sécurité données santé

Les données du secteur public et de la santé face aux cyberattaques

12/04/2023
Données
Sécurité

En tant qu’expert des bases de données, nous sommes parfois les témoins des attaques visant les données stockées sur les bases de nos clients. Depuis 2021, nous avons observé une montée en puissance de ces attaques, avec une moyenne d’un incident de sécurité par mois déclaré chez nos clients. 

Secteur public et secteur de la santé face aux cyberattaques

Selon l’ANSSI, les collectivités territoriales représentent 19% de l’ensemble des entités victimes d’attaques par rançongiciel dans le cadre des incidents traités par l’ANSSI en 2021.  Les Etablissements Publics de santé représentent eux 7% des entités victimes d’attaques.* 
Au total, 30% des collectivités territoriales ont déjà été victimes d’un rançongiciel**. En 2020, les signalements d’attaques par rançongiciel ont été multipliés par 3,5 par rapport à 2019. Toutes les collectivités sont concernées, quelle que soit leur taille.***
Par ailleurs, le secteur de la santé semble de plus en plus touché puisqu’entre 2020 et 2021 les signalements d’incidents ont plus que doublé selon l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé.

Les enjeux de sécurité des données dans le secteur public et la santé

Les collectivités territoriales sont engagées dans une transformation numérique profonde qui vise à répondre aux obligations règlementaires mais aussi aux besoins des citoyens. La dépendance de plus en plus forte aux systèmes d’information et l’hétérogénéité de la taille des communes et collectivités crée une certaine fragilité.**** 
Si on se focalise sur les données de santé, elles font partie des données considérées comme sensibles par le RGPD. La CNIL les définit comme « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »*****
Ces éléments expliquent au moins partiellement les statistiques ci-dessus, et les gros titres récents relatant des incidents de sécurité survenus dans les hopitaux, ou plus largement le secteur public

Les données du secteur public et de la santé : cibles privilégiées des cybercriminels !

En 2023, le nombre d'attaques cyber dans le secteur public a bondi. Hôpitaux, mairies, administrations : aucune organisation n'est épargnée. Et les conséquences peuvent être dramatiques : fuites de données sensibles, arrêts de services critiques, atteintes à la réputation...

Pourquoi le secteur public et de la santé sont-ils si vulnérables ?

Plusieurs facteurs expliquent cette situation :

  • Une transformation numérique en cours: le secteur public et de la santé s'appuient de plus en plus sur les systèmes d'information, ce qui crée de nouvelles failles de sécurité potentielles.
  • Des données sensibles: les données de santé et les données personnelles des citoyens sont des cibles de choix pour les cybercriminels.
  • Un manque de moyens et de compétences: les organisations publiques ont souvent des budgets et des effectifs limités pour la cybersécurité.
     

Quelles sont les conséquences d'une cyberattaque ?

Les conséquences d'une cyberattaque peuvent être graves, tant pour les organisations que pour les citoyens :

  • Fuites de données sensibles: les données de santé et les données personnelles des citoyens peuvent être volées et utilisées à des fins illégales.
  • Arrêts de services critiques: les cyberattaques peuvent perturber ou paralyser des services essentiels, comme les hôpitaux ou les services d'état civil.
  • Atteintes à la réputation: une cyberattaque peut gravement nuire à la réputation d'une organisation et de ses dirigeants.
  • Coûts financiers importants: les cyberattaques peuvent engendrer des coûts importants en réparation, en perte de chiffre d'affaires et en indemnisations des victimes.

Comment se prémunir des attaques dans le secteur public et la santé ? 

