Communiqué de presse

Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social 2023

Publié le 22 mai 2024

Les actes de cyber malveillance restent stables, les établissements de santé et médico-sociaux résistent mieux aux cyberattaques

Dans le cadre du salon SantExpo, l’Agence du Numérique en Santé (ANS) a présenté, le 21 mai, les résultats 2023 de l’Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social et dressé un bilan d’étape encourageant de la résilience des établissements de santé et médico-sociaux face aux cyber attaques. Rappelons qu’à partir d’octobre 2024, une grande majorité des établissements seront contraints d’élever leur niveau de sécurité dans le cadre de la mise en œuvre de la réglementation NIS 21. Les exigences couvrent toutes les dimensions de la cybersécurité (organisationnelle et technique).

En 2023, on note une persistance des incidents d’origine malveillante. En dépit de la récurrence et de l’intensité des attaques cyber, le nombre total d’incidents déclarés (581 signalements) est en légère baisse par rapport à 2022 (-2%), ainsi que la part des incidents qui sont d’origine malveillante (50%). L’année 2023 a été marquée par une diminution sensible des incidents majeurs et une stabilité du nombre d’incidents ayant un impact sur la prise en charge des patients (35% des signalements). 93 établissements ont bénéficié d’un appui technique de la part du CERT Santé qui, par ailleurs, réalise des interventions proactives dans la prévention des vulnérabilités des établissements.

Les équipes du CERT Santé ont commenté les principaux chiffres de l’Observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social à savoir :

  • 50% des incidents étaient d’origine malveillante en 2023. Ce chiffre est identique à celui de 2022, tout comme celui des incidents non malveillants.
  • 53% des structures ont déclaré que l’incident n’a eu aucun impact sur leur fonctionnement. Ce chiffre est en baisse par rapport à 2022 mais présente une augmentation de près de 15 points par rapport à 2021 puisqu’il était de 38%.
  • 29% des signalement ont fait l’objet de la part des établissements d’un accompagnement en 2023, soit une demande qui reste stable. Il y a eu au total 165 demandes d’accompagnement, soit 28% des incidents traités.

Les résultats du rapport 2023 traduisent une action renforcée du CERT Santé sur plusieurs fronts :

  • La conduite des audits de cybersurveillance, prioritairement orientés vers les groupements hospitaliers de territoire (GHT). En 2023, 529 audits ont été réalisés : 432 centres hospitaliers sur 105 GHT (pour 72 GHT, plus de 50% des établissements de santé ont été audités), 77 établissements sanitaires, 18 établissements sociaux et médico-sociaux et 2 GRADeS. Parmi les constats que dresse le CERT Santé : les structures qui ont été auditées ou alertées exposent souvent trop de ressources sur Internet et ne portent pas suffisamment d’attention à la sécurisation de leurs services (portail Web, accès à distance, etc…).
  • La veille proactive afin de réduire le risque de compromission potentielle ou avérée de systèmes d’information des établissements exposés sur Internet. Le CERT Santé a ainsi alerté plus de 451 structures. Olivier Ruet-Cros, analyste de réponse à incidents au CERT Santé, a notamment souligné :« c’est l’efficacité du travail de veille du CERT Santé qui permet d’avoir une criticité dégradée des attaques cyber ».

Au global, les résultats 2023 sont encourageants et peuvent être imputés, d’une part, à une meilleure prise en compte des alertes transmises par le CERT Santé aux établissements, et d’autre part, à une maturité accrue de ces derniers pour assurer la sécurité de leur système d’information sur Internet, qui devrait encore progresser avec le déploiement du programme CaRE (Cybersécurité accélération et Résilience des Etablissements). A cet effet, Olivier Ruet-Cros s’est félicité que « le réflexe de déclaration d’un incident rentre de plus en plus dans les pratiques des établissements. C’est en travaillant tous ensemble que nous progresserons plus rapidement. »

Elodie Chaudron, directrice de programme à l’ANS, a déclaré : « Ce programme national sans précédent (250 millions d’euros jusqu’en 2025, sur un objectif d’investissement total de 750 millions d’euros d’ici 2027) qui vise à accélérer la mise à niveau des systèmes d’informations des établissements comporte deux ambitions :

