
Les menaces qui pèsent sur la sécurité des e-mails dans le secteur de la santé
En août, Barracuda a publié son cinquième rapport annuel sur les incidents liés aux ransomwares signalés dans le monde, qui montre que les attaques par ransomware contre les établissements de santé ont plus que doublé depuis 2022. Cette recherche se base sur des incidents signalés publiquement et parvient globalement aux mêmes conclusions que d’autres études qui prennent en compte à la fois les incidents signalés et non signalés.
Toutefois, si l’on considère les soins de santé en comparaison à d’autres secteurs, le tableau est plus complexe. Dans de nombreux cas, le secteur de la santé subit moins de cyberincidents majeurs que les autres secteurs, mais les attaques font les gros titres en raison du risque et du caractère sensible de l’activité elle-même et des données des patients. Dans certains cas, une autre raison est que l'impact, bien que limité, peut avoir des conséquences graves.
Le secteur de la santé est une cible constante des cyberattaques
En mars, une attaque par ransomware sur l’un des principaux hôpitaux de Barcelone a paralysé le système informatique et a forcé l’annulation des opérations non urgentes et des visites de contrôle. Les pirates ont passé les mois suivant l’attaque à publier en ligne des données prétendument volées, l’hôpital ayant refusé de payer la rançon.
Quelques mois plus tard, en août, une cyberattaque contre Prospect Medical Holdings aux États-Unis a perturbé les systèmes informatiques des hôpitaux dans tout le pays, obligeant les services d’urgence de plusieurs États à fermer et les itinéraires de certaines ambulances à être modifiés.
Comprendre et faire face aux cyber-risques auxquels sont confrontés les établissements de soins de santé est essentiel.
La gestion du risque lié aux e-mails est un bon point de départ. Les e-mails restent un vecteur d’attaque important. Ils ont un taux de réussite élevé et sont un point d’entrée courant pour de nombreuses autres cyberattaques. Et dans le monde post-pandémie, où le passage aux soins de santé numériques et aux données connectées s’accélère, la surface d’attaque s’élargit, ce qui rend les établissements de santé plus exposés que jamais.
45 % des établissements de santé ont déclaré se sentir beaucoup plus en sécurité en 2022, ceci en dépit du fait que 77 % d’entre eux ont été victimes d’une atteinte à la sécurité des e-mails
Dans une récente étude internationale menée auprès d’organisations de taille moyenne, 77 % des répondants du secteur de la santé ont déclaré avoir été victimes d’une atteinte à la sécurité de leur messagerie en 2022. Le chiffre est de 75 % tous secteurs confondus.
Malgré cela, les personnes interrogées dans les établissements de santé se sont montrées optimistes quant à leur capacité de résister à un incident de cybersécurité : 45 % d’entre elles ont déclaré se sentir « beaucoup » plus en sécurité que l’année précédente, contre 34 % pour l’ensemble des secteurs. Cela est probablement dû plus aux pratiques, aux politiques et à la sensibilisation des employés qu’aux investissements. En effet, seuls 10 % des répondants ont déclaré que leur organisation avait investi davantage dans la cybersécurité en 2022, soit l’avant-dernier chiffre pour l’ensemble des secteurs.
Le secteur de la santé est plus confiant que beaucoup d’autres secteurs dans sa capacité à lutter contre les menaces par e-mail
Barracuda a identifié 13 types de menaces par e-mail, allant du phishing proprement dit aux liens ou aux pièces jointes malveillants, en passant par les techniques de social engineering sophistiquées telles que la BEC (business email compromise), le détournement de conversations et le piratage de compte. Les établissements de santé sont moins susceptibles que beaucoup d’autres secteurs de se sentir mal préparés face à ce type de menaces par e-mail.

Les établissements de santé éprouvent le plus de difficultés à faire face aux coûts de récupération après un incident lié à la sécurité des e-mails
En réponse à la question de l’impact principal d’une attaque réussie contre la sécurité des e-mails, un peu moins de la moitié (44 %) des établissements de santé interrogés ont cité les coûts de récupération (contre 31 % dans l’ensemble des secteurs), le montant moyen des attaques les plus coûteuses approchant le million de dollars (975 000 USD).
Les budgets des établissements de santé sont souvent grevés, et la combinaison de ressources limitées, de systèmes technologiques complexes et souvent critiques, mais aussi de la pression exercée pour que tout fonctionne à nouveau le plus rapidement possible, sont probablement des facteurs qui contribuent à ce que les coûts de récupération soient l’impact le plus souvent cité.
Il faut noter cependant que la perte de données sensibles, confidentielles ou stratégiques est inférieure à la moyenne (29 % contre 43 % dans l’ensemble des secteurs). Cela peut s’expliquer par le fait qu’après avoir été la cible de cyberattaques pendant de nombreuses années, les établissements de santé ont adopté des politiques particulièrement strictes en matière de partage, de stockage et de backup de toutes les données médicales et d’autres informations de santé protégées (PHI).

