Cyberattaques contre les infrastructures de santé critiques
6 février 2024 | Questions & réponses
Une cyberattaque est une tentative de nuire délibérément à une personne, à un groupe de personnes ou à une organisation en attaquant ses systèmes numériques (ordinateurs, par exemple) afin de voler, de falsifier ou de détruire des données ou des applications jugés confidentiels et/ou essentiels, ou de perturber l’accès à celles-ci. Les cyberattaques sont plus fréquentes lorsque la personne ou l’organisation est dotée de systèmes connectés à l’Internet. Les auteurs des attaques cherchent souvent à obtenir un accès à ces systèmes en envoyant des courriels contenant des pièces jointes ou des liens qui semblent fiables, mais qui, si l’on clique dessus, leur permettent d’accéder à l’ordinateur de la personne ou au réseau de l’organisation.
C’est assez récemment que les services de santé sont devenus une cible privilégiée des cyberattaques. Ces services, dont les hôpitaux, les centres de santé et les services d’assurance-maladie, sont toujours plus nombreux à connaître des transformations numériques. Même si celles-ci permettent d’améliorer le rapport coût/efficacité et profitent aux patients, elles s’opèrent souvent sans prêter suffisamment d’attention aux nouveaux risques qu’elles engendrent. La grande quantité d’informations numériques d’importance critique que conservent les services de santé (par exemple, dans les systèmes de surveillance des patients ou les dossiers de santé électroniques), de même que les carences en matière de sécurité (manque d’information du personnel ou insuffisance des garanties techniques), en font une cible de choix pour les cybercriminels. Les cybercriminels peuvent facilement s’enrichir en bloquant l’accès à ces données et systèmes – pour lesquels le facteur temps est déterminant – et en réclamant une rançon. Au cours des dix dernières années, ils ont appris à exploiter cette faille à grande échelle. Pendant la pandémie de COVID-19, le recours aux systèmes numériques s’est développé chez de nombreuses organisations du secteur de la santé et la rapidité d’accès aux données des patients est devenue centrale. Cela a incité les cybercriminels à cibler les services de santé, car ils pensaient que ceux-ci paieraient plus rapidement les rançons compte tenu de l’importance critique des données et des systèmes bloqués lors des attaques.
Un rançongiciel est un type de logiciel malveillant qui « infecte » les systèmes numériques et empêche les utilisateurs finaux d’accéder aux données et aux applications en cryptant les informations clés. Les auteurs extorquent une somme d’argent (la rançon) en l’échange de la restitution de l’accès. Ils demandent généralement que les versements se fassent en cryptomonnaies, car il est plus difficile pour les autorités judiciaires d’en remonter la trace.
Les cyberattaques peuvent avoir différentes conséquences. Elles peuvent directement nuire à la sécurité des patients et à la prestation de soins, de différentes manières. Par exemple, lorsqu’une organisation du secteur de la santé en est victime, les attaquants peuvent accéder aux données sensibles des patients, y compris les informations personnelles, les antécédents médicaux et même les informations financières. Dans certains cas extrêmes, des cyberattaques ont même conduit à la fermeture complète d’établissements de santé, mettant ainsi la vie des patients en danger. Souvent, lorsqu’elles bloquent l’accès à des systèmes informatiques critiques du secteur de santé, les attaques par rançongiciel contraignent à annuler des rendez-vous en ambulatoire ou des interventions chirurgicales programmées. Dans les attaques les plus graves, des services d’urgence ont dû refuser des ambulances et des centres de cancérologie, reporter des traitements. Récemment, des dossiers de santé mentale ont été volés lors d’une cyberattaque. Les auteurs ont publié ces informations en ligne, ce qui montre qu’une cyberattaque peut avoir des conséquences sur la santé physique, mais aussi sur la santé mentale des victimes.
La chaîne d’approvisionnement des services de santé ne se limite pas aux hôpitaux ni aux centres de soins. Elle recouvre aussi des sociétés de biotechnologie, des entreprises de logistique, des fabricants de vaccins, des établissements de recherche universitaire, des sociétés pharmaceutiques, des laboratoires de diagnostic, des fournisseurs de services informatiques spécialisés, des fournisseurs d’infrastructures numériques et des fabricants de dispositifs médicaux. De plus en plus interconnectées grâce au numérique, toutes ces organisations ont déjà été la cible de cyberattaques.
Par « maturité en matière de cybersécurité », on entend la mesure dans laquelle votre organisation est opérationnellement prête à se défendre et à défendre ses actifs numériques contre les cyberattaques. Pendant la pandémie de COVID-19, aucun continent n’a été épargné par ces attaques et la santé reste le secteur le plus ciblé, même après la pandémie. Plus votre programme est mature, mieux vous êtes en mesure d’atténuer les menaces numériques et de préserver le fonctionnement normal de vos activités en dépit des cybermenaces et des autres difficultés. Alors que les menaces se multiplient et que l’intelligence artificielle se déploie en force, il est indispensable aujourd’hui de disposer de moyens sophistiqués pour atteindre la maturité suffisante en matière de cybersécurité.
Il est important que les États Membres et le secteur de la santé étudient les moyens d’améliorer leur maturité en matière de cybersécurité, en prévision des cyberattaques. Cela suppose d’investir dans les moyens humains, les processus et la technologie, notamment en préparant des formations de sensibilisation à la cybersécurité et en élaborant des plans d’intervention en cas de cyberattaque servant de base à des exercices de simulation menés avec le personnel. Il est essentiel de renforcer la communication et la collaboration avec les services de détection et de répression (police ou INTERPOL notamment), les organismes gouvernementaux (par exemple, agence de cybersécurité, institut de santé publique, agence nationale pour la sécurité des médicaments et des produits de santé, agence de sûreté nucléaire), le secteur privé et les organisations non gouvernementales ; ces entités peuvent fournir des alertes concernant les cyberattaques en cours.
Une cyberattaque contre un hôpital constitue bien une attaque contre un établissement de santé. L’OMS définit une attaque comme tout acte de violence verbale ou physique, toute menace de violence ou autre fait de violence psychologique, ou encore toute entrave à la disponibilité, à l’accessibilité et à la fourniture de services de santé curatifs ou préventifs. Il existe différents types d’attaques, présentés dans cette infographie (en anglais).
