cas rapportés par le CERT Santé, contre 104.

Le secteur de la santé n’est pas épargné par les cybercriminels. Mais il apparaît tirer les bénéfices d’une préparation accrue, contrairement à l’impression que pourrait donner la médiatisation naturelle de la plupart des incidents.

Au printemps dernier, le CERT Santé indiquait avoir reçu 581 déclarations d’incident de cybersécurité en 2023, un niveau considéré comme stable par rapport à l’année précédente (592), dont toujours 50 % d’origine malveillante. Mais le nombre d’établissements déclarants a toutefois progressé de 9 % d’une année sur l’autre.

Pour le CERT, deux tendances s’opposant expliquaient ces constatations. Tout d’abord, il y a la prévention, « en particulier lorsque des campagnes d’exploitation de vulnérabilités critiques ont été identifiées » et une maturité en progression qualifiée de « sensible » quant à la gestion de la surface d’attaque exposée. De quoi faire reculer le nombre d’incidents d’origine malveillante.