Selon l’Agence des systèmes d’information partagés de santé (Asip Santé), 319 incidents de cybersécurité ont été déclarés en un an. Ce ne serait que 20 % des incidents réels !
En un an d’activité, la cellule ACSS (Accompagnement Cybersécurité des Structures de Santé) de l’Asip Santé a recueilli 319 déclarations d’incidents. Un chiffre qui ne reflète pas encore la réalité du terrain car toutes les structures de santé ne sont pas informées de cette obligation de déclaration ou hésitent encore à le faire « par honte d’avoir été pirat[ées], par négligence ou tout simplement par manque de temps », indique dans son bilan l’Asip Santé. Selon les estimations effectuées, ce chiffre correspond à 20 % des incidents auxquels les structures de santé sont réellement confrontées. Elle rappelle qu’il est pourtant important de déclarer son incident, « non seulement pour bénéficier d’un appui mais aussi pour permettre à la cellule ACSS d’alerter si nécessaire l’ensemble des acteurs du secteur sur l’état de la menace et de proposer des mesures de protection afin de limiter les impacts d’un incident à grande échelle ».
La plupart des incidents vite résolus… mais quelques incidents notables, voire graves
Si 98 % des incidents ont pu être résolus rapidement, certains incidents notables ont fait l’objet d’un retour d’expérience anonymisé. Parmi ces incidents, une attaque par rançongiciel qui a contraint un centre de radiothérapie à arrêter son activité pendant deux jours et demi ; une intrusion suivie du déploiement de mineurs de crypto-monnaie qui a impacté la disponibilité des applications d’un CH pendant trois mois ; une attaque virale par un maliciel de type « wannacry » qui a impacté les activités cliniques, médico-techniques et techniques d’un CH, l’obligeant à délester des urgences vers une autre structure. Trois incidents dont l’origine n’était pas malveillante (bugs informatiques sur des logiciels de prescription ou interruption brutale de moyens de transmission de données) ont même entraîné des effets indésirables sur quelques patients (moins de dix).