Protection des données dans les hôpitaux : comment se protéger des cyberattaques ?

Depuis quelques années, et particulièrement depuis la pandémie COVID-19, le nombre de cyberattaques visant les établissements et entreprises de santé explose. Ces structures doivent donc gagner en vigilance et compétence en cybersécurité.

Ce que nous allons voir ensemble :

🤓 Ce qu’est une donnée de santé, et la législation qui s’y rapporte ;

👾 Quelques cas récents de cyberattaque dans le secteur hospitalier ;

💪 Comment limiter les risques qu’un établissement de santé subisse des cyberattaques.

🖊 Données de santé, données sensibles : définition et législation

L’article 9 du Règlement UE n°2016/679 (dit RGPD) considère les données à caractère personnel traitées par les établissements de santé comme des données « sensibles ». Leur protection doit être encore plus avancée que des données personnelles d’autres structures. 

Les mesures de protection doivent respecter :

- les mesures européennes de l’article 32 du RGPD ;

- les mesures nationales inscrites dans le Code de la santé publique.

Les établissements privés comme publics doivent respecter cette réglementation. S’ils externalisent l’hébergement ou le traitement des données, ils doivent aussi veiller à ce que le prestataire respecte la législation relative aux données de santé. Ce dernier doit bénéficier d’un agrément HADS (Hébergeur agréé de données de santé).

Une attention toute particulière doit être portée à la sauvegarde des données. Des sauvegardes régulières doivent être réalisées, sous peine de paralyser le fonctionnement de services ou de cabinets, avec de graves conséquences sanitaires. Particulièrement en cas de cyberattaque.

👩🏽‍💻 Un constat : multiplication des cyberattaques dans le secteur hospitalier

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a noté une augmentation de 255 % des signalements d’attaque par "rançongiciel" entre 2019 et 2020. En 2021, ces attaques se sont aussi répétées.

Déroulement d’une cyberattaque des données d’un établissement de santé

En règle générale, le déroulement de ces attaques suit toujours le même schéma. 

• Un hacker s’infiltre dans le système informatique de l’établissement de santé. Il crypte l’ensemble des données (sensibles ou non). 
• Les données deviennent indéchiffrables par l’établissement.
• Le système informatique comme physique est paralysé.
• Le hacker demande une « rançon » à l’établissement en échange de la clé de déchiffrement.

Des cas de cyberattaque récents

Sur le premier semestre 2021, il y a eu de nombreux cas de cyberattaques. Par exemple :

• au Centre hospitalier (CH) de Dax, où le personnel de santé n’avait plus accès aux matériels informatiques. Les interventions chirurgicales ont dû être annulées pendant plus d’une semaine ;
• au Groupement hospitalier territorial de Dordogne, où heureusement seulement quelques postes ont été contaminés ;
• au CH de Villefranche-sur-Saône, où il a fallu plusieurs semaines pour que l’ensemble du système informatique fonctionne de nouveau normalement.

Pourquoi les établissements de santé sont les cibles des pirates informatiques

Les données de santé sont très prisées, parce qu’elles se revendent beaucoup plus chères que d’autres données personnelles. Par exemple, un numéro de sécurité sociale se vend plusieurs centaines de dollars. Un numéro de carte bancaire vaut plus que quelques dollars.

Les hackers visent aussi les hôpitaux et cliniques car :

• leur système informatique est parfois un peu obsolète ;
• ils sont souvent dépassés par la charge de travail sanitaire, particulièrement en période de COVID-19, et moins prompts à réagir face à une faille.

🙅Comment prévenir les cyberattaques dans le secteur de la santé

Face à la multiplication de ces cyberattaques, des mesures nationales ont été prises. Un budget de plus de 350 millions d’euros consacré à la sécurité informatique des hôpitaux a été acté par le Ministre de la santé.

Concrètement, pour assurer la sécurité d’un établissement de santé, il faut :

• dédier une part significative du budget informatique à la sécurité (5 à 10%) ;
• la Direction des systèmes d’information (DSI) doit évaluer les différents niveaux de risque et les points de vulnérabilité, afin de les traiter ;
• des sauvegardes très régulières ;
• les incidents de sécurité doivent être pris en charge le plus vite possible.

Chez Skello, nous faisons en sorte d’appliquer le plus possible ces conseils préventifs. Nous présentons d’ailleurs sur une page dédiée et détaillée notre manière de protéger les données personnelles rentrées ou stockées dans notre application, par exemple lors de la réalisation d’un planning de garde.