Les cyberattaques contre les établissements de santé devenant de plus en plus fréquentes, les autorités et les experts en sécurité alertent sur les vulnérabilités des dispositifs médicaux. Lorsqu’ils sont exploités, ils peuvent entraîner une augmentation des taux de mortalité.
Dans leur dernier rapport , la société de services informatiques Cynerio et l’organisme de recherche Ponemon Institute ont interrogé 517 experts de la santé occupant des postes de direction dans les hôpitaux et les systèmes de santé à travers les États-Unis.
Selon le rapport, les cyberattaques contre les établissements de santé ont augmenté « à un rythme alarmant ». Plus de la moitié (56 %) des personnes interrogées ont déclaré que leur organisation avait subi au moins une cyberattaque au cours des 24 derniers mois impliquant des appareils IoMT/IoT. En moyenne, ils ont subi 12,5 attaques au cours de la période.
Les appareils IoMT/Iot (Internet of Medical Things/Internet of Things) se connectent aux systèmes informatiques de soins de santé via Wi-Fi. Les établissements de santé disposent en moyenne de plus de 26 000 appareils connectés au réseau, tels que des dispositifs de surveillance à distance des patients, des pompes à perfusion, des robots hospitaliers, etc.
Sept répondants sur dix (71 %) ont déclaré croire que des « risques de sécurité très élevés » sont créés par les dispositifs IoT/IoMT, malgré leurs avantages médicaux substantiels.
Effets indésirables sur la prise en charge du patient
Près de la moitié (45 %) des répondants à l’enquête de l’Institut Cynerio/Poneman ont signalé des « impacts négatifs sur les soins aux patients » de ces attaques, comme l’incapacité de fournir des services aux patients, le vol de dossiers de patients ou une thérapie et un traitement inappropriés administrés au patient.
Parmi ceux qui ont signalé des événements indésirables, 53 % (24 % au total) ont déclaré que les impacts de ces attaques avaient entraîné une augmentation des taux de mortalité.
Les avertissements récents des agences fédérales font écho au rapport. Plus tôt en septembre, le Federal Bureau of Investigations (FBI) a émis des recommandations aux établissements de santé pour remédier aux vulnérabilités posées par les dispositifs médicaux non corrigés.
La Food and Drug Administration (FDA) des États-Unis a alerté les patients utilisant le système de pompe à insuline MiniMed série 600 , par exemple, MiniMed 630G et MiniMed 670G, que des personnes non autorisées pourraient accéder au système de pompe et compromettre l’administration d’insuline par la pompe.
Pour certains acteurs de cybermenaces, la motivation c’est l’argent. Près de la moitié des répondants (43 %) à l’enquête du Cynerio/Poneman Institute ont subi au moins une attaque de rançongiciel, 47 % d’entre eux ayant payé la rançon. Un tiers des rançons payées se situaient entre 250 000 $ et 500 000 $.
Parmi ceux qui n’ont pas payé la rançon, une stratégie de sauvegarde efficace et la politique de l’entreprise étaient les raisons les plus courantes de le faire.
“Une faible priorité”
Plus de la moitié (54 %) des répondants ont déclaré que la haute direction n’avait pas besoin d’assurances pour traiter correctement les risques liés aux appareils IoT/IoMT. Pendant ce temps, les deux tiers (67 %) ont déclaré qu’ils ne pensaient pas que les appareils de leur organisation étaient corrigés en temps opportun.
Un autre rapport d’une société de logiciels Proofpoint Inc. et du Ponemon Institute est basé sur une enquête menée auprès de 641 professionnels de l’informatique et de la sécurité dans le domaine de la santé. Selon le rapport, 89 % des organisations interrogées ont subi en moyenne 43 cyberattaques au cours des 12 derniers mois.
Le rapport indique que même si plus de 20 % des organisations de santé concernées ont signalé une augmentation des taux de mortalité des patients due aux cyberattaques, « la cybersécurité est une faible priorité dans le secteur de la santé ».
Cependant, le secteur de la santé lui-même pourrait voir la situation différemment. John Riggi, conseiller national pour la cybersécurité et les risques à l’American Hospital Association (AHA), a remis en question l’allégation concernant l’augmentation de la mortalité car le rapport n’examine pas les données médicales.
Selon Riggi, les hôpitaux fournissent des ressources importantes pour soutenir leurs défenses cybertechniques, augmenter les budgets de cybersécurité et former leur personnel, entre autres efforts pour se protéger des cyberattaques.
“Ainsi, laisser entendre que tous les hôpitaux victimes d’une cyberattaque sont présumés négligents d’une manière ou d’une autre est tout simplement inexact. Cela ne reflète pas non plus la réalité qu’aucune organisation n’est complètement à l’abri des cyberattaques, quel que soit le nombre de ressources consacrées à la cybersécurité », a-t- il écrit sur le blog AHA .
Un problème mondial
Les cyberattaques dans le secteur de la santé ne se limitent pas aux États-Unis. Sophos, la société britannique de logiciels et de matériel de sécurité , a interrogé 5 600 professionnels de l’informatique, dont 381 répondants du secteur de la santé, dans 31 pays. L’enquête a révélé que 66 % des organisations de santé ont été touchées par des ransomwares l’année dernière, contre 34 % en 2020.
“Il s’agit d’une augmentation de 94 % au cours d’une année, ce qui démontre que les adversaires sont devenus considérablement plus capables d’exécuter les attaques les plus importantes à grande échelle”, indique le rapport.
Bien qu’il soit constamment victime de cyberattaques, le secteur de la santé semble mieux se protéger que certains autres secteurs.
“En termes de taux de cryptage des données, les soins de santé, avec un taux de cryptage de 61 %, ont obtenu de meilleurs résultats que la moyenne mondiale de 65 %, ce qui indique que les soins de santé étaient mieux à même d’arrêter le cryptage des données lors d’une attaque de ransomware”, indique le rapport.
