PRÉSENTATION
Défis et complexité de la cybersécurité dans les
soins de santé en contexte de transformation
Les quatre principaux enjeux de la cybersécurité dans le domaine de la santé.
Résumé
Depuis le début de la pandémie de COVID-19, les organismes
de soins de santé ont fait évoluer et étendu leur empreinte
technologique. Une réponse au développement rapide de
la télémédecine, au déferlement de professionnels de santé
à distance, au passage à une gestion des données et à une
activité basée sur le cloud, ainsi qu’à la prolifération des
dispositifs connectés de télésurveillance des patients. Cette
évolution, si elle a permis aux professionnels de fournir de
n’importe où des soins de qualité en personne, de manière
virtuelle ou à domicile, a également créé – ou exacerbé – un
certain nombre de défis en matière de cybersécurité. Cette
présentation se penche sur les défis et la complexité de
la cybersécurité propres au secteur de la santé dans son
ensemble suite à ces transformations.
Introduction
Les enjeux sont élevés dans le domaine de la santé. Les
nouvelles technologies et applications médicales influencent
le bien-être et la sécurité des patients tout au long des soins.
L’effet domino de cyberattaques abouties sur les
infrastructures sanitaires vitales et sur les dossiers médicaux
électroniques peut avoir de terribles répercussions sur les
soins aux patients :
PAYEURS
Soins primaires
Cliniciens et autres professionnels de santé Informations propriétaires et confidentielles. Tous droits réservés.
Modèle Beveridge, modèle Bismarck, modèle national d’assurance santé ou modèle à la charge des patients
Médicaments, matériel, IRM, équipements, etc.
$ $ $
Patients
Hôpitaux
Domicile
Centre de soins post-aigus
(maisons de santé...)
Autres structures
(ambulatoires, centres de chirurgie)
FOURNISSEURS
FOURNISSENT
2 | Défis et complexité de la cybersécurité dans les soins de santé en contexte de transformation
Des patients ne reçoivent pas les soins nécessaires
parce que les prestataires sont déconnectés suite à une
attaque de ransomware ou DDoS.
Des chirurgiens repoussent des opérations vitales parce
que les informations nécessaires pour les effectuer
deviennent inaccessibles.
Des défaillances dans les procédures de diagnostic et les
tests de laboratoire retardent les traitements médicaux.
Une indisponibilité des urgences force les ambulances à
dévier vers des établissements beaucoup plus éloignés,
entraînant une aggravation de l’état de santé qui peut
avoir une issue irréversible.
Les PHI ont plus de valeur sur le Dark Web
Les hôpitaux et autres établissements de santé sont parmi
les cibles les plus recherchées de cyberattaques, qu’elles se
produisent en interne ou de l’extérieur, car les informations
de santé protégées (PHI) sont très demandées sur le Dark
Web. Elles se vendent donc souvent plus cher que d’autres
informations d’identification personnelle (PII).
Les numéros de cartes de crédit, par exemple, sont
désactivés et remplacés dès la détection de transactions
douteuses, d’où une valeur moindre sur le marché. Les
dossiers médicaux, en revanche, sont plus intéressants
parce qu’immuables et difficiles à modifier ou à effacer.
Les cybercriminels en retirent donc des bénéfices
durables. Les patients, eux, souffrent financièrement et
psychologiquement et il faut du temps pour réparer les
dommages d’activités frauduleuses. Il peut s’agir de la
prescription d’ordonnances, de l’obtention de traitements, du
remboursement de faux frais médicaux, ou de l’obtention de
prêts personnels ou de cartes de crédit avec des dossiers
de santé volés.
Les ransomwares sèment toujours le trouble
Les agresseurs trouvent encore des moyens d’exploiter des
faiblesses que les centres des opérations de sécurité (SOC)
sanitaires n’ont pas traitées ou décelées (parce que les
méthodes de piratage évoluées ont toujours une longueur
d’avance sur les investissements dans le renforcement
des contrôles de sécurité). Par exemple, les cybercriminels
sont activement à l’affût des vulnérabilités sans correctif,
comme Log4j, premier vecteur de lancement d’une attaque
de ransomware. Aussi les ransomwares sont-ils considérés
comme la plus grande menace dans le secteur de la santé.