Tout d’abord, à court terme, puisque que nous savons qu'il n’est pas possible d’éviter une cyberattaque, le programme s’engage à aider les établissements à se préparer à faire face et à réagir en cas d’attaque. Pour cela, il se mobilise pour mettre à disposition des établissements, des outils permettant de se préparer à une cyberattaque : plus de 2 000 exercices de crise ont ainsi été réalisés sur la base d’un kit co-construit avec l’ensemble des membres de la task force et des bénéficiaires. Dans la continuité, et faisant suite aux retex des établissements, des travaux ont été conduits pour mettre à disposition un kit méthodologique « PCRA » (plan de continuité et reprise d’activité). Testé et amélioré dans le cadre d’une phase pilote avec 28 établissements volontaires, le kit « clé en main » est déjà fortement sollicité.

A moyen terme, le programme souhaite soutenir les établissements dans le renforcement de leur sécurité opérationnelle. Plusieurs domaines techniques ont été identifiés, très largement inspirés des chaines d’attaque et des retours d’expériences des experts. Chacun de ces domaines est associé à un appel à financement. Le premier appel à financement :

  • Le domaine « Audits -annuaires techniques et exposition sur internet » (Domaine 1) a été lancé le 18 mars 2024. Une enveloppe de 65 M€ est destinée à soutenir les établissements sanitaires publics et privés sur ce périmètre.
  • D’autres domaines et appels à financement : « stratégie de continuité d’activité », «détection et poste de travail », « sécurisation des accès de télémaintenance », «Hospiconnect » sont en cours de conception et seront ouverts dans les mois qui viennent successivement.
  • Concernant le domaine Hospiconnect, projet qui vise à simplifier et sécuriser l'accès aux services numériques sensibles par les professionnels de santé, Florian Catteau évoque l’ouverture d’appels à projet à hauteur de 6 millions d’euros précédant la généralisation à venir. Cet appel à projet dit "alpha" permettra d'expérimenter sur le terrain, avec un nombre limité de structures, l’ensemble des organisations et des solutions destinées à améliorer l'expérience utilisateur et à renforcer la sécurité des accès aux données de santé.»

De son côté, Steven Garnier, référent technique e-santé à l’ARS Bourgogne Franche Comté, a rappelé : « Nous avons, à l’échelon régional, un rôle de promotion du programme CaRE. A cet effet nous intervenons dans le cadre des appels à financement concernant les établissements. Nous apportons notre appui au déploiement des priorités du programme ainsi qu’un accompagnement opérationnel des structures, notamment par le canal des Centres Régionaux de Ressources Cybersécurité (CRRC) portés par nos GRADeS. »

Les différents intervenants ont souligné la nécessité d’accompagner le secteur médico-social pour renforcer sa maturité et sa résilience pour faire face à la cybermenace. A cet effet, ils ont rappelé les objectifs spécifiques fixés aux CRRC relatifs à ce secteur :

  • réalisation de diagnostics de la maturité cyber des établissements permettant notamment d’identifier des actions d’amélioration opérationnelle ;
  • mise en œuvre de ces actions ;
  • mise en place d’un accompagnement à la réalisation d’exercices de crise cyber.

Pour finir, Christophe Mattler, Directeur du programme CaRE à la Délégation au Numérique en Santé (DNS) a précisé que les travaux se poursuivaient sur le financement du programme. « Si les arbitrages définitifs pour 2025 ne sont pas encore connus précisément, les ambitions restent entières. Nous restons sur la même assiette de 750 millions d’euros jusqu’en 2027.»

À propos de l’Agence du Numérique en Santé (ANS) : l’ANS accompagne la transformation numérique de notre système de santé, devenue aujourd’hui incontournable. L’ANS trois grandes missions. La première vise à réguler la e-santé en posant les cadres et les bonnes pratiques, notamment en termes de sécurité et d’interopérabilité pour faciliter le partage et les échanges de données de santé en toute confiance. La deuxième mission consiste à conduire les projets d’intérêt national sous l’égide des pouvoirs publics. Enfin, l’ANS accompagne le déploiement national et territorial des outils et projets numériques en santé afin de développer les usages assure et de favoriser l’innovation. https://esante.gouv.fr