Etablissement de santé : comment évaluer votre exposition au risque cyber ?
Face à la multiplication des incidents cyber en établissements de santé, il devient essentiel de comprendre les vulnérabilités propres à ces structures, d’identifier les menaces, et d’anticiper leurs conséquences. Pour agir efficacement, encore faut-il disposer d’outils adaptés permettant d’évaluer le risque cyber et le niveau de maturité ainsi que d’identifier les actions correctives principales à réaliser.
Face à une menace cyber grandissante, le secteur de la santé se trouve aujourd’hui en première ligne. Hôpitaux, cliniques, établissements médico-sociaux : aucun acteur n’est épargné. Les cyberattaques, désormais quasi quotidiennes, peuvent avoir des conséquences graves, qu’elles soient humaines, organisationnelles ou financières. La continuité des soins et la sécurité des patients sont directement en jeu.
Dans ce contexte, il est essentiel que les dirigeants d’établissements de santé, en collaboration étroite avec les responsables de la sécurité des systèmes d’information (RSSI), mettent en place une politique d’évaluation du risque cyber dans les établissements de santé. Leur objectif : maîtriser leur risque cyber. Mais pour agir efficacement, encore faut-il disposer d’une vision précise de leur exposition : comment évaluer les vulnérabilités ? Estimer les impacts potentiels ? Mesurer la capacité de défense actuelle ?
Qu’est-ce que l’évaluation des risques de cybersécurité ?
L’évaluation des risques de cybersécurité consiste à identifier, analyser et hiérarchiser les menaces et vulnérabilités susceptibles d’affecter les systèmes d’information d’un établissement de santé. Cette démarche permet de déterminer les scénarios d’attaque les plus probables, d’en évaluer les conséquences potentielles, qu’elles soient humaines, organisationnelles ou financières, et de mesurer la capacité de défense existante.
L’objectif est d’obtenir une vision claire de l’exposition aux risques afin de prioriser les actions correctives à mettre en œuvre, renforcer la sécurité des patients et garantir la continuité des soins. L’évaluation des risques cyber est un processus structurant, indispensable pour orienter les décisions stratégiques et accroître la résilience de l’établissement face à un environnement numérique de plus en plus menaçant.
Cette approche est aussi communément appelée de l’analyse de risque ; elle est recommandée par toutes les méthodes, voire impérative dans le cadre des certifications ISO.
Évaluer le risque cyber dans les établissements de santé : un enjeu pour les dirigeants des établissements de santé
Lorsqu’une cyberattaque touche un établissement de santé, elle menace le fonctionnement de la structure et la sécurité des patients. Ces conséquences se manifestent à plusieurs niveaux :
- Sur le plan médical : interruption des soins, impossibilité d’accéder aux dossiers patients, report ou annulation d’actes critiques.
- Sur le plan organisationnel : mise en place de procédures en mode dégradé, désorganisation des équipes, surcharge du personnel.
- Sur le plan financier : coûts de remédiation, perte d’exploitation, investissement non anticipé en urgence.
- Sur le plan juridique et réglementaire : atteintes à la confidentialité des données de santé, sanctions potentielles liées au non-respect du RGPD.
- Sur le plan de la confiance : perte de crédibilité auprès des patients, des partenaires et des autorités.
Face à ces risques, il est impératif de mettre en place des moyens adaptés pour l’évaluation du risque cyber dans les établissements de santé. Mais quels moyens choisir ? Tout dépend du contexte propre à chaque structure : son exposition aux menaces, son organisation interne, et son niveau de maturité en cybersécurité.
Maîtriser leur risque cyber passe ainsi par une approche structurée. Cela suppose de s’appuyer sur un diagnostic de maturité spécifique aux établissements de santé, capable de traduire les vulnérabilités en enjeux concrets, et d’orienter les décisions stratégiques.
Quels sont les indicateurs de mesure nécessaires pour maîtriser le risque cyber ?
Les dirigeants d’établissement et leur responsable de la sécurité des systèmes d’information (RSSI) ont besoin de :
- Comprendre, analyser et appréhender le risque cyber pour savoir le gérer,
- Estimer le niveau d’exposition, calibrer les zones à risque en fonction des scenarios d’attaque,
- Sensibiliser et aider la prise de décision,
- Définir des mesures de prévention et de défense permettant de réduire le risque au maximum,
- Aider à la priorisation des investissements à réaliser en cybersécurité,
- Augmenter in fine la résilience de leur établissement.
