L'Observatoire des incidents

Le ministère de la santé et l’ANS publient ensemble chaque année un rapport annuel de l’observatoire des signalements d’incidents de sécurité des systèmes d’information. 

L'Observatoire des incidents en un click

Rapport 2023

Le bilan des incidents ayant eu lieu en 2023 est plutôt encourageant et cette évolution positive peut être imputée, d’une part, à une meilleure prise en compte des alertes transmises par le CERT Santé aux établissements, et d’autre part, à une maturité accrue de ces derniers pour assurer la sécurité de leur système d’information sur Internet, qui devrait encore progresser avec le déploiement du programme CaRE (Cybersécurité accélération et Résilience des Etablissements).

En dépit de la récurrence et de l’intensité des attaques cyber en 2023, le nombre total d’incidents déclarés (581 signalements) est en légère baisse par rapport à 2022 (-2%) et la part des incidents qui sont d’origine malveillante est stable (50%). L’année 2023 a été marquée par une diminution sensible des incidents majeurs et une stabilité du nombre d’incidents ayant un impact sur la prise en charge des patients (35% des signalements). 93 établissements ont bénéficié d’un appui technique de la part du CERT Santé qui, par ailleurs, a réalisé plus d'interventions proactives dans la prévention vis à vis de l'exploitation des vulnérabilités des équipements exposés sur Internet par les établissements.

L'année 2023 en quelques chiffres : 

  • 53% des structures ont déclaré que l’incident n’avait eu aucun impact sur leur fonctionnement. Ce chiffre est en baisse par rapport à 2022 mais présente une augmentation de près de 15 points par rapport à 2021 puisqu’il était de 38% ;
  • 32% de structures ont été contraintes de mettre en place en 2023 un fonctionnement en mode dégradé du système de prise en charge des patients (7% de moins qu’en 2022) ;
  • Le nombre d'incident d’origine malveillante ayant un effet extrême ou important sur le système d'information de l’établissement victime a diminué : il y en avait 22 en 2022 contre 17 en 2023 ;
  • 451 structures ont été alertées concernant un risque de compromission de leur système d’information des établissements exposés sur Internet ;
  • 529 audits ont été réalisés : 432 centres hospitaliers sur 105 GHT (pour 72 GHT, plus de 50% des établissements de santé ont été audités), 77 établissements sanitaires, 18 établissements sociaux et médico-sociaux et 2 GRADeS.

Rapport 2022

En 2022, le nombre total d’établissements ayant déclaré au moins un incident a augmenté de façon significative (+33%) malgré une baisse du nombre de signalements par rapport à 2021 (-19%). Cette baisse est principalement liée à l’absence d’incident ayant impacté la disponibilité des solutions métiers hébergées par des prestataires. 
Malgré une baisse notable du nombre d’incidents liés à une attaque par rançongiciel (49%), le nombre d’interventions en appui technique du CERT Santé a augmenté de 26% par rapport à 2021. En effet, le CERT Santé a été sollicité à de nombreuses reprises pour aider à confiner les systèmes potentiellement compromis et à analyser les traces numériques laissées par les cyberattaquants. Il a notamment fait le lien avec les autorités chargées de la lutte contre la cybercriminalité. 
En étendant son service de réponse à incident en heures non ouvrées dès octobre 2022, le CERT Santé s’est doté d’une capacité supplémentaire pour aider les établissements à neutraliser rapidement une cyber-attaque. Ce service sera étendu aux acteurs du médico-social en 2023.
    
L’année 2022 en quelques chiffres : 
29 % : c’est le pourcentage de signalements pour lesquels a été demandé un accompagnement en 2022. Il est en légère augmentation par rapport à 2021 (26%).
69 : c’est le nombre de structures ayant déclaré plus de 2 incidents durant l’année 2022 sur 432 structures au total. 15 d’entre elles ont signalé au moins quatre incidents.
58% : c’est le pourcentage de structures indiquant que l’incident n’a eu aucun impact sur son organisation en 2022. Ce chiffre est en augmentation puisqu’il était de 35% en 2020 et de 38% en 2021.
39% : c’est le pourcentage de structures qui ont été contraintes de mettre en place en 2022 un fonctionnement en mode dégradé du système de prise en charge des patients (13% de moins qu’en 2021).
63% : c’est le pourcentage de structures indiquant que l’incident a eu un impact sur des données, qu’elles soient à caractère personnel, techniques ou relatives au fonctionnement de la structure
50 % : c’est le pourcentage des incidents qui ont une origine malveillante en 2022. Ce chiffre a diminué de 2% par rapport à 2021 et 10% par rapport à 2020. 
 

Rapport 2021

Le rapport 2021 met en avant de nombreux incidents majeurs de sécurité subis par le secteur de la santé au cours de l’année 2021. Quelques chiffres permettent de prendre la mesure de l’augmentation de la menace cyber :

  • Un total de 733 incidents de sécurité, allant de l’attaque par rançongiciel à l’exfiltration illicite de données ont ainsi été signalés en 2021, soit le double par rapport à l’année 2020.
  • Le nombre mensuel de déclarations d’incidents a augmenté de 33%.Les déclarations d’incidents concernant les établissements et services médico-sociaux ont été multipliées par 4.

Ces chiffres s’expliquent notamment par l’augmentation des incidents visant les prestataires de service, tels que les hébergeurs, mais également par l’intégration de nouveaux établissements de santé dans le dispositif de signalement mis en place, ce qui a pour effet d’augmenter sensiblement le nombre global de signalements.
En réponse à cette menace grandissante, l’ANS et l’ANSSI collaborent activement avec le Ministère des Solidarités et de la Santé afin de faire progresser le niveau de maturité des acteurs du secteur santé sur les problématiques de sécurité des systèmes d’information. De plus, la mutualisation des compétences et sources d’informations propres à l’ANS et à l’ANSSI a permis une optimisation de la réponse à incident, permettant finalement aux organisations du secteur de la santé d’atteindre une capacité de résilience collective face à l’éventuelle menace d’une attaque de grande ampleur.