Un bilan « plutôt encourageant », avec une légère baisse du nombre d’incidents déclarés. Et ce alors que les attaques informatiques avaient le vent en poupe. Le Cert Santé vient de publier ses statistiques pour l’année 2023. Bonne nouvelle, ce rapport suggère que les établissements de santé sont un peu plus matures sur le plan de la sécurité informatique.
Ce centre de veille et d’alerte sectoriel a ainsi enregistré l’an dernier 581 signalements, pour moitié d’origine malveillante. Contre 592 l’année d’avant. Le nombre d’incidents majeurs à lui plus franchement baissé de 22 en 2022 à 17 en 2023. Par exemple, le centre hospitalier universitaire (CHU) de Brest avait été visé en mars 2023. Cette attaque informatique avait ensuite été analysée et décortiquée, un retour d’expérience bienvenu.
Le Cert Santé reste prudent sur les raisons de cette diminution. Mais il rappelle que de nombreux établissements de santé se sont davantage préparés en 2023. Cette préparation accrue s’est traduite par exemple par :
- La réalisation d’audits (529 en 2023)
- Des exercices de gestion de crise
- La mise à jour de leurs plans de continuité d’activité
32 attaques par rançongiciel
Cette capacité à réagir plus vite « s’illustre par des points de contact dans la plupart des établissements, des équipes opérationnelles, et une capacité à mettre à jour les infrastructures dans des délais très courts », résume le centre de veille et d’alerte.
L’Anssi a toutefois dû intervenir auprès de 28 établissements de santé publics, de cinq établissements de santé privés et de quatre établissements de services médico-sociaux.
Autant d’incidents liés à des attaques par rançongiciel, des compromissions de comptes ou des dysfonctionnements graves de systèmes critiques, précise le Cert Santé.
Vulnérabilités connues
En tout, 32 attaques par rançongiciel ont été comptabilisées par l’organisme. Certaines se sont soldées par des fuites de données, comme récemment, en 2024, pour le centre hospitalier d’Armentières. Mais d’autres en revanche ont pu être repérées « dès leur phase initiale d’infiltration », ou « neutralisées avant la compromission de composants critiques », tels que l’accès au service d’annuaire Active directory.
Une riposte rapide à mettre au crédit du Cert Santé, qui s’est notamment intéressé à l’exploitation de vulnérabilités connues, comme des accès frauduleux au VPN Fortinet ou au celle dénommée Citrix bleed. Reste que malgré cette veille active, les établissements de santé doivent encore faire des efforts pour muscler leur sécurité informatique.
Ils sont ainsi invités à mieux gérer leurs droits d’administrations et leurs sauvegardes, pour ne citer que ces deux points. Une nécessité qui va bientôt devenir une obligation réglementaire, avec l’arrivée prochaine de la directive NIS 2. Ce texte européen va en effet obliger les établissements de santé à élever encore leur niveau de sécurité.