Etablissements de santé : se protéger contre les cyberattaques

Qu'est-ce que le programme CaRE ?

Le secteur de la santé étant le troisième secteur le plus touché par les cyberattaques, les autorités ont réagi et mis en place le programme CaRE.
Un plan d’actions ministériel concret visant à rendre tous les établissements de santé plus résilients et mieux préparés aux risques cyber grâce à une enveloppe globale de 750 M€. Ce plan a démarré en 2023 et se poursuivra jusqu’en 2027.

Les défis cyber des acteurs de la santé

Les établissements de santé font désormais face à un nouveau fléau : les cyber menaces. Parmi les victimes de compromissions par ransomware, l’ANSSI indique que ce secteur est l’un des plus ciblés et occupe une part importante des victimes d'attaques en 2022*.

La numérisation progressive notamment au niveau des interconnexions entre les systèmes informatiques et les équipements augmente considérablement la surface d'attaque. D’autant que les données relatives à la santé ont une valeur importante en raison de la multitude d'informations qu'elles contiennent. La valeur moyenne des dossiers médicaux sur le dark web est estimée à 100 $, alors qu'un numéro de carte de crédit ne vaut que 1 ou 2 $.

*Résultat référencé dans le Panorama de la cybermenace 2022 de l'ANSSI.

La santé fait partie des secteurs les plus sensibles aux grandes menaces externes

Notre dernier rapport annuel révèle que le secteur de la santé arrive en 7e position en termes de volume d'incidents signalés et enregistre la plus haute proportion d'incidents de sécurité externes.

Parmi ces incidents, nos chercheurs et experts ont également constaté un nombre élevé d’anomalie de réseau et d'application, ainsi qu’une augmentation spectaculaire des incidents malware et d’ingénierie sociale.

Télécharger le Security Navigator 2024

Comment protéger votre établissement de santé contre les cyber menaces ?

Prévenir les risques

Connaître vos faiblesses, patcher vos vulnérabilités dès que les correctifs sont publiés, tester votre système et auditer régulièrement vos applications. Découvrir nos offres sur le sujet.

Sensibiliser vos agents

La majorité des cyberattaques sont issues d’une erreur humaine, souvent liée à un manque de sensibilisation aux risques potentiels et vecteurs d’attaque en lien avec leurs tâches quotidiennes.

Sécuriser vos actifs

Il est vital de protéger l’ensemble de vos actifs de santé. Vous devez sécuriser vos outils mobiles, ordinateurs et réseaux pour prévenir des intrusions avec une solution avancée de détection de menaces.

*OSE : Opérateurs de services essentiels.

Se conformer aux réglementations

La majorité des établissements de santé sont des OSE*. À ce titre, ils doivent mettre en place les mesures de sécurité nécessaires pour détecter tout type de cyber incident, les notifier aux autorités nationales compétentes et se conformer aux réglementations telles que le RGPD, la LPM et le NIS2.

Cyber-résilience : se préparer pour mieux gérer une crise cyber

Il est essentiel que les établissements de santé soient prêts à faire face aux menaces croissantes, de plus en plus sophistiquées et ciblées et donc se préparer à réagir efficacement lors d'une crises cyber. Les autorités gouvernementales reconnaissent aussi l'importance de la cyber-résilience et soutiennent les entreprises en facilitant l'accès à des ressources et à des programmes de formation spécialisés permettant à tous les acteurs de la santé de renforcer leur posture de sécurité et de se prémunir contre les attaques potentielles.

Chez Orange Cyberdefense nous encourageons à aborder la gestion de crise d’origine cyber dans sa temporalité : avant, pendant et après.

Le but étant de prévoir pour mieux guérir. Cela passe par des simulations de crise cyber, qui vous plongent dans la situation la plus réelle possible, vous permettant de vous mettre dans des conditions que vous pouvez rencontrer dans la vraie vie, et d’acquérir les bons réflexes en cas de réelle attaque.

Focus sur la directive NIS2

En 2022, le Parlement européen a voté en faveur de la mise à jour de la directive NIS2, marquant ainsi une étape majeure dans le renforcement et l'harmonisation des capacités de cybersécurité des États. Cette directive identifie les entreprises des secteurs essentiels dont la cessation d'activité pourrait avoir un impact significatif sur le fonctionnement national.

Elle inclut désormais 11 secteurs qualifiés de "hautement critiques", comme les prestataires de soins de santé, ainsi que 7 autres secteurs "critiques", tels que les fabricants de dispositifs médicaux et les entreprises de recherche. Garantir la conformité à ces exigences devient donc d'autant plus essentiel.