+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : La cours des comptes pointe un retard sur la protection des systèmes informatiques. (/showthread.php?tid=4815)
La cours des comptes pointe un retard sur la protection des systèmes informatiques. - Chicago5161 - 06-01-2025
La cours des comptes pointe un retard sur la protection des systèmes informatiques.
Obsolescence d’équipements, personnels pas assez formés au cyber risque et complexité croissante des systèmes d’information, la sécurité informatique des hôpitaux en France est insuffisante, selon un rapport de la cour des comptes paru ce 3 janvier.
Dans la nuit du 10 au 11 février 2024, l’hôpital d’Armentières avait fonctionné sans internet tandis que les patients étaient dirigés vers d’autres établissements de santé après une cyberattaque. Attribuée au groupe LockBit, réseau mondial de hackers, cette intrusion avait conduit au vol de 10 giga octets de données concernant 230 000 patients, précise le rapport de la Cour des comptes paru ce vendredi 3 janvier. Les urgences avaient été fermées pendant trois jours pour « garantir la sécurité des patients et permettre aux équipes de se concentrer sur le rétablissement des systèmes critiques ».
Une « cellule composée d’experts de la sécurité des systèmes d’information de l’établissement et du CHU de Lille (établissement support du GHT) » avait été constituée, tandis que des assemblées générales du personnel se sont réunies pour informer les professionnels du site, précise le rapport. Le préjudice, qui comprend le coût de la gestion de crise, de la remédiation ainsi que la perte de recettes, s’est élevé à 2 millions d’euros.
Les Hôpitaux, 10% des victimes d’attaques par des rançongiciels.
Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, publics et privés. La première, d’envergure concerne le CHU de Rouen en novembre 2019, poursuit le rapport. Neuf autres majeures ont été enregistrées, dont la plus récente est celle de Cannes en avril 2024.
L’usage du numérique, la vulnérabilité de leurs systèmes d’information et leur exposition accrue les classent au troisième rang des secteurs les plus touchés, après les collectivités et les très petites, petites et moyennes entreprises ainsi que les entreprises de taille intermédiaire. C’est aussi le pays qui apparaît le plus frappé par les cyberattaques dans ce secteur, selon un rapport de l’Agence européenne pour la cybersécurité paru en 2023. Ainsi, de janvier 2021 à mars 2023, la France en a été victime 43 fois, suivi de l’Espagne (25 fois), puis de l’Allemagne (23 fois). Dans un rapport de novembre de 2024, l’Anssi précise avoir « été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé » en 2022 et 2023.
Les hôpitaux ne sont pas spécifiquement visés par les hackers, mais seraient plutôt victimes d’une « pêche au chalut dans laquelle les attaquants ne ciblent personne en particulier et tout le monde en général », estime le secrétariat général de la défense et de la sécurité nationale. La forme la plus courante est celle de la « compromission du système d’information, c’est-à-dire de violations de bases de données et de codes confidentiels, de messages électroniques malveillants et de rançongiciels ». L’Anssi a recommandé aux structures touchées de ne jamais payer de rançon.
Leur fragilité est liée à la complexité croissante de leur système d’information, sans équivalent dans d’autres secteurs d’activité et au sous-investissement chronique dans le numérique. À titre de comparaison, c’est en moyenne 1,7 % du budget d’exploitation contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation), « auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements […] et la prise en compte insuffisante des enjeux de la cybersécurité par le personnel hospitalier ».
De lourdes conséquence, également sur la santé
Les conséquences sont lourdes, entraînant des effets directs sur le fonctionnement des établissements de santé et la prise en charge des patients. Ainsi, les interruptions de service durent, parfois, plusieurs mois en plus du vol de données médicales et personnelles. Selon le rapport, le coût peut atteindre jusqu’à 10 millions d’euros pour la gestion de crise et remédiation, et 20 millions d’euros pour la perte de recette d’exploitation. Par exemple, un centre hospitalier de 800 lits, avec 35 500 séjours en hospitalisation complète, a mis 18 mois pour reconstruire son système d’information.
Selon la Cour des comptes, « les autorités publiques ont réagi avec retard en finançant sur cinq ans un programme de prévention et de protection ». Chiffré à hauteur de 750 millions d’euros en faveur de la sécurité des systèmes d’information sur une période de cinq ans (2023 à 2027), « cet engagement n’est assuré que jusqu’à la fin de l’année 2024. Il est indispensable qu’il soit poursuivi jusqu’au terme du programme », insiste-t-elle.
Parmi ses préconisations, la juridiction financière appelle entre autres à la poursuite et l’accélération de la construction d’un environnement numérique unifié et sécurisé au sein des groupements hospitaliers du territoire (GHT), qui devraient être dotés d’une personnalité morale pour atteindre cet objectif. Elle recommande aussi d’inclure la culture du cyber risque aux formations initiales.
Sources : Cyberattaques d’hôpitaux dont celui d’Armentières : la Cour des comptes pointe un retard sur la protection des systèmes informatiques - La Voix du Nord
RE: La cours des comptes pointe un retard sur la protection des systèmes informatiques. - EnZ0 - 07-01-2025
L'exemple de l'hôpital d'Armentières est particulièrement édifiant. La cyberattaque a entraîné la publication de 18 Go de données sensibles concernant plus de 900.000 patients, ce qui montre l'ampleur catastrophique que peut prendre une faille de sécurité.
Ce qui est choquant, c'est la vulnérabilité structurelle du système hospitalier français. Quand on voit que certains établissements fonctionnent encore avec des systèmes d'exploitation non mis à jour (oui je sais...), on comprend mieux pourquoi les attaquants ciblent ce secteur.
Le cas du groupe BlackOut est intéressant, car il révèle une nouvelle approche des cybercriminels. Leur confusion entre établissement public et privé montre aussi un certain "amateurisme", ce qui rend leurs actions encore plus dangereuses.
Le plus inquiétant reste peut-être le temps de récupération : certains hôpitaux mettent jusqu'à 18 mois pour reconstruire leur système d'information après une attaque. C'est un délai considérable qui impacte directement la qualité des soins !
On ne peut qu'espérer que le programme de prévention et de protection de 750 millions d'euros sera maintenu jusqu'en 2027 comme le préconise la Cour des comptes. La sécurisation des systèmes d'information hospitaliers est clairement devenue un enjeu de santé publique.