60 % ont été touchés par des ransomwares, ce qui fait du secteur des soins de santé l'un des secteurs les moins touchés
L’enquête a révélé que 60 % des établissements de santé interrogés avaient été victimes d’une attaque par ransomware, soit la deuxième proportion la plus faible après les services aux consommateurs (50 %) et en dessous de la moyenne de l’ensemble des secteurs (73 %). Un chiffre équivalent peut être retrouvé dans d’autres études, même si l’on pourrait s’attendre à un résultat nettement supérieur.

29 % des établissements de santé ont signalé deux incidents de ransomware ou plus, contre un chiffre global de 38 %. Cela suggère que les attaques ne sont pas toujours entièrement neutralisées ou que les failles de sécurité ne sont pas toujours identifiées et corrigées après l'incident initial.
La bonne nouvelle, c’est que plus de la moitié (59 %) ont pu restaurer les données chiffrées à l’aide de backups, contre 52 % au total, et seulement 22 % ont payé une rançon pour récupérer leurs données, contre 34 % dans l’ensemble des secteurs.
Les attaques par spear phishing ont un impact significatif
Seulement 8 % des établissements de santé interrogés se sentent mal préparés à faire face à une attaque par spear-phishing. Dans une certaine mesure, cette confiance est justifiée, puisque seuls 32 % des répondants du secteur de la santé ont fait face à une telle attaque en 2022, contre 50 % dans l’ensemble des secteurs. Cependant, pour les personnes touchées, l’impact de l’attaque a souvent été lourd.
60 % des personnes touchées ont déclaré que leurs ordinateurs ou d’autres machines avaient été infectés par des malwares ou des virus, contre 55 % tous secteurs confondus, tandis que 60 % ont déclaré que des données confidentielles ou sensibles avaient été volées, contre 49 % tous secteurs confondus. 70 % ont signalé un vol d’identifiants de connexion ou un piratage de compte, contre 48 % tous secteurs confondus, et 40 % ont signalé une perte financière directe.
Les établissements de soins de santé mettent environ 3,5 jours pour détecter et résoudre un incident de sécurité des e-mails
L’étude a montré que les établissements de santé mettent moins de temps que beaucoup d’autres secteurs à repérer un incident de sécurité des e-mails (29 heures en moyenne contre 43 en général), mais qu’ils s’approchent de la moyenne générale lorsqu’il s’agit de réagir et de remédier à l’incident (51 heures en moyenne contre 56 tous secteurs confondus).
Selon les personnes interrogées, les principaux obstacles à la réponse rapide et à l'atténuation étaient un manque d'automatisation, cité par 40 % d'entre eux, contre 38 % dans l'ensemble des secteurs, ainsi qu'un manque de budget, cité par 34 %, comparé à 28 % tous secteurs confondus.
Protection des établissements de santé
Les cyberattaques par e-mail existent depuis des décennies, mais elles restent répandues, en constante évolution et aboutissent encore et toujours.
Les établissements de santé doivent mettre en œuvre une sécurité robuste des e-mails, avec des contrôles d’authentification forts (au minimum l’authentification multifactorielle, mais idéalement évoluer vers des mesures Zero Trust) ainsi que des droits d’accès restreints, une réponse automatisée aux incidents, et une détection et une surveillance des menaces basées sur l’IA. Toutes ces mesures doivent s’accompagner d’une sensibilisation et d’une formation continue des employés, car ces derniers doivent savoir comment repérer et signaler un message suspect.
Idéalement, ces mesures de protection de la messagerie doivent faire partie d’une plateforme de sécurité intégrée qui offre à l’équipe informatique une visibilité totale sur l’ensemble de l’environnement, la capacité de détecter les incidents et les modèles de comportement anormal, et les ressources pour les analyser et y répondre.
Cette étude a été menée par le cabinet d'études indépendant Vanson Bourne pour le compte de Barracuda auprès de professionnels de l'informatique occupant différents postes, de la première ligne à la direction, au sein d'entreprises de 100 à 2 500 salariés, spécialisées dans divers secteurs et implantées aux États-Unis, en Europe, au Moyen-Orient, en Afrique, ainsi que dans la zone Asie-Pacifique. L'échantillon comprenait 62 établissements de santé.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter