Cyber-attaques : un phénomène à prendre au sérieux

Les incidents liés à la sécurité des systèmes d’information se multiplient de plus en plus dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015, et 51% en France.

La sphère santé et médico-sociale n’est pas épargnée. Sur le deuxième trimestre 2016, près de 90% des attaques ransomware ont visé des établissements de santé dans le monde avec à la fois un impact direct sur la sécurité des soins et un impact économique. (source : ministère des affaires sociales et de la santé). L’instruction n°SG/DSSIS/2016/309  du 14 octobre 2016  relative à la mise en œuvre du plan d’actions sur la sécurité des systèmes d’information (« Plan d’action SSI ») est immédiatement applicable dans les établissements et services concernés.

Quels risques encourus ?

Le ransomware, rançongiciel ou logiciel de rançon, un logiciel malveillant qui prend en otage les données personnelles. Tous les postes informatiques peuvent se retrouver bloqués sans notamment aucun accès au dossier patient. Le rançongiciel chiffre alors les données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Les vols et la divulgation de données. Chaque établissement, autorité de traitement de données, a l’obligation de moyen de protéger ses données. En cas de divulgation, s’il est prouvé que tout n’a pas été mis en œuvre, il peut encourir une sanction pénale. En particulier, le règlement européen GDPR applicable à partir du 27 Mai 2018 menace d’amendes administratives pouvant aller jusqu’à 20 000 000 € !

Quelles solutions ?

Dans le cadre du marché Helpévia, Orange Cyberdéfense propose 3 types de solutions.

Le conseil et l’audit : une analyse des risques avant mise en place d’une démarche de sécurité. Voici quelques exemples d’actions concrètes pouvant être déployées :

• L’accompagnement du Responsable Sécurité des Systèmes d’informations (RSSI), véritable animateur de la sécurité qui, quand il est nommé,n’a pas toujours le temps de se consacrer à sa mission.
   
• Opérations de sensibilisation des salariés : un clic malencontreux peut entrainer une attaque du système d’où toute une éducation des équipes pour réduire ce risque.

La gestion de la menace : détecter et qualifier les incidents pour les remonter à l’autorité de santé compétente (Agence Régionale de Santé, ARS) car rares sont les établissements qui ont les capacités techniques et organisationnelles pour le faire.

Les infrastructures de confiance : Equipements qui permettent d’atteindre les objectifs de sécurité (anti virus, firewall…).

Sans faire de catastrophisme, il faut être bien conscient que ces types d’incidents ont été multipliés par 3 depuis 2016. Tout le monde a subi l’an passé, une cyberattaque. Une réelle prise de conscience est indispensable face aux risques encourus qu’ils soient professionnels et économiques. Les ARS peuvent aider au financement de certains projets et Orange peut accompagner tout établissement désireux de se protéger efficacement.