Au vu des dernières attaques informatiques, la cybersécurité s’avère primordiale pour toutes les entreprises, et pour les hôpitaux en particulier. En effet, ces derniers disposent de données sensibles : celles relatives à notre santé, un domaine privé par excellence. Devant le risque que les attaques représentent, l’État a dépensé 136 millions d’euros par le biais d’un plan de relance visant à sécuriser les structures publiques telles que les hôpitaux.
Mais en fait, qu’est-ce qu’une cyber-attaque et comment les établissements peuvent-ils assurer leur propre sécurité informatique ? Nous vous expliquons tout ici.
Qu’est-ce que la cybersécurité ?
Définition
Ce néologisme regroupe tous les moyens permettant d’assurer la protection de certaines données par le biais d’une infrastructure numérique. La cybersécurité est une nécessité absolue pour bon nombre d’entreprises.
Les intérêts de la cybersécurité
Les établissements de santé qui, rappelons-le, ont pris depuis quelques années un virage numérique disposent d’équipements informatiques performants et innovants. Ce virage a d’ailleurs été largement renforcé depuis la pandémie de covid. Applications mobiles, recueils de données digitalisées, monitoring à distance sont autant de portes ouvertes vers la possibilité de voir ces renseignements “s’envoler”. En effet, les hackers sont eux aussi de plus en plus performants et n’hésitent plus à pénétrer les réseaux de santé.
Or, ces données ultra-sensibles nécessitent une sécurité accrue. Les demandes de rançon deviennent monnaie courante : c’est ici que la cybersécurité intervient. Elle permet de sécuriser les téléchargements, les transmissions d’informations médicales ou encore d’empêcher les hackers d’entrer dans les réseaux internes. Elle protège ainsi de la divulgation des données.
Les enjeux de la cybersécurité pour les hôpitaux
La divulgation de données personnelles sensibles
Quoi de plus sensible que les données personnelles sur notre santé ? Personne ne souhaite que son état de santé soit dévoilé aux yeux de tous. Or, par le biais de notre carte vitale, nos résultats biologiques ou nos comptes-rendus radiologiques informatisés par exemple, ces données peuvent être accessibles, en théorie. En pratique, il est évident que les établissements de soins renforcent largement leur cybersécurité, sans doute bien plus que la plupart des entreprises.
En cas d’intrusion malveillante, les hackers menacent généralement de révéler au grand public toutes les données personnelles des patients de l’hôpital visé. Ils demandent alors une contrepartie financière pour restituer l’accès aux réseaux et la non-divulgation des informations.
Le respect du secret professionnel
Cette divulgation des données pose bien évidemment le problème du secret professionnel. Il est systématiquement engagé dès lors que vous entrez dans un établissement de santé. Toutes vos informations personnelles, vos résultats, vos diagnostics, vos traitements, vos échanges avec les différents professionnels sont sous le joug du secret.
De fait, l’établissement se doit de ne pas trahir cette obligation, sous quelque forme que ce soit. La cybersécurité est primordiale, voire vitale pour l’hôpital.
Les enjeux économiques
L’argent est au cœur de ces demandes de rançon. Les hackers demandent du numéraire, beaucoup de numéraires, pour que les établissements puissent reprendre le contrôle de leur système informatique. Or, les cliniques et les centres de soins ne disposent pas de telles sommes. Les soins publics ne sont pas à but lucratif et les hôpitaux ne disposent pas de moyens financiers illimités, tant s’en faut. Éviter les hackers c’est également éviter les demandes de rançon.
Parlons également des frais engendrés par les cyberattaques. L’hôpital d’Arles, visé en 2021, a dû dépenser plusieurs centaines de milliers d’euros après cette attaque. Cette somme a été dépensée pour les prestations d’assistance, les heures supplémentaires du personnel des services informatiques, le recrutement de personnel pour la saisie de plus de 40 000 actes de soins et leur encodage. Des conséquences financières très lourdes.
Les dysfonctionnements des établissements
Par la pratique du phishing et du ransomware, les pirates informatiques parviennent à bloquer l’accès aux fichiers et ainsi priver les établissements de leurs outils de travail. Le ransomware entraîne un dysfonctionnement qui s’avère être de véritables casse-tête pour le personnel soignant. Ces derniers n’ont alors plus accès aux informations essentielles à la prise en charge des patients. De plus, toutes les nouvelles données doivent être stipulées par écrit dans le dossier du patient et les transmissions interprofessionnelles deviennent délicates. En bref, c’est tout le système hospitalier qui se trouve paralysé, au détriment du personnel et, par effet domino, du patient.
Comment assurer la cybersécurité ?
Dans les entreprises
Phishing, ransomware, spyware, déni de service sont autant d’attaques auxquelles les entreprises doivent faire face elles aussi. Pour les dirigeants, la sécurité informatique des données est essentielle.
Pour répondre à leurs attentes, il existe aujourd’hui des solutions permettant de renforcer la cybersécurité :
- gestion des identités et des accès au réseau ;
- formation de personnel consacré ;
- logiciels “clé en main” pour la sécurisation des mails entrants ;
- appel aux entreprises qualifiées dans la cybersécurité…
Dans les établissements de soins
Des moyens humains et financiers ont été mis à disposition des SIH (système d’information hospitalier) par le biais de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Elle est en étroite collaboration avec l’ACSS (accompagnement cybersécurité des structures de santé). Le gouvernement a consacré un budget de 350 millions d’euros pour la sécurisation des SIH et 25 millions pour la réalisation d’audits sécuritaires.
L’État a pris acte qu’il est indispensable d’investir dans la sécurisation des hôpitaux.
La cybersécurité est vitale pour les établissements de soins : dévoilement de données confidentielles, conséquences humaines et financières obligent le secteur de la santé à se protéger efficacement. Cogis Networks se fait un devoir de répondre à toutes les exigences de sécurité et de confidentialité que requièrent les données sensibles.
