
Un nouveau rapport présente des informations clés sur la cybersécurité dans le secteur de la santé
On considère généralement que l’Europe est en avance sur les États-Unis en matière de réglementation publique sur la cybersécurité. C’est particulièrement vrai dans le domaine de la santé. En revanche, en ce qui concerne les protocoles de cybersécurité spécifiques à d’autres secteurs, le bilan est plus mitigé, certains secteurs étant en avance sur les États-Unis, d’autres non.
Le secteur de la santé est un secteur vulnérable des deux côtés de l'Atlantique, et un nouveau rapport de l'Agence européenne de cybersécurité (ENISA) met en évidence des informations intéressantes sur l'état du secteur de la cybersécurité appliqué au monde de la santé.
« S’intéresser aux pratiques d’autres pays profite à tout le monde. Si vous êtes en Australie, vous gagnerez probablement à vous tenir au courant de ce qui se passe aux États-Unis. Si vous êtes aux États-Unis, il peut être intéressant d’avoir une bonne compréhension de la cybersécurité en Europe. En matière de cybersécurité, nous sommes tous liés », explique Andrew Craig, consultant en cybersécurité pour le domaine de la santé à Houston.
Le fait que le rapport provienne de ENISA lui confère une solide crédibilité. « Les entreprises privées publient d’innombrables rapports. Même s’ils méritent votre attention, leur valeur ne peut être comparée aux rapports d’un organisme gouvernemental, en particulier quand il mobilise ses ressources pour l’étude d’un sujet particulier », ajoute M. Craig.
Les résultats pointent vers des vulnérabilités majeures
Cinquante-quatre pour cent de toutes les violations de cybersécurité en Europe en 2022 ont touché le secteur de la santé, les hôpitaux en ayant principalement fait les frais.
« Les informations de santé protégées (Protected Health Information ou PHI en anglais) restent les données les plus convoitées par les cybercriminels. Les PHI valent beaucoup plus à la revente sur le Dark Web que les numéros de carte de crédit, les coordonnées bancaires ou les numéros de sécurité sociale », explique M. Craig. Les chiffres de ENISA le confirment et montrent que les dossiers médicaux électroniques sont les ressources les plus ciblées.
Le rapport de ENISA insiste également sur la chaîne d’approvisionnement dans le domaine de la santé et sur les vulnérabilités que peuvent créer les fournisseurs. « La chaîne d’approvisionnement reste le point faible de tout l’écosystème du secteur de la santé. Un hôpital peut être une forteresse, mais si l’entreprise de blanchisserie qu’il utilise a une cybersécurité faible, tout le système peut être compromis », met-il en garde. De plus, l’essor des dispositifs médicaux portables augmente les niveaux de vulnérabilité.
Selon M. Craig, un rapport gouvernemental identifie mieux les acteurs étatiques, ce qui, encore en 2022, posait problème en Europe.
Le rapport de ENISA le dit clairement : les développements géopolitiques et l’activité hacktiviste ont entraîné une hausse des attaques par déni de service distribué (DDoS) menées par des groupes pro-russes contre les hôpitaux et les autorités sanitaires début 2023. Ces attaques représentent 9 % du total des incidents. Bien que cette tendance risque de se poursuivre, l’impact réel de ces attaques reste relativement limité.
Les acteurs malveillants sont activement présents
« Nous ne pensons pas que des acteurs étatiques ont perturbé de manière significative les soins de santé en Europe, mais cela montre tout de même qu’ils sont présents et qu’il ne faut jamais baisser la garde », déclare M. Craig. Parmi les autres préoccupations importantes soulignées dans le rapport, citons :
- Le coût des violations. Le coût médian d'une attaque dans le domaine de la santé est de 300 000 $.
- La défense contre les ransomwares. Malgré la menace, seules 27 % des entreprises interrogées disposent d’un programme dédié de défense contre les ransomwares. Les ransomwares sont la principale menace de cybersécurité à laquelle sont confrontés les hôpitaux. « C’est un trou béant dans la cybersécurité. Mais il existe également une énorme opportunité pour les fournisseurs de services de sécurité gérés (MSP), qui peuvent vendre leurs services en amont et en aval de l’écosystème des soins de santé », ajoute-t-il.
Le rapport de ENISA a également insisté sur la sécurité des patients. « Pendant longtemps, on ne se préoccupait que des données PHI, mais dorénavant, le risque est réel. Plusieurs incidents qui mettaient la vie des patients en jeu (dosage des médicaments, fonctionnement des pacemakers, surveillance des capteurs) se sont d’ailleurs produits », rappelle-t-il. « C’est une menace sérieuse. »
Meilleures pratiques pour les MSP afin d'améliorer les défenses de cybersécurité dans le secteur de la santé
En attendant, le rapport de ENISA a émis plusieurs recommandations pour renforcer les défenses du secteur de la santé, qui, selon M. Craig, sont appelées à faire partie de l’arsenal de tous les MSP.
Parmi ces recommandations :
- Les sauvegardes chiffrées hors ligne de données critiques qui contiennent des informations confidentielles (données au repos) peuvent atténuer les risques de fuites de données.
- Les programmes de sensibilisation et de formation des professionnels de la santé peuvent jouer un rôle dans l’atténuation des attaques par ingénierie sociale et l’amélioration des pratiques de sécurité chez les utilisateurs.
- Une analyse régulière permet d’identifier et de corriger les vulnérabilités (en particulier celles des appareils connectés à Internet) et de limiter la surface d’attaque.
- La correction régulière et la mise en place des dernières mises à jour disponibles sur les logiciels et les systèmes d'exploitation.
- Les bonnes pratiques d'authentification pour les accès à distance doivent être respectées.
- La création, l’actualisation et l’exécution de plans de réponse aux cyberincidents afin d’éviter que les soins aux patients ne soient affectés. Ceux-ci peuvent inclure des plans d’urgence dans chaque service, l’amélioration des canaux de communication et l’accompagnement des professionnels de la santé en vue du bien-être physique et mental.
M. Craig, cependant, souligne que l’aval des dirigeants des établissements de santé est crucial pour que toutes les étapes recommandées fonctionnent. « Un MSP ou un RSSI peut avoir des plans de cybersécurité exceptionnels, si la direction ne leur apporte pas son soutien, la tâche risque d’être ardue. »
Cet article a initialement été publié sur SmarterMSP.com. Abonnez-vous à SmarterMSP.com pour obtenir les toutes dernières informations sur la cybersécurité et les actualités qui vous aideront à améliorer votre activité de MSP.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter