---
title: "Les défis liés à la sécurité des informations de santé dans les hôpitaux et les systèmes de santé modernes"
published_at: "2026-07-02T07:59:21+00:00"
modified_at: "2026-07-02T07:59:47+00:00"
url: "https://www.baculasystems.com/fr/blog-fr/cybersecurite-dans-le-secteur-de-la-sante-les-defis-des-hopitaux/"
markdown_url: "https://www.baculasystems.com/fr/blog-fr/cybersecurite-dans-le-secteur-de-la-sante-les-defis-des-hopitaux.md"
taxonomy_language:
  - "Français"
---

[Bienvenue](https://www.baculasystems.com/fr/)
 > [Blog sur la sauvegarde et la restauration](https://www.baculasystems.com/fr/blog-fr/)
 > Les défis liés à la sécurité des informations de santé dans les hôpitaux et les systèmes de santé modernes

# Les défis liés à la sécurité des informations de santé dans les hôpitaux et les systèmes de santé modernes

Mis à jour 2nd juillet 2026, Rob Morrison

## Pourquoi la sécurité des informations de santé est-elle essentielle dans les hôpitaux modernes ?

La prestation des soins de santé reposant aujourd’hui entièrement sur une infrastructure numérique, la sécurité des informations de santé est essentielle à la sécurité des patients et à la continuité des opérations. Même de petites fuites de données peuvent mettre en danger la vie des patients et le fonctionnement des hôpitaux, tout en enfreignant la législation sur la protection de la vie privée.

La numérisation rapide du secteur de la santé rend indispensable la sécurisation des environnements numériques dans ce domaine. Sans cela, les hôpitaux et les services d’ambulance risquent de subir de graves perturbations opérationnelles.

Après tout, les écosystèmes numériques intégrés qui ont remplacé les dossiers papier ont considérablement amélioré les résultats cliniques, accéléré les diagnostics et rendu la coordination des soins fluide.

### Quelles sont les caractéristiques propres aux données de santé qui soulèvent des préoccupations en matière de sécurité ?

Les données de santé courantes suscitent des préoccupations en matière de sécurité car elles ont une grande valeur. Elles contiennent des informations personnelles, médicales, financières et génétiques permanentes qui ne peuvent pas être facilement modifiées après un vol. On sait que les marchés criminels vendent des [dossiers médicaux complets pour une valeur dix fois supérieure à celle des cartes de crédit volées](https://patient-protect.com/post/healthcare-data-breach-statistics-2025-why-medical-records-are-worth-10-more-than-credit-cards)
.

Un seul dossier contient des diagnostics, des traitements médicamenteux, des données génétiques et des antécédents en matière de santé mentale. Ces informations médicales n’ont généralement pas de date d’expiration. Il est impossible d’annuler ou de réémettre un dossier médical volé, ce qui n’est pas le cas pour une carte de crédit.

L’accès à des informations sensibles sur les patients, notamment leur statut sérologique vis-à-vis du VIH, leurs antécédents en matière de santé comportementale et de santé reproductive, peut exposer les patients à des discriminations en matière d’emploi et d’assurance.

### Comment la sécurité des patients, la protection des données des patients et la sécurité des données s’articulent-elles entre elles ?

La sécurité des données des patients, leur protection et la sécurité des patients dans le secteur de la santé constituent les mêmes préoccupations à des échelons temporels différents. Selon une étude publiée dans l’American Economic Journal, la mortalité hospitalière augmente considérablement lors d’attaques par ransomware.

Lorsque les systèmes de dossiers médicaux électroniques (DME) cessent de fonctionner, les listes de contrôle d’anesthésie disparaissent, les données vitales ne sont plus enregistrées dans les unités de soins intensifs (USI) et les décisions des urgentistes ne tiennent pas compte de données essentielles liées à la santé, telles que les allergies et les informations relatives aux traitements médicamenteux.

La sécurité des patients repose sur la protection des données. Lorsque les établissements de santé sont confrontés à une fuite de données, la disponibilité des systèmes permet d’éviter la baisse de la qualité des soins aux patients causée par la mise hors ligne des systèmes d’information.

