Selon les données de l’ANSSI, 10% des victimes de cyberattaques par ransomwares en 2023 étaient des hôpitaux (publics ou privés).
Cybersécurité : le secteur de la santé toujours au défi de la sécurité des e-mails
Sören Schulte, Expert en sécurité des e-mails chez Retarus nous livre son analyse.
Les attaques consécutives de plusieurs CHU au cours des deux dernières années (Rennes, Armentières, Cannes…) et l’interruption des services due au blocage ou à la limitation des systèmes d’information en ayant découlé (pouvant aller jusqu’au déplacement de patients), ont prouvé la vulnérabilité du secteur hospitalier – tout comme celle de services de santé satellites, tels que les mutuelles (fuite de données de Viamedis et Almerys en février 2024).
Des progrès sont à noter en matière de préparation et d’anticipation. Plusieurs facteurs contribuent cependant à les ralentir : la complexité des systèmes d’informations et leur obsolescence, le manque d’investissement dans le digital et les solutions de sécurité qui y sont liées, et le manque de sensibilisation du personnel hospitalier.
La vulnérabilité des messageries, un risque en constante évolution
Le gouvernement français travaille depuis 2023 à l’établissement d’un plan d’action concret pour contrer la menace cyber dans le secteur de la santé. Le plan CaRE (Cyberaccélération et Résilience des Etablissements), géré par la Délégation numérique en santé, a établi la première feuille de route visant renforcer la résilience et la sécurité des établissements de santé à l’horizon 2027. Son objectif est de réduire les risques d’intrusions, d’éviter l’aboutissement des attaques, et de permettre un retour à la normale rapide en cas de non-évitement. Les départements IT, les responsables des systèmes d’information et de leur sécurité (DSI, RSSI), ainsi que les responsables de la protection des données et de l’information médicale (DPO, DIM) travaillent ensemble pour répondre à ces exigences de sécurité.
Dans le cadre de son récent projet de recommandations pour la sécurisation des Dossiers Patient Informatisés (DPI, ou dossier médical), la CNIL insiste également sur l’importance de sécuriser les échanges de données et de réguler leur accès. Ce projet intervient suite au constat par la Commission de « manquements à l’obligation d’assurer la sécurité et la confidentialité des données » par les établissements de santé.
Dans ce contexte, les systèmes de messagerie sont en première ligne. Les messages malveillants, ou phishing, demeurent l’une des principales sources d’incidents. Les e-mails continuent notamment d’être un outil indispensable pour les opérations quotidiennes au sein des hôpitaux. Ces derniers traitent un large éventail d’informations sensibles par e-mail, qui n’incluent pas seulement les dossiers médicaux des patients : des données non médicales essentielles, telles que les données personnelles des employés, les communications internes, les informations financières et de facturation sont également échangées quotidiennement. La compromission des messageries est donc une menace très réelle pour les systèmes d’information des hôpitaux – et l’erreur est souvent humaine.
La sécurisation des communications par e-mail est primordiale afin de protéger équipes et patients, et d’empêcher tout accès non autorisé aux données confidentielles. Une stratégie de sécurité globale doit inclure des mesures traditionnelles telles que des solutions antivirus et antispam, mais également des mécanismes de protection avancée contre les menaces (ATP), intégrant potentiellement un sandboxing et une détection du phishing basés sur l’IA qui respecte les réglementations européennes en matière de protection des données. L’archivage et le chiffrement des e-mails sont également des éléments clés d’une infrastructure de messagerie sécurisée.
Faciliter l’utilisation du chiffrement
Le chiffrement des données personnelles et des informations internes confidentielles transmises par e-mail est un procédé essentiel et plus facile à intégrer qu’il n’y parait.
