Face à la menace croissante, l’assureur mutualiste SHAM décrypte dans son Livre Blanc les enjeux techniques et financiers de la cybersécurité dans les établissements de santé et médico-sociaux.
Dysfonctionnements, attaques, impact de la crise sanitaire… Selon le rapport d’activité 2019 de l’Agence du Numérique en Santé, 300 établissements ont déclaré 392 incidents en 2019, soit une augmentation de 20% par rapport à 2018. 43% des incidents signalés en 2019 ont une origine malveillante, avec comme vecteurs d’attaques principaux le courrier électronique et le logiciel malveillant, avec notamment une croissance significative des attaques par rançongiciels (+40% par rapport à 2018)*. Le secteur médico-social, moins mature sur le volet numérique, est aussi moins protégé face aux cyberattaques ou aux dysfonctionnements informatiques internes.
De fait, la cybersécurité est devenue une condition nécessaire et permanente de la confiance dans le système de santé. Dans ce contexte, la Société Hospitalière d’Assurances Mutuelles (SHAM), entité du Groupe Relyens, propose, à travers les témoignages d’experts et des résultats d’enquêtes, son Livre Blanc du risque cyber et appelle à mieux préparer les établissements.
La cybersécurité : un enjeu majeur pour la santé des patients
Dans les établissements de santé, les dysfonctionnements ou la moindre cyberattaque peuvent avoir des conséquences tragiques comme des perturbations d’activité, une impossibilité d’accès aux données des patients pouvant mener à des pertes de chance ou des erreurs médicales. « L’augmentation de la digitalisation des outils et activités stratégiques des établissements, la réorganisation en urgence des établissements de santé pendant la crise Covid-19, entraînant une multiplication de «bris de glace», jouent un rôle déterminant dans la multiplication des risques cyber en santé », observent en l’occurrence les spécialistes de SHAM.
Les établissements de santé doivent devenir "cyber résilients"
« Une structure "cyber résiliente" est capable de mieux réagir et d’être mieux protégée, de façon à ce que son activité ne se retrouve pas sévèrement et durablement impactée», est-il expliqué en préambule du Livre Blanc. Cela passe par davantage d’investissements et une gouvernance renforcée. Les structures de santé n’ont pas encore toutes investi dans cette résilience, même si elle est, selon le manager des risques, «nécessaire et obligatoire». Elles y sont néanmoins contraintes car outre le coût financier, induit par un incident numérique, les conséquences en termes de réputation peuvent être désastreuses.
L’enjeu de gouvernance exige des décideurs, considérant souvent la cybersécurité comme une fonction support, d’intégrer désormais la protection des données au cœur de leur stratégie opérationnelle. Le responsable de la sécurité des systèmes d’information (RSSI) et le directeur des systèmes d’information (DSI) doivent donc se concerter pour démontrer l’impact des problèmes technologiques sur les activités métiers. Les cyber menaces ne sont pas uniquement des défis techniques à relever, elles représentent des enjeux critiques à communiquer au conseil d’administration dans un langage compréhensible : risques, opportunités et avantages financiers.
Des solutions complètes pour anticiper et prévenir
«Face à cette situation, le métier de Sham s’adapte et évolue vers une approche plus holistique de la gestion du risque cyber: de l’évaluation et du conseil préventif en amont, à la proposition de solutions et jusqu’à l’accompagnement, dès les premiers instants en cas de crise, pour atténuer ses impacts», observe Lionel Prades, responsable Risques Technologiques du groupe Relyens.
SHAM accompagne ainsi les dirigeants et les RSSI sur la gestion globale des risques cyber en associant une offre de prévention complète s’appuyant sur des partenaires technologiques experts du domaine (CyberMDX et Advens), à une offre assurantielle enrichie pour faire face aux sinistres.
Pour en savoir plus :
Le Livre Blanc «Cybersécurité, le nouveau défi des établissements de la santé et du médico-social-Edition 2021»
*Source : Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé (Rapport public 2019)
Betty Mamane