Depuis deux ans, l’Agence des systèmes d’information partagés de santé a recensé plusieurs centaines d’incidents touchant à la cybersécurité. Un problème qui pose de nombreuses questions sur la confidentialité des données et la sécurité des soins.
De nombreux signalements d’incidents malveillants
En 2017, un nouveau dispositif de signalement des incidents informatiques a été mis en place. Il assure, aux structures de santé, de déclarer plus facilement et plus systématiquement les problèmes graves et significatifs de sécurité informatique. Ce dispositif a donc permis à l’Agence des systèmes d’information (Asip santé) de recenser un total de 693 incidents.
Il s’agit de cas où la confidentialité des données, l’intégrité des informations de santé, la sécurité des soins, le fonctionnement des organismes de santé… ont été remis en cause suite à des problèmes de sécurité des systèmes informatiques. En détail, on apprend que 43 % des incidents déclarés ont une origine malveillante. Il s’agit, par exemple, de cyberattaques, de messages électroniques et de logiciels malveillants. De plus, 84 % des déclarations sont le fait d’établissements de santé.
Mais il faut savoir qu’: « Aujourd’hui, il y a seulement entre 250 et 300 structures qui déclarent les incidents. Nous comptons sur la campagne pour la cybersécurité à l’hôpital pour voir augmenter le nombre de déclarations » indique Philippe Loudenot, fonctionnaire de sécurité des systèmes d’information des ministères sociaux.
Une campagne pour sensibiliser les hôpitaux
En effet, une campagne concernant la cybersécurité à l’hôpital a été lancée. Elle se compose d’une vidéo et d’affiches. Son objectif est de sensibiliser les professionnels de santé hospitaliers aux risques liés à la cybersécurité et à leurs conséquences.
Agnès Buzyn, ministre de la Santé, a déclaré à ce propos : « Les 3 036 établissements de santé qui sont présents sur tout le territoire sont loin d’avoir tous la même compréhension des problématiques numériques et dans un contexte où la menace continue de se développer, nous devons faire prendre conscience à chacun et dans chaque structure que la cybersécurité est la continuité de la sécurité des soins ».
Aujourd’hui, le ministère de la Santé souhaite étendre le dispositif de signalement. Ainsi, les déclarations d’incidents de sécurité concerneront à terme tous les professionnels de santé. Un service national de cybersurveillance en santé sera aussi mis en place dans le courant de l’année 2020.