Ce ne sont pas seulement les athlètes qui se préparent pour les Jeux Olympiques. En effet, les établissements de santé risquent de se trouver en première ligne face aux cybermenaces qui pourraient caractériser la période olympique. Selon les chiffres officiels de la mairie de Paris, plus de 16 millions de visiteurs sont attendus pour cet événement sportif exceptionnel. L’afflux massif de visiteurs est un défi supplémentaire pour un système de santé déjà éprouvé et vulnérable face au risque cyber, mais aussi un enjeu pour l’image de la France à l’international.
Face à cette situation exceptionnelle, la gestion de crise cyber s’avère être un défi de taille pour les établissements de santé des régions concernées par les Jeux Olympiques. Mise en place de protocoles de réponses rapides, sensibilisation et formation du personnel, collaboration avec les agences de santé et les autorités locales font partie des mesures essentielles pour maintenir la continuité des soins en cas d’incident. Comment sont préparés les hôpitaux contre ces incidents dans le contexte des Jeux Olympiques ? Pourquoi le secteur de la santé est-il attractif pour les cyberattaquants, particulièrement pendant cette période ? Quelles cybermenaces sont susceptibles de cibler les établissements de santé ? Quelles perspectives du côté des assureurs ? Cet article se propose d’apporter une réponse à ces questions, à quelques jours de la cérémonie d’ouverture des Jeux Olympiques de Paris.
Lors de la table ronde que nous avons animée avec Alcyconie, Sekoia.io et Filigran sur les enjeux cyber liés aux Jeux Olympiques. La question des établissements de santé a été abordée par Stéphanie Ledoux (CEO d’Alcyconie – entreprise spécialisée dans la gestion de crise cyber) et par Alexandre Dieulangard (Co-fondateur et COO de Citalid ). Cet article s’appuie sur les perspectives qu’ils ont partagées lors de cet échange (replay intégral ici).
Par ailleurs, notre équipe d’experts en Cyber Threat Intelligence a récemment publié un rapport sur l’état de la menace ciblant les établissements de santé publics et privés en France, Allemagne, Italie et Espagne. Cette publication est précieuse pour mieux comprendre les cybermenaces et prendre des décisions éclairées pour agir sur le risque cyber.
Santé et digital : quelles particularités ?
Au cours des dix dernières années, le numérique est devenu essentiel dans le parcours de soin, incluant la prise de rendez-vous, la consultation des résultats d’analyses et l’utilisation de technologies médicales connectées. Cette transformation offre divers avantages, tels que la réduction des déserts médicaux, une diminution des temps d’attente et une meilleure gestion administrative des patients.
Cependant, cette numérisation crée aussi des vulnérabilités accrues, exploitables par les cyberattaquants. L’interconnexion des systèmes d’information hospitaliers, la diversité des logiciels et objets connectés, ainsi que la pénurie de personnel technique compliquent la sécurisation des données. Les soignants manquent souvent de formation en cybersécurité, et les contraintes budgétaires ainsi que l’utilisation du Shadow IT accentuent ces vulnérabilités.
Les établissements de santé font partie d’une chaîne d’approvisionnement complexe, avec de nombreux prestataires externes apportant leurs propres vulnérabilités. Les cyberattaques peuvent venir de fournisseurs de services non directement interconnectés avec les hôpitaux, comme les prestataires de restauration. La gestion de ces risques externes est un défi pour les assureurs et les établissements de santé, en raison de la complexité des contrats et du nombre de fournisseurs impliqués. Les hôpitaux développant des solutions informatiques pour d’autres établissements peuvent également devenir des vecteurs de cyberattaques, compliquant encore davantage la gestion de la cybersécurité.
Rançongiciel, extorsion de données, DDoS : à quelles cybermenaces peut-on s’attendre ?
Du fait de leur portée internationale, les Jeux Olympiques sont une période de choix pour les cyberattaquants, qui peuvent être tentés de profiter de l’affluence de visiteurs étrangers et de la médiatisation de l’événement pour attaquer les infrastructures critiques. Les établissements de santé ne sont donc pas exempts du risque cyber pendant cette période si particulière.
“Les hôpitaux restent une cible d’opportunité pour de nombreux attaquants informatiques ”, précise Alexandre Dieulangard . Un certain nombre de de modes opératoires d’attaques (MOA) sont motivés par l’appât du gain lié à la valeur des données sensibles qui sont collectées par les hôpitaux. Les attaques les plus probables envers les établissements de santé pendant la période olympique sont le rançongiciel, l’extorsion de données et le DDoS – des attaques qui peuvent d’ailleurs se combiner entre elles pour augmenter le niveau de pression sur les établissements qui en sont victimes.
Le point commun de ces attaques ? Elles s’appuient sur deux leviers caractéristiques des établissements de santé pour atteindre leur objectif lucratif final :
- La nécessité de maintenir la continuité des soins pour le bien-être des patients ;
- Le dommage potentiel pour les patients en cas de divulgation de leurs données de santé.
Dans le cadre des Jeux Olympiques, Alexandre Dieulangard estime aussi qu’il y a un risque d’instrumentalisation de ces attaques à des fins de désinformation par des acteurs qui chercheraient à dégrader l’image de la France en tant que pays-hôte. Dans le cadre de la table ronde, il évoquait la potentialité d’un scénario de fuite massive de données de santé : « Dans ce cas, on est sûr que des réseaux de propagande viendraient amplifier et mettre en exergue le fait que la France n’arrive pas à protéger sa propre population et les touristes présents. Ce scénario de divulgation serait critique dans la mesure où d’autres cybercriminels ne se priveront pas dans les jours qui suivront la publication de ces données sensibles pour extorquer les patients mentionnés dans les bases de données ».
Pendant la période olympique, il faut donc s’attendre à un « effet domino » en cas de cyberattaque sur un ou plusieurs établissements de santé, avec des cyberattaquants aux motivations lucratives et idéologiques.
Comment le secteur hospitalier est-il préparé à la période olympique ?
« Le scénario catastrophe serait d’avoir les moyens informatiques qui nous lâchent complètement dans un hôpital, mais très sincèrement, les JOP nous ont permis d’élever le niveau de sécurité de nos établissements hospitaliers », rassure Frédéric Valletoux, ministre de la santé dans un entretien accordé au Parisien.
Les établissements de santé français n’ont malheureusement pas attendu les Jeux Olympiques pour être la cible des cyberattaquants et les autorités ont déjà pris conscience de la capacité des incidents informatiques à altérer la continuité du parcours de soin. Aussi, en 2023, le ministère de la Santé et l’Agence Régionale de Santé (ARS) ont mis en place le programme CaRE (Cybersécurité accélération Résilience des Etablissements), visant à protéger les établissements de la menace cyber. Celui-ci se résume en 4 points :
- Structurer la gouvernance de la cybersécurité dans le secteur de la santé ;
- Encourager le développement de l’offre de services cyber ;
- Fournir les ressources pédagogiques nécessaires aux directions, RSSI et DSI pour sensibiliser le personnel à la cybersécurité ;
- Améliorer la sécurité opérationnelle des établissements.
Concrètement, ce programme s’est traduit par une intensification des entraînements aux incidents cyber au sein des établissements hospitaliers. Lors de notre table ronde dédié à la question des Jeux Olympiques, Stéphanie Ledoux avait évoqué la situation des établissements de santé, en première ligne dans le bon déroulement de cet événement sportif à la portée planétaire : « S’entraîner a été une obligation pour eux en 2023-2024, mais il y a un entraînement cyber supplémentaire pour les établissements situés dans les régions qui vont accueillir les JO. (…) On peut se rassurer : le personnel des établissements de santé fait partie de cette typologie d’acteurs qui sait gérer les urgences et les situations complexes ».