Les fonctionnalités qui automatisent la gestion des clés de chiffrement, des politiques utilisateur et des certificats permettent à la fois de renforcer la sécurité des communications et de réduire considérablement la charge administrative des services informatiques. Elles permettent de gérer automatiquement les utilisateurs individuels, groupes, clés, certificats et directives, sans support technique. L’administrateur de la sécurité informatique définit quels employés ou groupes ont besoin de quelles clés et certificats, et à quoi doit ressembler le règlement individuel. Les messages confidentiels, y compris leurs pièces jointes, sont automatiquement chiffrés sur la base de ces règles spécifiques. Les clés S/MIME et PGP peuvent également être créées et synchronisées automatiquement. Les administrateurs sont immédiatement informés par e-mail de l’état de la synchronisation et des clés créées. Les responsables informatiques gardent ainsi un contrôle total sur les clés utilisées, et les systèmes comptant de nombreux utilisateurs réduisent considérablement leur charge de travail manuel. La généralisation de ce type de fonctions pourrait permettre, à moyen terme, une utilisation plus systématique du chiffrement.
Les données personnelles et les informations internes peuvent également être chiffrées grâce à des solutions (basées sur le cloud) qui offrent un déchiffrement centralisé des messages entrants avant de les stocker dans leur format d’origine au sein d’une archive chiffrée à son tour.
Le recours à un portail facile à utiliser accessible via un navigateur pour la transmission de données confidentielles sur les patients peut être une alternative pertinente, car les utilisateurs privés, notamment, ne disposent souvent pas des normes de chiffrement professionnelles appropriées.
S’équiper pour assurer continuité et archivage sécurisé
Dans le secteur de la santé, il est également essentiel de disposer d’une infrastructure de secours qui puisse garantir une communication ininterrompue en cas de panne du système de messagerie électronique principal, qu’elle soit due à une défaillance du fournisseur de services cloud ou à une attaque par ransomware. Les organisations doivent privilégier les solutions qui offrent un environnement de messagerie indépendant et toujours disponible, qui permet au personnel de continuer à envoyer et à recevoir des e-mails en cas d’indisponibilité prolongée du système principal.
La majorité des établissements de santé sont en outre légalement tenus de conserver les e-mails importants sur le plan fiscal et commercial ainsi que leurs pièces jointes pendant une durée déterminée. Ce processus d’archivage doit garantir que les e-mails soient stockés de manière inviolable, qu’ils soient facilement consultables, et qu’ils soient conformes aux lois applicables en matière de protection des données (RGPD). Les e-mails archivés doivent être conservés dans leur format d’origine, y compris les détails techniques pertinents, et protégés contre tout accès non autorisé par des mesures telles que le double contrôle.
Les établissements doivent donc s’équiper stocker automatiquement, de manière fiable et conforme, les e-mails entrants et sortants ainsi que le trafic interne d’e-mails dans leur format d’origine. Il est important de favoriser les solutions qui permettent de retrouver les messages le plus rapidement possible, même en cas de grande capacité de stockage, et quel que soit le système de messagerie utilisé.
L’importance de la préférence européenne
Le contexte de tension géopolitiques renforce le niveau cybermenaces pour tous les secteurs, et pose la question de la dépendance européenne à des solutions extérieures pour sécuriser les données et les communications. Pour garantir sa sécurité sur le long terme, le secteur et les pouvoirs publics devront prioriser l’intégration de technologies et solutions européennes. Les directives NIS 1 et NIS 2 s’appliquant également au secteur de la santé, le choix de solutions « locales » et auditables permet également de s’y conformer au plus près, tout en conservant son indépendance.
In fine, assurer la sécurité et la continuité des communications signifie garantir la continuité et la qualité des soins. Si nous sommes sur la bonne voie, il faudra s’assurer que les investissements dans le numérique et les solutions associées suivent le rythme afin de mettre en place des infrastructures sécurisées de bout en bout.
Téléchargez cette ressource
État des lieux de la sécurité cloud-native
L’État des lieux de la sécurité cloud-native vous offre une analyse complète des problématiques, des tendances et des priorités qui sous-tendent les pratiques de sécurité cloud-native dans le monde entier. Une lecture indispensable pour renforcer votre stratégie de sécurité dans le cloud. Une mine d’infos exclusives pour élaborer votre stratégie de sécurité cloud-native.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Bâtir une entreprise AI-native : par où commencer
- La France à l’avant-garde de la conteneurisation et de l’IA générative
- La souveraineté numérique pour renforcer la cybersécurité
- Perspectives IA, Cybersécurité et STaaS en 2025
- Impact des outils d’IA sur la satisfaction, le niveau de stress et le bien-être !
