Le monde de la santé est particulièrement ciblé par les cybercriminels, d’abord pour l’aspect financier : un dossier médical se vend 250€ sur le Dark Web et les rançongiciels peuvent demander des dizaines voire des centaines de milliers d’euros (s’ils arrivent à entrer dans le système informatique d’un hôpital par exemple). Ensuite, c’est aussi une question d’opportunité : en pleine crise Covid, les hôpitaux sont une cible plus facile. En effet, depuis l’apparition de la Covid, les cyberattaques dans le secteur de la santé ont augmenté de 45%. Cela représente 650 attaques hebdomadaires contre les organismes de santé dans le monde, et une attaque majeure par semaine contre un hôpital français. Ainsi, le monde de la santé est particulièrement à risque en terme de cybersécurité.
Face à cette menace, les enjeux pour une entreprise dans le secteur de la santé sont multiples. Tout d’abord le risque premier concerne la productivité de l’entreprise : aujourd’hui n’importe quelle entreprise possède un système d’informations plus ou moins développé, qui lui est nécessaire à son fonctionnement. Une cyberattaque peut bloquer le système informatique et le rendre indisponible, ce qui peut avoir de lourdes conséquences : 50% des PME ayant subi une cyberattaque ne s’en relèvent pas et font faillite.
Une cyberattaque entraîne aussi de lourdes pertes financières. Ces pertes sont non seulement dues à la baisse de productivité occasionnée par l’attaque et au temps alloué pour s’en défendre, mais aussi à la forme majoritaire des cyberattaques : les rançongiciels. Ce sont des malwares installés à l’insu de l’entreprise dans son système d’information, qui vont « prendre en otage » les données du système en les cryptant. Le seul moyen de les décrypter est de payer une rançon élevée au hacker.
La cybersécurité est aussi un enjeu légal. En effet, toute entreprise possède des données à caractère personnel (comme les données de ses employés par exemple) et certaines entreprises dans le domaine de la santé gèrent aussi des données de santé qui sont des données sensibles. Le RGPD impose une conservation réglementée et sécurisée de ces données. En cas de fuite ou de suspicion de fuite (bien souvent due à une cyberattaque), le RGPD impose à l’entreprise de prévenir la CNIL qui peut mener une enquête en inspectant le système d’information de l’entreprise. En cas de non-respect du RGPD, une amende de 2 à 4% du chiffre d’affaires de l’entreprise peut être perçue.
Enfin la cybersécurité représente un enjeu concurrentiel. La réputation d’une entreprise qui a subi une cyberattaque est grandement diminuée. De plus, certaines cyberattaques introduisent des logiciels espions, permettant l’espionnage industriel. En conclusion, la cybersécurité est un enjeu global pour l’entreprise. Quels sont les moyens pour l’intégrer pleinement ?
Les premiers moyens de cyberdéfense déjà bien connus et indispensables sont les pare-feu et les logiciels antivirus. Un VPN est aussi fortement recommandé afin de protéger notre navigation internet. Il faut également infuser des bonnes pratiques de sécurité à l’ensemble des collaborateurs de l’entreprise. Cela passe par trois points : la formation (informer les collaborateurs des risques liés aux cyberattaques et les moyens de s’en prévenir), la sensibilisation (avec des tests de phishing par exemple) et l’obligation (imposer un changement régulier de mots de passe, une messagerie sécurisée, interdire les clefs USB, …).
Pour les entreprises dans le domaine de la santé, il est important d’avoir un RSSI (Responsable de la sécurité des systèmes d’information) et un DPO (Délégué à la protection des données), voire un référent/expert cybersécurité pour les entreprises de taille importante. Enfin, il est de même possible et recommandé de faire appel à des organismes externes pour s’assurer de la gestion de la cybersécurité dans l’entreprise. Faire un audit ou un test d’intrusion par une entreprise proposant ces services est souvent révélateur de nombreuses failles à corriger. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) propose aussi d’aider les entreprises à mieux surveiller leur système d’information, et les aide à la reprise d’activité en cas d’attaque.
C’est évidemment un truisme de rappeler que la cybersécurité est un enjeu majeur qui ne peut qu’augmenter durant les prochaines années. Les interrelations des systèmes de sécurité vont croissantes et la sécurité de l’ensemble du Systèmes d’Information peut ainsi être impactée par le maillon le moins sécurisé. La crise du COVID en faisant du télétravail la norme a davantage exposé les systèmes de sécurité des entreprises du monde de la santé aux attaques, déjà particulièrement ciblées par les cybercriminels. La cybersécurité est donc un défi qui doit mobiliser, au-delà des services informatiques du laboratoire, l’ensemble des acteurs : collaborateurs du laboratoire mais aussi prestataires et sous-traitants.
.png)
