Rapport de l’observatoire des signalements d’incidents de sécurité pour l’année 2019

A l’occasion de la publication du rapport de l’observatoire des signalements d’incidents de sécurité pour l’année 2019, Dominique Pon et Laura Letourneau rappellent l’importance du dispositif de signalements, premier maillon de la cybersécurité de notre secteur. Ce dispositif contribue à détecter les signaux faibles d’une activité malveillante visant les acteurs de santé avant qu’elle ne se répande et à renforcer ainsi la capacité de réponse collective.

300 établissements ont déclaré 392 incidents, soit une augmentation de 20% par rapport à 2018. Le nombre total de déclaration reste encore faible au regard du nombre de structures concernées par l’obligation de déclaration (plus de 3000) et la probabilité qu’au moins la moitié des structures concernées a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année.

En 2019, le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%). On constate une croissance significative des attaques par rançongiciels (+40%) des structures de santé. Des variantes de Locky, Dharma, Gandcrab, Phobos ou Emotet ont visé des structures et ont réussi à plusieurs occasions à ne pas être détectées par des solutions antivirales. Pour la majorité des rançongiciels, il n’existait pas d’outil de déchiffrement au moment de l’incident.

Ces attaques, ont aussi visé de façon plus marquante en 2019 des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité de certains services. Le ministère des solidarités et de la santé (HFDS/FSSI) a ainsi été amené à intervenir à plusieurs reprises pour coordonner les actions opérationnelles et de communication avec l’ANSSI, le CORRUSS et les ARS. Ces attaques ont souvent exploité le manque de vigilance des personnels par rapport aux messages malveillants (phishing) et l’exposition sur Internet de services d’accès à distance à des systèmes insuffisamment sécurisés. L’absence de mesures de cloisonnement fort entre les différents domaines métier du SI a aussi facilité la propagation des attaques au sein du système d’information.

Un lien vers le rapport complet est disponible dans la section Références.