Un guide de bonnes pratiques publié par le département américain de la santé révèle en chiffre l’impact des menaces cyber

Le Département de la santé et des services sociaux des États-Unis (U.S. Department of Health and Human Services ou HHS) a publié fin décembre 2018 un guide de bonnes pratiques face aux menaces de la cybersécurité, résultat d'un travail de collaboration commencé en mai 2017 et réunissant plus de 150 experts du secteur et de la cybersécurité ainsi que plusieurs partenaires gouvernementaux.

Le document présente un état des lieux de la cybersécurité depuis 2016 et les meilleurs pratiques pour faire face aux cinq menaces les plus importantes. Elles concernent majoritairement, par ordre de fréquence décroissant, hameçonnage par courriel, cryptovirus (ransomware), perte ou vol d'équipement ou de données, perte de données de manière accidentelle ou intentionnelle et attaques contre des dispositifs médicaux connectés qui peuvent affecter la sécurité des patients.

Ainsi, 4 médecins américains sur 5 admettent avoir déjà avoir fait l’expérience d’au moins un type d'attaques cité ci-dessus. Par ailleurs, 58% des structures ciblées par des attaques utilisant des logiciels malveillants concernent en majorité des petites structures. En 2017, l’impact financier estimé dans le cas d’une attaque réussie s’élevait à 2,2 millions de dollars (1,9 millions d’euros), entraînant leur fermeture dans les 6 mois suivants l’attaque dans 60 % des cas . Alors que certaines attaques entraînent des violations de données à caractère personnel, 90 % des petites entreprise admettent pourtant ne pas du tout faire usage des informations qui ont été collectées.

En 2016, les attaques sur le système de santé américain s’élevaient à 6,2 milliards de dollars (5,31 milliards d'euros). Le chiffre est à mettre en parallèle avec le coût grandissant d'une atteinte à la protection des données pour les établissements de santé, qui est passé de 380 dollars (320 euros) par dossier médical patient en 2017 à 408 dollars (355 euros) en 2018. Par ailleurs, le rapport note que 4 à 7% du budget total des établissements de santé est consacré à la cybersécurité. Ce chiffre situe en dessous de la moyenne estimée entre 10 à 14 % identifiés pour les autres secteurs.