Cette tendance se poursuivra probablement en 2022,
sachant que 42 %1 des organismes de soins de santé ont
subi des attaques de ransomwares au cours des deux
dernières années. À cela s’ajoute qu’environ 36 %2 de ces
incidents se sont produits via des tiers, comme c’est le cas
des attaques hautement médiatisées sur la chaîne logistique
contre des logiciels de gestion d’infrastructure critique
vulnérables.
3 | Défis et complexité de la cybersécurité dans les soins de santé en contexte de transformation
Les vulnérabilités de serveurs réseau, cause de la plupart des incidents
2021 fut une année noire en termes de fuites de données pour le secteur, leur nombre atteignant des records et révélant de
nombreux dossiers PHI. À titre d’exemple, l’Office américain des droits civils du Département des services sociaux et de santé
indique que plus de 700 (Figure 1) des entités couvertes ont subi une infraction, entraînant le vol, la perte ou la publication de
plus de 42 millions de dossiers PHI individuels (Figure 2). Les incidents3 signalés récemment montrent que les brèches et les
vulnérabilités ont d’ores et déjà pris un cours inquiétant en 2022 (Figure 3).
Piratage/
incident IT
443, 75 %
E-mail
168, 28 %
Terminal
27, 5 %
Serveur
réseau
316, 54 %
Other
14, 2%
Paper/Films
30, 5%
Dispositif électronique portatif
8, 1 %
Papier/films
30, 5 %
Autre
14, 2 %
Dossiers médicaux
électroniques
28, 5 %
Élimination
inappropriée
5, 1 %
Élimination
inappropriée
190540, 1 %
Perte
28787, 0 %
Vol
99171, 0 %
Perte
9, 1 %
Vol
17, 3 %
Accès/divulgation non autorisés
117, 20 % Accès/divulgation
non autorisés
2080367, 5 %
U.S. Department of Health and Human Services
Office for Civil Rights, Data Breach Reported in 2021
Total: 5
U.S. Department of Health and Human Services
Office for Civil Rights, Individual Affected in 202
U.S. Department of Health and Human Services
Office for Civil Rights, Attack Surface 202
Piratage/
incident IT
40019049, 94 %

Piratage/
incident IT
443, 75 %
E-mail
168, 28 %
Terminal
27, 5 %
Serveur
réseau
316, 54 %
Other
14, 2%
Paper/Films
30, 5%
Dispositif électronique portatif
8, 1 %
Papier/films
30, 5 %
Autre
14, 2 %
Dossiers médicaux
électroniques
28, 5 %
Élimination
inappropriée
5, 1 %
Élimination
inappropriée
190540, 1 %
Perte
28787, 0 %
Vol
99171, 0 %
Perte
9, 1 %
Vol
17, 3 %
Accès/divulgation non autorisés
117, 20 % Accès/divulgation
non autorisés
2080367, 5 %
U.S. Department of Health and Human Services
Office for Civil Rights, Data Breach Reported in 2021
Total: 5
U.S. Department of Health and Human Services
Office for Civil Rights, Individual Affected in 202
U.S. Department of Health and Human Services
Office for Civil Rights, Attack Surface 202
Piratage/
incident IT
40019049, 94 %

Figure 2
Office américain des droits civils du département des
services sociaux et de santé, sujets atteints en 2021
Office américain des droits civils du département des
services sociaux et de santé, fuites de données signalées
en 2021
Total : 5
49
73 71 67 72 69
40 48
62 69
56 50
Fév-21 Mar-21 Avr-21 Mai-21 Jui-21 Jul-21 Aoû-21 Sep-21 Oct-21 Nov-21 Déc-21 Jan-22
U.S. Healthcare Data Breaches in the Past 12 Months
18
199 199 219 277 314 270 329 358 368
512
642 714
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021
Healthcare Data Breaches of 500 or More Records
Figure 1
Fuites de 500 dossiers de données
médicales ou plus
49
73 71 67 72 69
40 48
62 69
56 50
Fév-21 Mar-21 Avr-21 Mai-21 Jui-21 Jul-21 Aoû-21 Sep-21 Oct-21 Nov-21 Déc-21 Jan-22
U.S. Healthcare Data Breaches in the Past 12 Months
18
199 199 219 277 314 270 329 358 368
512
642 714
