Les mesures à prendre contre les attaques par rançongiciel
Par Philips ∙ 26 août 2024 ∙ Temps de lecture : 4 min
Le secteur de la santé est une cible privilégiée, vulnérable et de grande valeur pour les cybercriminels. En raison de l’obsolescence progressive des systèmes et la valeur des données traitées, le volume des attaques annuelles par rançongiciel contre les établissements de santé a quasiment doublé depuis 20221. La complexité des infrastructures hospitalières et l’intégration de dizaines d’appareils connectés rendent leur protection particulièrement difficile. Pourtant, des systèmes médicaux sont conçus pour résister aux menaces qui pèsent sur le secteur. En adoptant de bonnes pratiques de sécurité et en s’appuyant sur les technologies et solutions dédiées au secteur de la santé proposées par Philips, les établissements hospitaliers peuvent renforcer leurs défenses contre les attaques par rançongiciel.
L’article en bref
Les attaques par rançongiciel contre les établissements de santé sont lourdes de conséquences. Une étude portant sur les attaques par rançongiciel survenues entre 2016 et 2021 révèle que 44 % d’entre elles ont perturbé la prestation des soins de santé, notamment en provoquant des pannes du système électronique (41,7 %), l’annulation des soins programmés (10,2 %) et le déroutement d’ambulances (4,3 %)2. S’appuyant sur les premiers résultats d’une étude, un économiste de la santé de l’Université du Minnesota a déclaré que le risque de mortalité intrahospitalière augmente de 20 à 35 % environ pour les patients admis dans un hôpital touché par une attaque par rançongiciel3. Outre l’impact clinique, ces attaques causent des perturbations significatives sur les opérations administratives, en particulier sur la facturation et la paie, et portent atteinte à la réputation de l’établissement.
Les cyberattaques peuvent perturber les systèmes critiques, rendre les données inaccessibles et compromettre la capacité des systèmes de santé à assurer la sécurité des patients et à prodiguer des soins avec promptitude. Ce sont finalement les patients qui pâtissent le plus de ces situations. Les cliniciens quant à eux peuvent se trouver dans l’incapacité de réaliser certaines procédures ou de prescrire des médicaments, alors que les pharmaciens ont des difficultés à accéder aux informations leur permettant de préparer les médicaments prescrits. De plus, la mise hors service du processus de facturation limite la capacité de l’établissement à accueillir et prendre en charge un nombre de patients optimal.
44,4 % des attaques par rançongiciel ont perturbé la prestation des soins de santé2.
Ces attaques ne sont pas une fatalité. Vous pouvez agir pour atténuer le risque d’une attaque par rançongiciel. Vous pouvez, par exemple, vous renseigner sur les menaces propres aux établissements de santé et les raisons de ces risques, sur le mode opératoire des cybercriminels et sur les solutions proposées par des entreprises telles que Philips pour protéger votre établissement.
Pourquoi les systèmes de santé sont-ils vulnérables face à ces attaques ?
Les systèmes de santé sont des cibles particulièrement intéressantes pour différentes raisons : des données au format numériques, des réseaux complexes comportant une multitude de points d’accès, des appareils souvent dépourvus des dernières mises à jour de sécurité, sans oublier les vulnérabilités liées au facteur humain et le manque de contrôle.
De plus en plus, les appareils médicaux et les dispositifs portables peu sécurisés connectés à Internet ouvrent des voies d’accès aux réseaux des établissements hospitaliers. C’est notamment le cas des appareils soumis à des cycles de correctifs peu fréquents et insuffisamment protégés contre les logiciels malveillants les plus récents. Autre facteur : les chaînes d’approvisionnement dans le secteur de la santé sont devenues de plus en plus complexes. Même les petits établissements intègrent une kyrielle d’appareils mobiles. Cette complexité est accentuée par la multitude de prestataires et de fournisseurs tiers connectés aux systèmes hospitaliers. En conséquence, il devient quasiment impossible pour les hôpitaux d’avoir une visibilité totale et un contrôle absolu des composantes de leurs réseaux, une situation qui ne fait qu’amplifier les risques de cyberattaques et leurs conséquences.
Les pénuries de main-d’œuvre clinique et administrative constituent un facteur humain non négligeable. Cette réduction des effectifs combinée à une charge de travail accrue relègue la cybersécurité au second plan, entraînant des erreurs et laissant le champ libre aux cybercriminels.
Par ailleurs, la sensibilisation à la cybersécurité est souvent négligée, exposant les employés à des comportements à risque au bénéfice des cybercriminels. D’après un rapport du National Institute of Health, 90 % des violations commencent par une attaque de phishing (hameçonnage via des e-mails de masse) ou de spear phishing (hameçonnage via des e-mails ciblés)4. Dans les deux cas, les pirates informatiques utilisent des e-mails ou des sites web frauduleux pour collecter des informations comme des identifiants de connexion au PACS. Ledit rapport cite une étude américaine révélant que lors d’une simulation, les professionnels de la santé avaient cliqué sur un e-mail frauduleux sur sept.
Le coût des failles de sécurité dans le secteur de la santé.
En 2024, le coût moyen d’une violation des données médicales s’élevait à 9,77 millions de dollars5.
Pourquoi les cyberattaques visant le secteur de la santé sont-elles rentables ?
Les dossiers patients informatisés (DPI), qui facilitent le partage des données médicales et permettent une meilleure prise en charge des patients, constituent une mine d’informations sensibles particulièrement convoitée par les cybercriminels.
