DROIT

Cybermalveillance : les hôpitaux, des cibles de choix
Cybermalveillance : les hôpitaux, des cibles de choix
Publié le 08/05/2025 à 07:00
Dans son rapport annuel présenté ce 29 avril, la Cnil alerte sur une recrudescence des violations de données personnelles de très grande ampleur, lesquelles ont doublé en un an. Et si tous les secteurs sont concernés, celui de la santé est particulièrement sensible. Du côté des hôpitaux, c’est le branle-bas de combat, avec en soutien le programme national « CaRE », dont le deuxième volet doit s’ouvrir prochainement, mais aussi dans la continuité de la mise en œuvre de la directive européenne NIS 1 et dans la perspective de l’entrée en vigueur de la directive NIS 2, qui s’appliquera à la grande majorité des établissements de santé.

Renforcer la sécurité informatique des établissements sanitaires publics et privés ainsi que leur résilience en cas d’attaques : tel est l’enjeu de l’instruction N° DNS/2025/12 publiée au Bulletin officiel le 17 février dernier, qui liste une série de mesures « urgentes ou prioritaires » à mettre en œuvre selon un calendrier strict. Il faut dire que « les établissements de santé sont la cible de nombreuses attaques de leurs systèmes d’information (SI). Celles-ci peuvent les paralyser en tout ou partie et être à l’origine de fuites de données sensibles », rappelait, quelques jours plus tard, le ministère de la Santé et de l’Accès aux soins sur son site officiel. De fait, les établissements de santé figurent parmi les structures les plus visées par les cyberattaques après les collectivités locales et les entreprises.

Ils constituent en effet des cibles de choix : entre janvier 2022 et décembre 2023, rien que dans le secteur de la santé, 86 % des attaques concernaient des établissements de soins, 7 % des organisations productrices de produits pharmaceutiques, 5 % des centres de recherche médicale et 2 % les ministères en charge des politiques de santé et leurs établissements publics, selon le rapport de l’Agence nationale de la sécurité de systèmes d’information (ANSSI) présenté le 7 novembre dernier. Des chiffres en hausse, puisque « la part de ces événements dans le total des incidents ou signalements traités par l’Agence (tous secteurs confondus donc, NDLR) n’a cessé d’augmenter, passant de 2,87 % en 2020, à 11,4 % en 2023 », précise le document.

Le fléau des « rançongiciels »

Exfiltration et revente de données personnelles, salves d’attaques simultanées sur le site de l’établissement rendant celui-ci temporairement inaccessible… les attaques informatiques revêtent plusieurs formes. Parmi les plus fréquentes et impactantes figurent les « rançongiciels », c’est-à-dire l’installation d’un logiciel malveillant chargé de crypter l’ensemble des données de la structure (dossiers patients, dossiers du personnel, plannings, mails, comptabilité…), suivie de l’envoi d’une demande de rançon. L’ANSSI fait ainsi état, en 2022-2023, de « 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé », ce qui représente « 10 % des incidents liés à des rançongiciels signalés » sur cette période.

Les conséquences sont loin d’être anodines. Ainsi, « dans la nuit du 20 au 21 août 2022, le Centre hospitalier Sud francilien, qui assure la couverture sanitaire d’environ 700.000 habitants » a été la cible d’une telle pratique, rappelle l’Agence. « Les attaquants ont exigé une rançon de dix millions de dollars » en échange du déblocage de l’accès aux systèmes informatiques touchés. Ce qui a durement désorganisé les services : « Des nouveau-nés du service de néonatalogie ont dû être transférés vers d’autres établissements et l’indisponibilité de certains automates de laboratoires a perturbé la capacité à réaliser des analyses biologiques », cite-t-elle en exemple. Par ailleurs, « l’entité a également été victime d’une exfiltration de onze gigaoctets de données qui ont été publiquement divulgués le 23 septembre 2022. Ces données incluaient notamment des données de santé et personnelles de patients, de membres du personnel et de partenaires de l’hôpital. »

Un coût sanitaire… et financier

L’impact est également financier. La remédiation des attaques et le retour à la normale « peut durer jusqu’à plusieurs mois et générer des coûts élevés liés à la réponse à l’incident, à la reconstruction des SI touchés, aux pertes de recettes ou encore aux ressources humaines », pointe l’Agence. Le coût total estimé de l’attaque ayant touché le CH Sud Francilien « se serait élevé à 7 millions d’Euros ». Et les attaquants sont plutôt efficaces, puisque « les sauvegardes sont souvent ciblées et parfois effacées » pour « perturber les capacités de reconstruction des victimes et accentuer la pression pour le paiement des rançons ».

Les chiffrements par rançongiciels et exfiltrations de données, comme les indisponibilités temporaires liées à des dénis de service, représentent à ce jour un tiers des attaques touchant des établissements de santé. Un autre tiers « concerne des compromissions de comptes de messagerie, parfois couplées à des envois de courriels d’hameçonnage, détaille l’ANSSI. Le reste des incidents rassemble des comportements à risque d’utilisateurs (téléchargement de logiciels infectés, connexion de clé USB non maîtrisée, etc.) et des problèmes matériels tels que des pannes, ainsi que des compromissions par des codes malveillants aux conséquences très limitées ».

Stratégie d’accélération pour la cybersécurité

C’est pourquoi l’ANSSI formule, dans chacun de ses rapports annuels, une série de recommandations de sécurité à destination de tous les acteurs du secteur de la santé, dont les établissements de soins. Elle préconise notamment une sensibilisation accrue aux risques de cybersécurité, la formation des administrateurs, une identification des risques ou encore, des plans de sécurisation des systèmes. Avec l’Agence du numérique en santé (ANS), elle propose également des supports d’information pouvant alimenter les plans de formation continue au sein des établissements (précautions élémentaires, dossiers thématiques pour réagir à un acte de cybermalveillance…). C’est également la raison pour laquelle le programme CaRE (Cyber Acceleration et Résilience des établissements de santé) a été lancé, en décembre 2023, par les autorités. Il est doté d’une enveloppe de 250 millions d’Euros pour 2024 et 2025, l’ambition étant de porter le budget global du programme à 750 millions d’Euros jusqu’en 2027, afin d’aider les établissements à rattraper les retards constatés.

Une « amélioration de la sécurisation » à l’œuvre

Dans ce cadre, « deux premiers dispositifs de financement ont été mis en œuvre » l’an dernier, relate ainsi le ministère de la Santé dans un communiqué en date du 11 mars dernier. L’un, doté d’une enveloppe de 65 millions d’Euros, cible les principales vulnérabilités des systèmes d’informations hospitaliers : « l’exposition sur internet, qui est souvent la porte d’entrée principale exploitée par les attaquants » et « l’annuaire technique (ou “Active Directory”), qui gère notamment les comptes d’accès d’un établissement et qui est exploité par les attaquants pour se propager dans le système pour causer plus de dégâts ».

Au total, « 85 % des établissements éligibles ont candidaté », poursuit le ministère. Et les premiers résultats sont encourageants : « sur plus de 1 000 établissements audités, la part des établissements ayant un “Active Directory” présentant une vulnérabilité majeure a baissé de 20 points entre mai 2024 et février 2025. Idem sur le volet de l’exposition internet, la part des établissements présentant des vulnérabilités critiques diminue fortement (-35 points entre août 2024 et janvier 2025) ». Le deuxième volet porte, lui, « sur l’expérimentation de nouveaux modes de connexion sécurisée à l’hôpital (appelé “HospiConnect” et doté d’une enveloppe de 1,4 million d’Euros en 2024) ». Un « premier bilan pourra être partagé à l’été 2025 », évoque le ministère.

Pour faciliter la continuité et la reprise d’activité des établissements de santé en cas de cyberattaque, et notamment améliorer leur système de sauvegarde de données, un nouvel appel à financement devrait être lancé prochainement, par arrêté publié au Journal officiel. Une nécessité, aux yeux de la Cour des comptes qui, dans un rapport paru en janvier 2025, estime que les efforts inédits mis en œuvre dans le cadre du programme CaRE doivent être poursuivis pour combler le « sous-investissement chronique » dans la cybersécurité des établissements de soins.

Un exercice cyber « au moins une fois par an »

C’est donc dans ce contexte qu’une instruction a été publiée en janvier 2023, prévoyant un « accompagnement financier forfaitaire » ainsi que la réalisation d’un exercice de crise de cybersécurité « au moins une fois par an » dans les établissements, suivie d’une nouvelle instruction le 17 février dernier. Parmi les sept « actions urgentes ou prioritaires » demandées aux établissements de santé figure, de nouveau, la nécessité de réaliser chaque année un exercice de crise. Les établissements doivent par ailleurs procéder à leur « auto-évaluation » vis-à-vis « des mesures cyber dites prioritaires » et intégrer les « actions relatives à ces mesures dans le plan d’amélioration de la qualité de l’établissement ». Il leur est également demandé une « déclaration a minima annuelle » de leur niveau de maturité sur la plateforme nationale de suivi des systèmes d’information de santé, de « réaliser régulièrement des audits de sécurité de certaines infrastructures IT », ainsi que, plus largement, d’intégrer le volet cyber « dans la qualité et la gestion » de leurs risques.

D’ici fin juin, un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) devront par ailleurs être formalisés. Les établissements auront ensuite jusqu’à fin 2026 pour réaliser des bilans d’impact sur l’activité (BIA) pour l’ensemble des services critiques et services médico-techniques, puis jusqu’à juin 2027 pour le reste des services. Enfin, les établissements sont priés de « calculer la part du budget dédié au numérique » et le nombre d’équivalents temps plein (ETP) consacrés à la cybersécurité. Pour rappel, le Président de la République avait demandé en 2021 aux établissements de réserver 5 % à 10 % de leur budget informatique à ce sujet.

Un cadre européen

À noter que ces actions, tout comme le programme CaRE, s’inscrivent « dans la continuité de la mise en œuvre de la directive NIS 1 » et « la perspective de l’entrée en vigueur de la directive NIS 2 qui s'appliquera à la grande majorité des établissements de santé », est-il précisé dans l’instruction. La directive UE 2022/2555, dite « NIS 2 » (Network and Information Security), publiée au Journal Officiel de l’Union européenne en décembre 2022, vise à renforcer la cybersécurité dans l’Union européenne. Elle doit être transposée en droit français d’ici à la fin de l’année 2024. C’est notamment l’enjeu du projet de loi « résilience des infrastructures critiques et renforcement de la cybersécurité », d’ores et déjà adopté en première lecture au Sénat mi-mars.

Nathalie Ratel
PI+


Cf :
- Instruction n° DNS/2025/12 du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d'information dans les établissements sanitaires. https://sante.gouv.fr/fichiers/bo/2025/2025.3.sante.pdf
- Panorama 2023 de la cybermenace, ANSSI, Février 2024. https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-001.pdf
- « Secteur de la santé : état de la menace informatique », ANSSI, Novembre 2024.  https://cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-010.pdf
- « La sécurité informatique des établissements de santé - Un renforcement récent et à poursuivre, face à la multiplication des cyberattaques », Cour des Comptes, Janvier 2025. https://www.ccomptes.fr/sites/default/files/2024-12/20250103-S2024-1456-La-securite-informatique-des-etablissements-de-sante.pdf
- Instruction n° SHFDS/FSSI/2023/15 du 30 janvier 2023 relative à l’obligation de réaliser des exercices de crise cyber dans les établissements de santé et à leur financement.
0 commentaire
Poster

Nos derniers articles