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021
Healthcare Data Breaches of 500 or More Records

Figure 3
Fuites de données de santé aux États-Unis
au cours des 12 derniers mois
© HIPAA Journal 2022
© HIPAA Journal 2022
4 | Défis et complexité de la cybersécurité dans les soins de santé en contexte de transformation
Les dix principales fuites de données de santé signalées en 2021 ont toutes été attribuées à un piratage abouti, la gravité
étant mesurée par le nombre de sujets atteints. 90 % de ces fuites se sont produites sur les serveurs réseau des prestataires
(Figure 4). Serveurs réseau et messages électroniques réunis totalisent 80 % des vecteurs d’attaque, impactant les traitements
aigus, avec les graves conséquences que cela peut avoir.
Office américain des droits civils du département des
services sociaux et de santé, surface d’attaque en 2021
Top dix des fuites de données de santé
signalées aux États-Unis en 2021
1
9
0
1
2
3
4
5
6
7
8
9
10
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
16 000 000
18 000 000
20 000 000
E-mail Serveur réseau
Vecteur de menace
2021 Top 10 Reported Healthcare Data
Breaches in US
Somme des sujets atteints
Volume de la surface de menace

Figure 4
Piratage/
incident IT
443, 75 %
E-mail
168, 28 %
Terminal
27, 5 %
Serveur
réseau
316, 54 %
Other
14, 2%
Paper/Films
30, 5%
Dispositif électronique portatif
8, 1 %
Papier/films
30, 5 %
Autre
14, 2 %
Dossiers médicaux
électroniques
28, 5 %
Élimination
inappropriée
5, 1 %
Élimination
inappropriée
190540, 1 %
Perte
9, 1 %
17, 3 %
U.S. Department of Health and Human Services
Office for Civil Rights, Attack Surface 202
SonicWall, Inc.
1033 McCarthy Boulevard | Milpitas, CA 95035
Consultez notre site Internet pour de plus amples informations.
www.sonicwall.com© 2022 SonicWall Inc. T O U S D R O ITS R É SERVÉS.
SonicWall est une marque commerciale ou déposée de SonicWall Inc. et/ou de ses filiales aux États-Unis et/ou dans d’autres pays. Toutes les autres marques commerciales et déposées sont
la propriété de leurs sociétés respectives. Les informations contenues dans ce document sont fournies en relation avec les produits de SonicWall et/ou ses filiales. Aucune licence, expresse
ou implicite, par estoppel ou un autre moyen, quant à un quelconque droit de propriété intellectuelle n’est accordée par le présent document ou en lien avec la vente de produits SonicWall. Sauf
disposition contraire dans les conditions du contrat de licence, la société SonicWall et/ou ses filiales déclinent toute responsabilité quelle qu’elle soit et rejettent toute garantie expresse, implicite
ou statutaire concernant leurs produits, y compris et sans s’y limiter, les garanties implicites de qualité marchande, d’adéquation à un usage particulier ou de non-contrefaçon. En aucun cas,
SonicWall et/ou ses filiales ne seront responsables des dommages directs, indirects, consécutifs, punitifs, spéciaux ou fortuits (y compris, sans limitation, les dommages pour perte de profits,
interruption de l’activité ou perte d’informations) provenant de l’utilisation ou l’impossibilité d’utiliser ce document, même si SonicWall et/ou ses filiales ont été informés de l’éventualité de tels
dommages. SonicWall et/ou ses filiales ne font aucune déclaration ou ne donnent aucune garantie en ce qui concerne l’exactitude ou l’exhaustivité du contenu de ce document et se réservent le
droit d’effectuer des changements quant aux spécifications et descriptions des produits à tout moment sans préavis. SonicWall Inc. et/ou ses filiales ne s’engagent en aucune mesure à mettre à
jour les informations contenues dans le présent document.
