Les organisations de santé sont de plus en plus la cible de cyberattaques, mettant en péril des données sensibles et entraînant une augmentation des dépenses de sécurité.


La cybersécurité préoccupe les organisations de santé depuis plus d’une décennie. Cependant, la montée des attaques et des incidents de ransomware est devenue une crise majeure pour le secteur, entraînant des perturbations dans les soins et les finances.


Cet article fait partie d’une série en trois parties rédigée par notre Rédacteur en chef, Fred Bazzoli, portant sur l’avenir du secteur de la santé. Continuez à lire pour découvrir ses réflexions sur la cybersécurité et n’oubliez pas de consulter les articles sur l’ autorité sanitaire et la valeur des coûts

La protection des données et de l’intégrité des systèmes constitue une crise croissante pour le secteur dans les prochaines années, notamment à mesure que les hackers améliorent la sophistication de leurs attaques et utilisent l’intelligence artificielle ainsi que l’ingénierie sociale pour exploiter la confiance et les vulnérabilités.

Une crise grandissante

Les données finales pour 2024 n’étant pas encore disponibles, l’année 2023 a été particulièrement mauvaise en matière de violations de données. À l’échelle mondiale, environ 389 attaques par ransomware ont été signalées dans le secteur de la santé, soit une augmentation de 74 %. Aux États-Unis, ces attaques ont augmenté de 128 % en 2023 par rapport à l’année précédente, selon le Cyber Threat Intelligence Integration Center de l’Office du Directeur du renseignement national.

L’impact sur les soins est évident, souligne l’agence. “Les hôpitaux américains ont retardé des interventions médicales, perturbé des soins aux patients à cause d’interruptions durant plusieurs semaines, redirigé des patients vers d’autres établissements, réorganisé des rendez-vous médicaux et mis à rude épreuve la capacité de soins aigus”, précise-t-elle. “La dépendance des structures de santé à des systèmes connectés à Internet, le grand volume de données sensibles personnelles identifiables (PII) et d’informations de santé personnelles (PHI), ainsi que leur besoin crucial de continuité des opérations rendent ce secteur particulièrement vulnérable.”

En ce qui concerne les ransomwares, un rapport de Microsoft Threat Intelligence indique que le paiement moyen de rançon par les organisations de santé en 2024 était de 4,4 millions de dollars. Parmi les autres résultats, il apparaît que 53 % des établissements de santé ont payé une rançon ; 65 % des demandes de rançon s’élevaient à 1 million de dollars ou plus ; 35 % dépassaient 5 millions de dollars ; et le paiement médian était de 1,5 million de dollars. De plus, le coût de la récupération après une attaque de ransomware a également augmenté, atteignant en moyenne 2,57 millions de dollars en 2024.

Les hôpitaux proches des établissements touchés subissent également des perturbations et des surcharges, souligne Microsoft. Cela se traduit par une augmentation de 35,2 % des arrivées aux services d’urgence, une hausse de 47,6 % du temps d’attente en salle d’attente et deux fois plus de cas confirmés d’accidents vasculaires cérébraux et d’arrêts cardiaques.

De manière plus générale, les dirigeants informatiques prennent conscience du coût élevé des cyberattaques. Les cyberattaques sur les dossiers de santé électroniques et d’autres systèmes constituent un risque pour la vie privée des patients car les hackers peuvent accéder aux PHI et autres informations sensibles, souligne John Riggi, conseiller principal en cybersécurité et risque à l’Association américaine des hôpitaux. “Si vous ne parvenez pas à protéger la vie privée des dossiers patients, votre organisation pourrait faire face à des pénalités substantielles en vertu des règles de confidentialité et de sécurité de la loi HIPAA, ainsi qu’à des dommages potentiels pour sa réputation au sein de la communauté. Plus important encore, la sécurité des patients et la fourniture de soins pourraient également être compromises”, écrit-il.

La réponse du secteur

Les organisations prennent conscience de la menace, et les discussions sur les cybermenaces sont désormais portées au niveau du comité exécutif.

