La stratégie de l’État pour assurer la cybersécurité des établissements de santé

La stratégie de l’État pour assurer la cybersécurité des établissements de santé

Les cybercriminels manquent singulièrement de scrupules. Alors que le monde hospitalier se mobilise pour faire face aux vagues successives de la pandémie de Covid-19, ils multiplient les attaques, visiblement à dessein. Dès avril 2020, au cœur de la première vague, ils visaient le groupement hospitalier de Dordogne. En tout, 27 cyberattaques majeures ont pris des hôpitaux français pour cibles en 2020. Début 2021, les établissements de Dax et de Villefranche-sur-Saône sont à leur tour la cible des malfaiteurs. Que visent ces derniers ? Ils veulent tout simplement de l’argent, et réclament des rançons exorbitantes pour débloquer les systèmes piratés. Leur pouvoir de nuisance est malheureusement immense. Un grand nombre d’appareils médicaux s’avèrent très sensibles aux cyberattaques. De plus l’opinion publique, soucieuse de la sécurité du système de santé, fait pression pour que les hôpitaux paient.

Ce fut le cas en septembre 2020 en Allemagne, après le décès d’une patiente de l’hôpital de Düsseldorf lors d’une cyberattaque. Pourtant, les établissements de santé n’ont pas les moyens de payer. De plus, les hôpitaux publics français ont pour consigne de ne jamais céder à ce type de chantage.

Le plan de l’Etat pour la cybersécurité des hôpitaux

Ces événements regrettables ont poussé les pouvoirs publics à agir. Le 18 février dernier, le président de la République a présenté les grandes lignes de la stratégie cybersécurité envisagée dans le domaine de la santé par l’Etat. En premier lieu, le Ségur de la santé prévoit une enveloppe de 350 millions d’euros destinée spécifiquement au renforcement de la cybersécurité des établissements de santé. De plus, le budget cybersécurité de l’État prévoit de consacrer 25 millions d’euros à des audits de sécurité dans ces structures et au déploiement d’un service national de cybersurveillance en santé. Les projets présentés par les hôpitaux devront dédier, pour obtenir le soutien de l’état, 5 à 10 % de leur budget informatique à la sécurité.

Le gouvernement met également en avant le concept d’« hygiène numérique », bonnes pratiques qui seront enseignées dans toutes les formations du secteur de la santé.

Enfin, 135 groupements hospitaliers français doivent intégrer la liste des opérateurs de services essentiels. Cela impliquera pour eux le renforcement des règles de sécurité informatique sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information.

L’ANSSI devrait d’ailleurs voir ses effectifs grimper à 600 personnes d’ici la fin de l’année 2021.

Des moyens et des exigences de sécurité renforcés

Autre ambition gouvernementale, créer un « écosystème de la sécurité ». Celui-ci reposerait sur un renforcement des liens entre recherche privée et publique. L’Etat souhaite ainsi réduire la part des acteurs étrangers qui représenteraient aujourd’hui entre 30 et 40 % du marché de la cybersécurité. Il projette pour cela la création d’un vaste « Campus cyber » à La Défense. Il rassemblerait une soixantaine d’acteurs essentiels du secteur, start-up, formateurs, grandes entreprises, acteurs publics. À terme, cette organisation permettrait de doubler les effectifs de la filière, pour atteindre 40 000 emplois. Ce projet bénéficierait à l’ensemble des organismes et entreprises français, dont les hôpitaux et structures de santé.

Le plan de l’Etat sur la cybersécurité repose sur le constat que les organismes de santé ont longtemps négligé leur sécurité informatique. Si le manque de moyen est certainement en cause pour l’hôpital public, cette attitude repose aussi sur l’idée fausse de ne pas être une cible.

Or, même si les attaques étaient plus rares avant 2020, aucune entreprise, fut-elle de santé, n’est à l’abri d’une perte de données. Une perte de données peut être accidentelle. Elle peut découler d’une erreur humaine, d’un incident informatique ou encore d’un sinistre. La multiplication des cyberattaques vient seulement mettre en lumière l’impréparation des organismes de santé face à ces enjeux. Or ces derniers, qui gèrent des données personnelles très sensibles, doivent pourtant répondre à des normes de sécurité très strictes.

Dropcloud santé : des solutions sécurisées pour les professionnels de santé

La sécurité des données de santé doit être assurée à toutes les étapes : traitement, stockage, partage. Les organismes de santé doivent mettre en œuvre un système de sauvegarde opérant à tous ces niveaux. Dropcloud Santé vous propose une offre complète pour votre sécurité informatique, comprenant le transfert de dossiers volumineux (WeSend), le partage de documents en ligne (WeDrop) et la sauvegarde en ligne sécurisée (NeoBe). La sauvegarde en ligne est en effet aujourd’hui un élément incontournable de la cybersécurité. Elle permet de multiplier les versions et les supports de stockage. Si l’un de ces supports est détruit ou endommagé, vous conservez malgré tout un ou plusieurs exemplaires de vos documents.

Par ailleurs, la sécurité des hébergeurs spécialisés est généralement supérieure à celle des entreprises publiques ou privées. C’est particulièrement vrai pour ceux qui, comme DropCloud, disposent d’une certification ISO 27001— HDS. Cette double reconnaissance caractérise les systèmes répondant aux normes de sécurité internationale de systèmes d’information. L’extension HDS ou hébergeur de données de santé garantit une sécurité optimale pour les professionnels de la santé.

Avec DropCloud, vos données sont entre de bonnes mains. Nos serveurs sont exclusivement hébergés en France et vos données sont cryptées de bout en bout. Leur protection est assurée par mot de passe, certificat SSL 128 bits, chiffrement des fichiers, suppression après téléchargement. En cas de problème sur vos serveurs internes, nous vous garantissons une restauration immédiate, accessible 24 h sur 24. Notre accompagnement téléphonique vous permettra de mener à bien cette opération. DropCloud est votre meilleur atout en matière de cybersécurité.

Olivier CARRE
Olivier CARRE
Directeur Marketing et Commercial – DropCloud