En dehors de ce programme, l’ARS dispose aussi d’un CERT Santé, un service d’appui à la gestion des cybermenaces. Sa mission consiste à soutenir les établissements de santé et médico-sociaux dans la gestion des incidents de sécurité des systèmes d’information, tout en assurant prévention et alerte face aux cybermenaces. Il fournit des recommandations pour minimiser l’impact des cyberattaques à travers divers contenus éducatifs et de sensibilisation. Il contribue donc à renforcer la résilience collective contre les cybermenaces, qui peuvent entraîner des baisses d’activité de soins, des pertes financières et un impact sur la confiance dans le système de santé.
Que représente le risque d’attaques multiples sur le secteur de la santé pour les assureurs cyber ?
Tout d’abord, il est important d’observer que beaucoup d’assureurs ne souhaitent pas assurer les établissements de santé, et plus particulièrement les hôpitaux car jugés trop à risque. Différents facteurs expliquent ce positionnement mais nous pouvons retenir en particulier :
- Une fréquence de sinistre perçue comme trop élevée, du fait d’un ciblage important en volume et d’une résilience jugée comme trop faible par les assureurs.
- Une potentielle sévérité accrue notamment dans le cadre d’attaques par ransomware ou divulgations de données.
Dès lors, nous devons nous poser la question de l’existence-même d’un impact significatif sur le marché de l’assurance d’une multiplicité des sinistres sur ce secteur. Le taux de pénétration général de l’assurance en France est relativement faible, avec un volume de prime collecté de moins de 350 millions d’euros d’après le rapport Lucy – édition 2024 produit par l’AMRAE.
Ainsi, le risque représenté varie selon la constitution du portefeuille des assureurs qui recherchent encore à parfaire le principe de mutualisation du risque. Mais nous pouvons grossièrement distinguer deux scénarios :
Le premier étant le portefeuille d’un assureur généraliste qui couvrent une multitude de secteurs dont les établissements de santé. L’impact sur son portefeuille dépend avant tout de l’intensité des sinistres si nous considérons que la part de ce secteur sur son portefeuille reste marginal.
Le deuxième étant le portefeuille d’un assureur spécialisé où les établissements de santé occupent une part importante ou majoritaire de son portefeuille d’assurés. Alors l’impact sur son portefeuille d’un risque d’attaques multiples peut être beaucoup plus important par la fréquence, mais aussi de la sévérité potentielle des sinistres. A l’échelle d’un secteur et si une multitude d’acteurs de la santé ont des liens économiques, logistiques ou briques technologiques communes alors nous pourrions considérer ce type de scénario comme étant un scénario catastrophe à l’image des catastrophe naturelle (Cat Nat. Ou Cat Cyber.)
En conclusion, la période des Jeux Olympiques représente un défi considérable pour les établissements de santé en France, tant du point de vue de la cybersécurité que de la gestion de l’afflux massif de visiteurs. La digitalisation du secteur de la santé, bien qu’elle ait apporté de nombreux bénéfices, expose les systèmes hospitaliers à des vulnérabilités accrues, exploitables par des cyberattaquants. Ces derniers voient dans cet événement mondial une opportunité de mener des attaques lucratives et potentiellement déstabilisatrices, visant à la fois les infrastructures critiques et les données sensibles des patients.
Cependant, les initiatives telles que le programme CaRE montrent que les autorités et les établissements de santé sont conscients de ces menaces et travaillent activement à renforcer leur résilience. Les formations intensifiées en cybersécurité, la structuration de la gouvernance et le développement de services cyber sont autant de mesures qui contribuent à préparer les hôpitaux à affronter les défis cybernétiques de la période olympique.
Il est crucial pour les établissements de santé de maintenir cette vigilance et de continuer à investir dans la cybersécurité, non seulement pour protéger la continuité des soins, mais aussi pour préserver l’image de la France sur la scène internationale. La collaboration entre les autorités, les experts en cybersécurité et le personnel hospitalier sera déterminante pour assurer la sécurité et la sérénité de tous durant cet événement exceptionnel.
