L’Agence de l’Union européenne pour la cybersécurité (ENISA) vient de publier son premier rapport relatif à la sécurité informatique dans le secteur de la santé dans l’UE. Celle-ci a examiné en détail 215 incidents survenus entre janvier 2021 et mars 2023, touchant divers établissements de santé, tels que les hôpitaux, laboratoires, mutuelles, organismes publics de santé et industries pharmaceutiques.
43 incidents en France
Le rapport souligne une explosion des incidents dans le secteur de la santé en Europe . Du côté des professionnels, 53 % ont été concernés, tandis que dans le milieu hospitalier, 42 % ont signalé des incidents de sécurité, soit un total de 89 cas.
Pour ce qui est de la répartition par pays, la France arrive en tête avec 43 incidents, suivie de l’Espagne (25), l’Allemagne (23), les Pays-Bas (20) et l’Italie (19).
À l’inverse, la Finlande, la Norvège et la République tchèque n’ont respectivement connu qu’un ou deux incidents, par contre l’Irlande et la Roumanie ont été les moins touchées avec seulement trois cas.
Dans toute l’Union européenne, 91 incidents ont été enregistrés au cours de la période étudiée , soit plus qu’en 2022 où 84 cas ont été recensés. 40 ont été signalés pour le seul premier trimestre de cette année.
Cependant, l’agence européenne met en garde contre des interprétations hâtives de ces chiffres, car l’augmentation du nombre d’incidents peut résulter d’une meilleure détection et d’une plus grande sensibilisation due aux obligations légales de signalement au sein de l’Union européenne.
Les établissements de santé : des cibles privilégiées pour les cyberattaques
Les rançongiciels, qui ont connu une forte recrudescence en 2020 (+255 %), et les menaces liées aux données constituent les deux principaux risques identifiés . La présence de données de santé dans ces établissements en font des cibles privilégiées pour les pirates informatiques, qui exploitent cette opportunité pour faire chanter les victimes sous la menace de divulgation.
Avec comme préoccupation majeure la sécurité des patients, l’ENISA exhorte les hôpitaux et autres établissements de soins à faire appel aux services d’un expert en cybersécurité, sachant que les informations personnelles des patients, y compris leurs dossiers médicaux, ont été essentiellement visées par ces attaques, représentant 63 cas, soit 30 % des incidents.
À titre d’information, les autres cibles ont été :
- les systèmes informatiques et réseaux non médicaux (26 %) ;
- les systèmes d’information (23 %) ;
- les données liées à la structure et au personnel (15 %).