À propos de SonicWall
SonicWall offre une solution de cybersécurité sans limites pour l’ère de l’hyper-distribution dans une réalité professionnelle
où tout le monde est mobile, travaille à distance et sans sécurité. SonicWall comble le fossé commercial en matière de
cybersécurité pour les hôpitaux, les cliniques et les prestataires du monde entier en connaissant l’inconnu, en offrant une
visibilité en temps réel et en permettant de véritables économies. Pour plus d’informations, rendez-vous sur
https://www.sonicwall.com/fr-fr/solutions/industry/healthcare/.
ExecBrief-HealthcareCybersecurity-A4-JK-6455
Quatre risques de cybersécurité critiques pour la
santé
Malgré les nombreux avantages des technologies, l’adoption
de nouveaux dispositifs médicaux et les interconnexions
entre différents systèmes de santé sont sources de risques
multiples. Les organismes de soins de santé doivent faire
face à quatre grands problèmes de cybersécurité propres au
secteur :
1. Maintenir l’infrastructure vitale couverte et toujours
disponible
2. Protéger la vie privée des patients contre les risques
venant de l’intérieur
3. Préserver l’intégrité des données de santé
4. Prévenir les fuites de données provenant de
ransomwares et attaques de phishing
Dans un contexte d’expansion des infrastructures vitales,
il est impensable de négliger les investissements dans la
sécurité. Toute lacune de cybersécurité, par exemple dans
la gestion des patchs, la gestion de la configuration, des
contrôles d’accès appropriés, le chiffrement des données
et la sécurité des portails de patients mine la mission des
établissements de santé, à savoir fournir des soins de
qualité en temps utile, tout en protégeant la vie privée des
patients. Tout échec de la protection des PHI selon les lois
de protection des données et directives en vigueur peut
avoir des conséquences graves pour les prestataires :
fuite de données, interruption des soins, mauvais résultats
thérapeutiques, perturbations au niveau de la facturation,
perte financière, coûts de réparation, frais juridiques et
de règlement, lourdes amendes, érosion de la confiance,
réputation entachée, etc.
Conclusion
La pandémie perdurant, la situation des organismes de soins
de santé reste tendue. Ils sont toujours en sous-effectifs et
dépassés par la transformation technologique et numérique
qu’ils doivent opérer pour mieux servir leurs patients. La pile
de solutions de cybersécurité SonicWall pour le domaine de
la santé est conçue pour faciliter cette transition et renforcer
la sécurité des infrastructures de santé, afin d’assurer des
soins plus efficaces, plus résilients et plus sécurisés. Cette
pile de sécurité intégrée, à la gestion centralisée, englobe
périphérie, centre de données, accès, sans-fil, messagerie
et terminaux, permettant aux organismes de soins de santé
d’accompagner efficacement les patients jusqu’au bout de
leurs soins.
Lisez notre livre blanc « Une cybersécurité sans limites pour
un secteur de la santé plus sûr » et apprenez comment les
solutions de sécurité SonicWall pour la santé garantissent
la disponibilité des infrastructures vitales, l’intégrité des
dossiers médicaux électroniques et la confidentialité des
informations personnelles sur la santé.
1 Source : « The Impact of Ransomware on Healthcare During COVID-19 and Beyond » par le Ponemon Institute.
2 Source : « The Impact of Ransomware on Healthcare During COVID-19 and Beyond » par le Ponemon Institute.
3 Source : HIPAA Journal « January 2022 Healthcare Data Breach Report », https://www.hipaajournal.com/january-2022-healthcare-data-breach-report/