La crise sanitaire a amplifié les cyberattaques notamment celles visant les établissements de santé.

Fin septembre, une des plus grandes chaînes d’hôpitaux américaine «  Universal Health Service « (UHS) a fait l’objet d’une attaque informatique par rançongiciel, rendant inutilisable une partie de son système informatique[1]. Les soignants ont dû gérer leurs interventions et échanges de manière manuscrite.

L’attaque subie par UHS n’a fait aucune victime malgré l’arrêt de certains appareils mesurant le rythme cardiaque ou le niveau d’oxygène.

Il en est autrement du piratage subi par la clinique universitaire de Düsseldorf[2]. En effet, cette clinique a été paralysée par un rançongiciel début septembre contraignant le transfert de certains patients vers un autre hôpital. Une patiente a alors perdu la vie durant ce transfert. Bien qu’il semblerait que les hackeurs souhaitaient viser l’université et non la clinique, c’est la première fois en Europe qu’une cyberattaque cause indirectement un décès.

Les hôpitaux sont régulièrement la cible de rançongiciels Ce type d’attaque très fréquemment utilisé par les hackeurs, est défini par l’ Agence Nationale de la sécurité des systèmes d’information (ANSSI) comme étant « un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent »[3].

Comment mieux protéger les hôpitaux français ?

Face à cette menace prépondérante, l’Agence du Numérique en Santé (anciennement ASIP) a fait de la lutte contre la cybercriminalité une priorité.

Depuis 2017, elle a ainsi, mis en place un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information[4]. Le code de la santé publique rend en effet, obligatoire pour les établissements de santé la déclaration des incidents graves de sécurité des SI[5].

Plus récemment, l’Agence du Numérique en santé a publié une fiche expliquant la démarche à suivre pour lutter contre les logiciels malveillants tels que les rançongiciels.[6] :

  • « Le confinement (isoler le poste infecté, bloquer les accès)
  • L’investigation/l’identification 
  • La remédiation/la restauration (corriger les failles à l’origine de l’infection, bloquer toute possibilité de reprise)
  • Le retour à la normale (remettre en service le réseau et le surveiller) »

Elle a aussi mis en place la cellule d’Accompagnement Cybersécurité des Structures de Santé (ACSS), structure dédiée à l’accompagnement des établissements en cas de cyberattaques[7].

Ainsi, elle a pour objectif de :

  • « renforcer le suivi des incidents SI des établissements de santé, des laboratoires de biologies et des centres de radiothérapies;
  • alerter et informer l’ensemble des acteurs dans le cas d’une menace;
  • partager les bonnes pratiques en matière de prévention et les réponses à apporter aux incidents »[8].

L’ACSS a recensé en 2019 plus de 392 incidents sur son portail de signalement pour lesquels 20% d’entre eux ont fait l’objet d’une demande d’accompagnement par les établissements concernés[9].

Face à ces risques, qui devraient prendre de l’ampleur dans les années à venir notamment compte tenu du développement croissant de l’e-santé, les établissements de santé n’ont d’autre choix que de se préparer à toute éventualité, en acquérant de bons réflexes.

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats, expert Contrats IT et négociations Pauline Vital, avocat collaborateur en charge de l’activité e-santé

 

Nous accompagnons nos clients dans cette anticipation et aussi dans la défense de leurs intérêts en cas d’attaque sur leur SI.

En cas de problème et quelle que soit la nature de l’attaque contre votre SI, nous sommes à vos côtés pour protéger vos intérêts et gérer au mieux la sortie de crise.

Nous avons créé une offre innovante alliant l’expertise technique de l’informatique et de la sécurité à notre expertise juridique pour répondre aux besoins spécifiques des organisations et entreprises.

 

[1]https://www.lemonde.fr/pixels/article/2020/09/29/une-chaine-d-hopitaux-americaine-victime-d-une-cyberattaque_6054056_4408996.html

[2]https://www.lemonde.fr/pixels/article/2020/09/17/en-allemagne-une-attaque-informatique-contre-une-clinique-provoque-une-mort_6052638_4408996.html

[3] Rapport « Etat de la menace rançongiciel à l’encontre des entreprises et institutions, 05/02/2020, Agence Nationale de la sécurité des systèmes d’information : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf

[4] https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.html#/accueil

[5] Art. L. 1111-8-2 du code de santé publique  

[6] https://cyberveille-sante.gouv.fr/sites/default/files/documents/fiches-reflexes/Fiche_Maliciel_IR_RSSI.pdf

[7] https://www.cyberveille-sante.gouv.fr/

[8] https://esante.gouv.fr/securite/accompagnement-cybersecurite-des-structures-de-sante

[9] https://esante.gouv.fr/sites/default/files/media_entity/documents/fiche-infographies-acss_2019_0.pdf

 

Nous contacter