Un rapport récemment publié par KLAS Research met en lumière les risques liés à l’utilisation de solutions interconnectées par les organisations. “Pour lutter contre ces menaces croissantes, les organisations continuent d’investir sur le plan technologique et culturel dans des programmes de cybersécurité robustes, mais au milieu des contraintes d’effectifs et de budget, elles doivent investir de manière stratégique”, conclut le rapport KLAS, basé sur des entretiens avec 70 organisations de santé concernant leurs principales priorités et défis en matière de cybersécurité.

Cependant, même en considérant des moyens pour atténuer les menaces, les voies d’attaque se multiplient, avec des risques augmentés provenant de tiers et d’infrastructures distribuées. “Les priorités des fournisseurs sont fragmentées, car les répondants évoquent la nécessité de renforcer les risques croissants venant de diverses sources (et) facettes, y compris les menaces pour les données volées, les identifiants d’employés et les dispositifs connectés”, notent les chercheurs de KLAS.

Les enjeux sont conséquents. Comme rapporté précédemment par Health Data Management, les cyberattaques ont un impact croissant sur les soins aux patients, retardant les traitements et affectant la sécurité. “Cette réalité devient de plus en plus claire alors que l’industrie subit des vagues d’attaques très médiatisées qui interrompent les services, entraînant d’importantes perturbations et des coûts élevés.”

Une réponse suffisante ?

Assurer la continuité des services de santé, réduire les perturbations et les coûts inutiles, tout en renforçant la confiance et la sécurité des consommateurs, devient une priorité pour le secteur et les agences gouvernementales.

Plus précisément, le Bureau des droits civils (OCR) publie ce mois-ci une proposition de règlement visant à améliorer la cybersécurité et à mieux protéger le système de santé contre les cyberattaques. Cette proposition modifierait la règle de sécurité de la loi sur la portabilité et la responsabilité des assurances santé de 1996 afin d’exiger des entités couvertes par la HIPAA et de leurs partenaires commerciaux de renforcer les mesures de cybersécurité pour les informations de santé protégées contre les menaces internes et externes.

Les modifications clarifieraient et fourniraient des instructions plus spécifiques concernant ce que les entités couvertes et leurs partenaires commerciaux doivent faire pour protéger la sécurité des PHI électroniques, selon une analyse de WEDI. “La proposition exigerait également que les politiques et procédures soient écrites, révisées, testées et mises à jour régulièrement. De plus, elle cherche à aligner la règle de sécurité sur les meilleures pratiques modernes en matière de cybersécurité”, souligne l’organisation. Le projet de règlement, publié dans le Federal Register, peut être consulté ici.

La lutte contre les cyberattaques devrait devenir de plus en plus difficile, car les outils d’intelligence artificielle devraient améliorer la capacité des hackers à effectuer des attaques plus réalistes et ciblées. “Bien que les outils d’IA puissent être utilisés pour contrer les cyberattaques, ils peuvent également servir à percer les défenses, surtout si les organisations de santé ne maîtrisent pas parfaitement les relations entre leurs systèmes internes et ceux de leurs partenaires commerciaux”, note Jennifer Bresnick dans un article pour DHI Insights, une publication de CHIME.

Faire face à l’augmentation des défis posés par les cyberattaques reste crucial pour maintenir la continuité des soins et protéger les informations sensibles de santé des patients.


Cet article fait partie d’une série en trois parties rédigée par notre Rédacteur en chef, Fred Bazzoli, portant sur l’avenir du secteur de la santé. Continuez à lire pour découvrir ses réflexions sur la cybersécurité et n’oubliez pas de consulter les articles sur l’ autorité sanitaire et la valeur des coûts


Bon à savoir

  • Le recours à l’intelligence artificielle par les hackers complique la lutte contre les cyberattaques.
  • Les mesures de cybersécurité doivent être régulièrement mises à jour pour s’adapter à de nouvelles menaces.
  • La protection des données sensibles est non seulement une obligation juridique, mais aussi un impératif éthique pour les organisations de santé.

La question de la cybersécurité dans le secteur de la santé est donc plus que jamais d’actualité. Comment les organisations vont-elles évoluer face à des menaces en constante mutation ? Les discussions autour de la mise à jour des dispositifs de sécurité et des protocoles de protection des données devront être au centre des préoccupations pour assurer la continuité des soins et la protection des informations sensibles.



Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *