https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Cybersécurité: +20% d'incidents signalés en 2019 par les établissements de santé (ANS)

0 856

PARIS (TICsanté) - Les signalements d'incidents de cybersécurité effectués par des établissements de santé ont augmenté de 20% en 2019, indique l'Agence du numérique en santé (ANS, ex-Asip santé), dans son rapport public 2019 paru le 10 juillet.

Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs", et l'ANS est chargée d'apporter un appui au traitement des incidents au travers de sa cellule d'accompagnement cybersécurité des structures de santé (ACSS), rappelle-t-on.

En 2019, 392 incidents ont été signalés par 300 établissements, contre 327 incidents signalés par 247 établissements en 2018.

Parmi ces incidents, 38 "impactant des pharmacies ou ne concernant pas des systèmes numériques" "n'ont pas fait l’objet d’un traitement particulier", précise l'ANS, ce qui signifie que 354 incidents ont fait l'objet d'un traitement.

Parmi les établissements ayant signalé un incident, 55 en ont signalé plus de 2, et 7 en ont signalé plus de 4.

"Le nombre total de déclaration reste encore faible au regard du nombre de structures concernées par l’obligation de déclaration (plus de 3.000) et la probabilité qu’au moins la moitié des structures concernées a dû faire face à un incident ayant impacté son fonctionnement normal au cours de l’année", signale l'ANS.

Le dispositif de signalement est en cours d'élargissement à "tous les acteurs de santé", y compris le secteur médico-social, et "a d'ores et déjà été proposé aux établissements d'hébergement pour personnes âgées dépendantes" (Ehpad), ajoute-t-elle.

La grande majorité des incidents a été signalée par des établissements de santé (333), suivis par les Ehpad (24). Le reliquat se répartit entre les laboratoires de biologie médicale (3), les centres de radiothérapie (4) et les "autres" (28) structures: pharmacies, cabinets libéraux, établissements publics du secteur médico-social.

Ces proportions sont semblables Ă  celles de 2018.

Par ailleurs, "il y a toujours une sous-déclaration des incidents par les acteurs du privé, qui ont dû parfois faire face à des incidents importants [mais] sont encore peu enclins à partager les informations concernant leur gestion", souligne l'ANS.

Les cliniques ont signalé 14% des incidents en 2019 alors qu'elles représentent 32,5% des établissements; les établissements de santé privés d'intérêt collectif (Espic) 12% des signalements (11% en 2018) alors qu'ils représentent 22% du total.

Les trois quarts (74%) des signalements provenaient d'établissements publics, alors que ceux-ci ne représentent que 45,5% des établissements.

Soixante-dix demandes d'accompagnement en 2019

La cellule ACSS a reçu 70 demandes d'accompagnement (contre 47 en 2018), soit 20% des incidents.

"Les accompagnements sont en général demandés lors d’incidents ayant un impact important sur la structure", en particulier "la gestion des attaques virales et la compromission des systèmes, mais les structures sollicitent aussi parfois la cellule ACSS pour intervenir auprès de prestataires lorsque ces derniers sont à l’origine de l’incident (panne réseau, dysfonctionnement applicatif) et ne sont pas suffisamment réactifs", explique l'ANS.

Concrètement, 14 incidents "ont fait l'objet d'un suivi particulier de la part du fonctionnaire de sécurité des systèmes d'information" (FSSI) du ministère des solidarités et de la santé, contre 6 en 2018.

Onze ont été pris en charge par l'Agence nationale de sécurité des systèmes d'information (Anssi) (2 en 2018), notamment "pour apporter une assistance à des structures de taille moyenne victimes de rançongiciels".

Huit ont fait l'objet d'une alerte à la direction générale de la santé (DGS) et au centre opérationnel de régulation et de réponses aux urgences sanitaires et sociales (Corruss), contre 3 en 2018. Ces alertes "concernaient des incidents d’origine malveillante (arrêt du SI et pertes de données causées par des rançongiciels) et des dysfonctionnements de logiciels de prescription ayant entrainé une suspicion de surdosage ou encore la production de prescriptions erronées", détaille l'ANS.

Enfin, 16 ont été communiqués à l'Agence nationale de sécurité du médicament (ANSM) (15 en 2018).

"Dans une majorité des cas, les prestataires (opérateurs, éditeurs, hébergeurs) ont apporté une réponse aux incidents dans des délais raisonnables", mais "40% des structures ont été contraintes à mettre en place en 2019 un fonctionnement en mode dégradé du système de prise en charge des patients", en moyenne sur une journée.

Victime d'un rançongiciel en novembre, le CHU de Rouen a fonctionné "en mode dégradé", rappelle-t-on.

Par ailleurs, "environ 70% des signalements sont réalisés le jour de la survenance de l’incident et 80% dans les 24 heures."

Près de la moitié (168) des incidents été résolus lorsqu'ils ont été signalés, un quart (83) était "en cours de résolution" et moins d'un quart (73) "en cours d'investigation". Pour 20 incidents, le bilan avait déjà effectué, et 10 n'avaient pas encore été pris en charge.

"Mise en danger potentielle des patients" dans 19% des incidents

Parmi les incidents de sécurité des systèmes d'information signalés à l'ANS en 2019, 19% ont causé une "mise en danger potentielle des patients, indique-t-elle dans le rapport.

Cela représente 66 mises en danger potentielles sur 354 incidents signalés et ayant fait l'objet d'un traitement par sa cellule d'accompagnement cybersécurité des structures de santé (ACSS), indique l'agence, dans ce document.

Parmi les 66 mises en danger potentielles, "5 incidents ont entraîné une mise en danger patient avérée", détaille l'ANS.

Dans trois cas, une prescription était "incomplète ou erronée", "dans l’un des cas, une patiente n'a pas reçu la totalité de son traitement personnel pendant 10 jours, entraînant une détresse respiratoire grave sur [un oedème aigu pulmonaire]".

Les deux autres cas sont un "surdosage d’insuline et un surdosage de traitement anticoagulant".

"Ces conséquences sur la prise en charge des patients sont dues à des bugs sur des logiciels de prescription et d’aide à la dispensation impactant l’intégrité des prescriptions et des dispensations, des bugs sur des logiciels de dossier patient informatisé, ou des dysfonctionnements de l’infrastructure locale", explique l'ANS.

"Les dysfonctionnements des logiciels de prescription/aide à la dispensation liés à des bugs ayant provoqué des erreurs dans les prescriptions et la délivrance des médicaments auraient pu entrainer une mise en danger des patients plus importante sans la vigilance des professionnels de santé et la mise en place de procédures permettant d’identifier les erreurs", s'alarme-t-elle.

Par ailleurs, "pour la moitié des incidents signalés en 2019, tout ou partie des données présentes sur le SI de la structure n’étaient plus accessibles", déplore l'ANS.

Dans 175 cas, une "perte de données ou l'impossibilité d'accéder à des données" a été constatée.

Quarante-six "divulgations ou accès non autorisés à des informations à caractère personnel" ont été recensés, ainsi que 29 "atteintes à l'intégrité des données" et 15 "divulgations ou accès non autorisés à des données relatives à la structure".

"Pour 30% des signalements, les structures assurent qu’il n’y a eu aucun impact sur les données", ajoute l'ANS.

De même, l'incident "n'a eu aucun impact sur le fonctionnement" des structures dans 38% des cas selon celles-ci; un chiffre "relativement stable puisqu’il était de 35% en 2018".

Les trois types d'incidents les plus fréquents sont la perte du lien télécom (64 signalements, 41 en 2018), un dysfonctionnement de l'infrastructure locale ou du prestataire (62 signalements, 28 en 2018) et les logiciels malveillants ou virus (61 cas contre 39 en 2018).

Suivent les bugs applicatifs (42 cas, 55 en 2018), les courriels malveillants (42 cas, 51 en 2018) et la compromission d'un système d'information (39 cas, 29 en 2018).

Légère augmentation des incidents d’origine malveillante
"Le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%)", et le nombre d'incidents d'origine non malveillante est "en légère diminution" à 57%, constate l'ANS.

"Ces attaques ont souvent exploité le manque de vigilance des personnels par rapport aux messages malveillants (phishing) et l’exposition sur internet de services d’accès à distance à des systèmes insuffisamment sécurisés", ainsi que "l’absence de mesures de cloisonnement fort entre les différents domaines métier du SI", indique l'ANS (cf dépêche du 10 février 2020).

L'agence observe "une croissance significative des attaques par rançongiciels (+40%) des structures de santé".

"Pour la majorité de ces rançongiciels, il n’existait pas d’outil de décryptement/déchiffrement au moment de l’incident. Lorsque les rançons sont explicitement formulées, elles peuvent s’élever à une dizaine de milliers d’euros", détaille l'ANS.

"Les modalités d’attaque et de demande n’étant pas individualisées ni spécifiques au secteur santé, il est fort probable qu’elles ne visaient pas des établissements en particulier. A notre connaissance, seules deux structures du secteur privé ont payé la rançon demandée pour récupérer leurs données", ajoute-t-elle.

Ces attaques "ont aussi visé de façon plus marquante en 2019 des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité de certains services".

"En légère diminution" (57%), les incidents d'origine non malveillante "sont la conséquence de pannes d’opérateurs télécom à l’échelle nationale (en avril et en juin) mais aussi de problèmes locaux (interruptions de service non programmées, dégradations physiques de l’infrastructure)".

Ces pannes affectent les services hébergés par l'établissement (dossiers patient informatisés, résultats de laboratoires…) mais aussi l’accès aux services de téléphonie. "Les structures disposent souvent de modes dégradés de fonctionnement concernant l’accès aux données via Internet mais plus rarement en ce qui concerne la téléphonie (à l’exception de la régulation des appels pour les services d’urgence), ce qui peut impacter fortement la coordination des soins", souligne l'ANS.

ANS, "Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé"

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

En bref

Verteego veut prédire les crises d'épilepsie grâce à l'IA

La société spécialisée dans les technologies de "machine learning" Verteego a annoncé le 20 novembre la création d'un programme baptisé "Predilepsy" visant à "créer la première combinaison au monde d'algorithmes d'apprentissage automatique fiables permettant, grâce à un dispositif portable, de prédire le moment où une crise survient avec une grande précision".

0 614

Systèmes d'information

Cybersécurité: 693 incidents déclarés par les structures de santé depuis deux ans

PARIS (TICsanté) - L'Agence des systèmes d'information partagés de santé (Asip santé) a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place d'un nouveau dispositif de signalement, en octobre 2017, a-t-elle indiqué le 2 décembre à TICsanté.

0 715

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
3 + 5 =
http://www.canyon.fr/
https://openbi.org/
https://mipih.fr/votre-projet-mipih/piloter-la-performance/desionnel2.html

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • SantExpo Live (Ex-Paris Healthcare Week)

    Du 09/03/2021 au 11/03/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021