Pour les systèmes d’information d’importance vitale ou essentiels, l’ANSSI a mis en place un cadre qui comprend la définition d’une politique de sécurité des systèmes d’information, leur cartographie, l’analyse de risques des activités d’importance vitale ou des services essentiels ainsi que l’homologation des systèmes d’information et l’audit de sécurité

Les typologies d’attaques observées

Les principales attaques que nous avons pu constater pour accéder aux données sont dues à l’exploitation des éléments suivants:  

  • failles de sécurité (exploitation d’une vulnérabilité, …) 

  • mails de phishing

  • l’usurpation de compte de prestataire

  • Actifs exposés non patchés

  • Usurpation d’identité

Les conséquences de ces cyberattaques

Les conséquences des cyberattaques que nous avons pu observer peuvent se présenter de manière isolée ou combinée. 
L’attaque peut être une simple fuite ou extraction de données. Dans ce cas, il est possible que l’on ne s’en rende pas compte immédiatement, notamment si la fuite n’est pas suivie par un chiffrement de données par exemple, ou si la source de la fuite est interne par exemple. 
Si c’est une attaque de type ransomware ou rançongiciel, il peut y avoir une demande de rançon pour obtenir la clé permettant de déchiffrer les données ou pour empêcher leur publication/diffusion. Il peut s’agir du chiffrement de données, de fichiers, de machines virtuelles, de sauvegardes, et dans les cas extrêmes, de la suppression de fichiers et sauvegardes.
Même en cas de paiement, il n’y a aucune garantie de déchiffrer les données ou d’éviter la fuite des données
D’un point de vue opérationnel, les dégâts peuvent aller de l’indisponibilité d’une application ou d’un service à l’indisponibilité totale du SI. Par exemple, on peut se retrouver sans moyens de communication (messagerie, téléphonie IP, indisponibilité des postes utilisateurs, d’une ou plusieurs applications, des annuaires d’entreprise) ou sans moyen de gestion des accès physiques aux sites. 

Délai de retour à la normale après une cyberattaque

Le temps pour revenir à une situation normale varie de quelques jours pour une attaque détectée rapidement à plusieurs mois pour une attaque qui a impacté profondément le SI. L’ANSSI nous explique ainsi que « certains établissements de santé ont été contraints de poursuivre leurs activités en mode dégradé pendant plusieurs mois, le temps de reconstruire ou de durcir leur SI afin qu’il soit plus résilient face aux menaces cyber. »

Les différentes phases 

La reconstruction du périmètre attaqué passe par les phases suivantes :

  • La phase d’identification de la menace 

  • La phase d’investigation : Etat des lieux de ce qui est touché – ce qui est sain – et ce qui est partiellement corrompu. Tout ce qui n’est pas garanti sain à 100% doit être reconstruit ou restauré. C’est le moment où l’on effectue la circonscription du périmètre de l’attaque.

  • le confinement : on coupe les accès internes et externes, 

  • la phase de remédiation : éradication des menaces

  • la phase de reconstruction du SI : validation opérationnelle des systèmes

  • Le suivi : pour tirer les leçons de l’incident

Une sécurisation des bases de données nécessaire

La sécurisation des bases de données est un prérequis à la phase de reconstruction, lorsque l’on remonte son SI, mais afin de ne pas arriver là, la prévention fait partie des meilleures mesures de protection.  Pour cela, il est indispensable de se faire accompagner par un expert afin d’identifier les meilleures solutions qui correspondent à vos besoins. 
Nos experts peuvent vous accompagner dans lanalyse et la gestion des risques sur vos bases de données avec un audit, une identification et un suivi des risques liés aux données. Ils peuvent aussi vous accompagner dans la Sécurisation des SGBD et Data Lake et ce dès la conception de la structure de données. Contactez-nous dès maintenant pour discuter de vos besoins liés à la sécurité de vos bases de données

Sources : 
*Panorama de la cybermenace 2022, ANSSI
**Etude du Clusif, juin 2020
*** infographie ANSSI
**** Revue stratégique de cyberdéfense (RSC) de 2018
***** https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
 

main tenant une ampoule

Contactez-nous pour en savoir plus

Nos experts seront ravis de discuter de vos besoins et de mieux comprendre votre projet. 

Je contacte un expert
copy-link