Une fois qu’un rançongiciel a verrouillé les dossiers d’une organisation, les cybercriminels exigent le paiement d’une rançon. Commence alors une véritable course contre la montre pour l’établissement touché afin de rétablir l’accès au système et/ou aux données des patients. Pour un système de santé d’envergure, la sauvegarde de millions de dossiers est un processus chronophage qui ne peut pas être accompli dans les délais imposés par les pirates, et ces derniers en sont bien conscients. En l’absence de sauvegardes exploitables ou si celles-ci ont été cryptées, l’établissement n’a souvent d’autre choix que de payer la rançon pour récupérer ses dossiers6 . Souvent, les établissements de santé préfèrent payer le montant exigé pour rétablir rapidement leurs services et éviter une humiliation publique et la défiance des patients.
Si l’établissement de santé refuse de payer, les auteurs de la menace peuvent toujours gagner de l’argent en vendant les informations sur le dark web. Les informations de santé protégées (ISP) ont une valeur élevée, car elles peuvent être largement exploitées, notamment pour déposer de fausses déclarations d’assurance, établir de fausses ordonnances ou recevoir des soins médicaux7. Les dossiers volés sont devenus une marchandise et leur valeur dépend autant de leur provenance que de l’offre et de la demande. En mars 2024, un chercheur en cybersécurité interrogé sur CNBC a déclaré qu’un dossier médical était vendu environ 60 dollars sur le dark web, un numéro de sécurité sociale, 15 dollars, et les données de carte de crédit, 3 dollars8.
Que peuvent faire les systèmes de santé pour atténuer les attaques par rançongiciel ?
Cedric L. Truss, directeur de programme et professeur adjoint clinique en informatique de la santé à l’Université d’État de Géorgie, recommande aux établissements de prendre des mesures appropriées pour prévenir les attaques par rançongiciel6 , parmi lesquelles :
Que fait Philips pour protéger les systèmes d’imagerie ?
Philips applique une politique de cybersécurité approfondie qui consiste notamment à effectuer une veille des vulnérabilités de sécurité émergentes et des menaces externes potentielles. L’entreprise collabore avec des agences de réglementation, des partenaires du secteur et des prestataires de soins de santé, entre autres, pour remédier aux failles de sécurité et mettre en place des mesures de protection.
Les solutions d’informatique en radiologie intègrent dès le développement des normes de sécurité importantes telles que NIST, ISO, DICOM, IHE et DIACAP (aujourd’hui RMF). Nous examinons par ailleurs attentivement les lois internationales, telles que la HIPAA et la directive européenne relative à la protection des données, afin de recenser les exigences des produits et d’appliquer les dernières orientations. Le Product Security Framework garantit que les appareils médicaux sont conçus en respectant une stratégie de sécurité complète. Cette dernière intègre plusieurs niveaux de contrôle de sécurité couvrant les applications, l’informatique, les données et le réseau. Ces contrôles, alignés sur les normes de sécurité mondiales, sont rigoureusement intégrés à nos solutions médicales afin de limiter efficacement les cybermenaces.
Conformément aux bonnes pratiques du secteur, les mesures de cybersécurité que nous mettons en œuvre dans l’informatique radiologique incluent :
Abonnez-vous à nos mises à jour par e-mail
Solution d’informatique radiologique de bout en bout qui peut vous aider à optimiser votre processus de travail radiologique grâce à une stratégie unifiée pour toutes vos opérations d’imagerie, de la gestion des prescriptions à la diffusion des comptes rendus.
Notes de bas de page
[1] Ransomware Attacks Surge in 2023; Attacks on Healthcare Sector Nearly Double. CTIIC. 28 février 2024. www.dni.gov/files/CTIIC/documents/products/Ransomware_Attacks_Surge_in_2023.pdf [2] Neprash H. McGlave C. Cross D. et al. Trends in Ransomware Attacks on US Hospitals, Clinics and Other Health Care Delivery Organizations, 2016-2021. JAMA Health Forum. 2022;3(12):e224873. Doi:10.1001/jamahealthforum.2022.4873. [3] Levi R. Ransomware Attacks Against Hospitals Put Patients’ Lives at Risk, Researchers Say. Morning Edition. 20 octobre 2023. www.npr.org/2023/10/20/1207367397/ransomware-attacks-against-hospitals-put-patients-lives-at-risk-researchers-say [4] Owens B. How Hospitals Can Protect Themselves from Cyber Attack. CMAJ. 27 janvier 2020 ; 192(4): E101–E102. doi: 10.1503/cmaj.1095841 www.ncbi.nlm.nih.gov/pmc/articles/PMC6989022/ [5] Southwick, R. Healthcare data breaches remain most expensive of any industry. Chief Healthcare Executve. 30 juillet 2024. www.chiefhealthcareexecutive.com/view/healthcare-data-breaches-remain-most-expensive-of-any-industry [6] Truss C. Taking Steps to Prevent the Rise of Ransomware Attacks in Healthcare. [7] Why is PHI Valuable to Hackers? Blog. 25 janvier 2022. www.accountablehq.com/post/why-is-phi-valuable-to-hackers/ [8] Diaz N. How Much Money Are Hackers Selling Medical Records For? Becker’s Health IT. 15 mars 2024. www.beckershospitalreview.com/cybersecurity/how-much-money-are-hackers-selling-medical-records-for.html *Disponible uniquement dans certains pays
www.himss.org/resources/taking-steps-prevent-rise-ransomware-attacks-healthcare. 24 août 2021
Vue PACS est un dispositif médical de classe IIa fabriqué par Philips et dont l’évaluation de la conformité a été réalisée par l'organisme notifié TUV Rheinland CE0197. Il est destiné à la visualisation et au stockage des images. Les actes effectués avec ce dispositif sont pris en charge par les organismes d’assurance maladie dans certaines situations. Lisez attentivement la notice d’utilisation. Août 2025