Ces indicateurs de mesure permettent de disposer d’une évaluation fine de son environnement, d’une bonne compréhension du risque, pour in fine dégager une politique de cybersécurité efficace et rentable.
Une aide à l’évaluation des risques cyber ?
Notre offre cyber check-up est un diagnostic de maturité cyber adapté aux établissements de santé. Il permet d’évaluer et de comparer votre établissement à des établissements pairs sur 14 domaines différents.
Sur base de vos réponses au questionnaire et avec l’accompagnement d’un de nos experts cyber, vous analysez vos résultats et évaluez le niveau de maturité de votre structure par rapport à des établissements similaires, afin de :
- Mettre en évidence vos points forts et les domaines nécessitant des améliorations
- Définir des mesures directement efficaces ;
- Mesurer la pertinence d’un transfert du risque résiduel vers une couverture assurantielle ;
L’intérêt de notre approche : améliorer la cybersécurité de l’établissement et sécuriser la prise en charge des patients
L’intérêt d’un diagnostic du risque cyber est d’améliorer la maturité cyber de l’établissement et sa résilience face aux risques numériques. Un environnement numérique maîtrisé participe à garantir la continuité des soins.
Elle permet donc aux établissements de transférer les conséquences financières de ce risque résiduel financier à un assureur, qui lui propose des garanties adaptées pour réagir et réparer les incidents potentiels.
Les établissements de santé, tous concernés par les risques cyber
Les établissements de santé font face à une menace cyber croissante. En 2022, le ministère de la Santé et l’Agence du Numérique en Santé (ANS) estimaient que plus d’un tiers des structures (39%) ont dû passer en mode de fonctionnement dégradé suite à un incident.
En 2023, la situation s’est stabilisée. Le nombre total d’incidents a légèrement baissé (581 signalements, soit –2%), et la proportion d’incidents malveillants est restée stable (50%). Un peu moins d’un tiers des structures (32%) ont dû adapter leur fonctionnement, contre 39 % l’an précédent, ce qui témoigne d’une résilience croissante. Le CERT Santé a également renforcé son soutien, en apportant un appui technique et en multipliant les audits et interventions préventives.
L’année 2024 marque une augmentation du nombre de signalements, avec 749 incidents déclarés (+29% par rapport à 2023). Cette hausse ne reflète pas nécessairement une aggravation de la situation, mais plutôt de meilleures sensibilisation et appropriation des dispositifs de détection et de signalement. Les incidents majeurs ont reculé : sur les 40 incidents de ransomware signalés, seuls 4 ont conduit à une compromission majeure.
Les attaques par rançongiciels ont augmentés de 28% de 2023 à 2024, et concernent majoritairement des établissements publics et des ESMS. Ces établissements ont connu des modes de fonctionnement dégradés étalés sur plusieurs semaines. Leur surexposition au risque s’explique notamment par les interconnexions avec des structures extérieures. Par ailleurs, les incidents ayant eu un impact sur la prise en charge des patients ont augmenté de 13% en 2024. 19% de ces incidents avaient une origine malveillante.
FAQ
Les établissements de santé manipulent des données sensibles, souvent vitales pour la prise en charge des patients. Leur forte dépendance aux systèmes numériques (DPI, objets connectés, réseaux interconnectés…) les rend vulnérables. Cette exposition en fait une cible privilégiée pour les cyberattaques, notamment les ransomwares.
Une cyberattaque peut avoir des impacts graves : interruption des soins ou passage en mode dégradé, perte d’accès aux dossiers médicaux, atteinte à la confidentialité des données, coûts financiers importants (remédiation, pertes d’activité), perte de confiance des patients et partenaires. Elle peut aussi directement compromettre la sécurité des patients.
Notre offre cyber check-up est une méthodologie d’évaluation de la maturité cyber d’un établissement, basée sur environ 70 points de contrôle. Il est adapté au secteur de la santé et couvre les principaux enjeux d’une stratégie de cybersécurité, allant de l’organisation et des politiques de sécurité à la continuité d’activité et la gestion d’incidents.
Une meilleure maîtrise du risque cyber permet de garantir la disponibilité des systèmes critiques pour les soins, d’anticiper les crises et éviter les interruptions d’activité, de sécuriser les données de santé, de renforcer la résilience globale de l’établissement.
Oui, mais uniquement après avoir évalué le risque résiduel. Grâce à notre offre cyber check-up, les établissements peuvent souscrire à des garanties adaptées, basées sur leur profil réel d’exposition. Cela permet de compléter efficacement leur stratégie de cybersécurité.