### Quelles obligations réglementaires et légales motivent les investissements en matière de sécurité dans le secteur de la santé ?

La [règle de sécurité de la loi HIPAA (Health Insurance Portability and Accountability Act)](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
 définit des normes nationales permettant aux entités ou aux partenaires commerciaux de protéger les informations de santé électroniques protégées (ePHI) des patients qui sont créées, reçues, utilisées ou conservées.

Conformément à la règle de sécurité, les entités ou partenaires commerciaux doivent mettre en œuvre des mesures de protection administratives, physiques et techniques appropriées afin de [garantir la confidentialité, l’intégrité et la disponibilité des informations de santé protégées électroniques (ePHI)](https://www.hipaajournal.com/ephi/)
.

Les ePHI sont des informations de santé protégées qui sont produites, enregistrées, transférées ou reçues sous forme électronique.

La [loi HITECH (Health Information Technology for Economic and Clinical Health)](https://www.hipaajournal.com/what-is-the-hitech-act/)
 vise à renforcer l’application de la réglementation et à étendre les obligations de notification en cas de violation. Cette loi fait partie de la loi américaine de 2009 sur la relance et le réinvestissement (American Recovery and Reinvestment Act), qui encourage l’utilisation pertinente des dossiers médicaux électroniques (DME), renforçant ainsi les dispositions de la loi HIPAA en matière de sécurité et de confidentialité.

De plus, la loi HITECH permet d’étendre la portée de la loi HIPAA aux partenaires commerciaux des entités concernées, qui peuvent être tenus pour responsables en cas de manquement aux obligations de conformité HIPAA. Ces manquements peuvent inclure l’accès non autorisé des employés aux dossiers médicaux et l’élimination inappropriée des dossiers des patients. Enfin, cette loi prévoit également des sanctions en cas de violation de la loi HIPAA.

En décembre 2024, le ministère américain de la Santé et des Services sociaux (HHS) a présenté la première mise à jour majeure de la [règle de sécurité HIPAA](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
. En conséquence, le chiffrement est devenu obligatoire plutôt que « facultatif ».

Les entreprises du secteur de la santé qui traitent les données de résidents de l’Union européenne (UE) s’exposent à des sanctions pouvant atteindre 4 % de leur chiffre d’affaires mondial annuel et doivent respecter un délai de notification des violations de 72 heures, conformément au Règlement général sur la protection des données (RGPD) .

Des sanctions supplémentaires peuvent s’appliquer à ces organisations en vertu des lois des États de Californie, de New York et du Texas. L’objectif est de garantir une plus grande précision et une application plus stricte de la réglementation.

### Comment la réputation et la confiance influencent-elles les priorités en matière de sécurité ?

La confiance des patients est plus qu’une simple préoccupation commerciale : c’est une condition préalable sur le plan clinique. Les organisations confrontées à des violations de sécurité très médiatisées perdent des patients, ont des difficultés à recruter des médecins et subissent une atteinte à leur image de marque à long terme.

Ainsi, la sécurité est devenue un facteur concurrentiel sur les marchés de la santé. Les entreprises du secteur de la santé qui visent la croissance ou nouent des partenariats avec d’autres entités doivent accorder une attention particulière à la sécurité, car les parties prenantes externes y accordent désormais une importance toute particulière.

## Quelles sont les cybermenaces les plus courantes auxquelles sont confrontés les hôpitaux aujourd’hui ?

Les cybermenaces les plus courantes dans le secteur de la santé sont les rançongiciels, le phishing, les menaces internes, les vulnérabilités des dispositifs médicaux et les failles chez des tiers.

Ces attaques de cyber-extorsion nuisent à la sécurité des patients. En conséquence, elles perturbent les soins de longue durée et les interventions d’urgence qui sont vitaux. Plus précisément, ces attaques peuvent bloquer l’accès aux dossiers médicaux électroniques et mettre hors service les équipements de diagnostic, tels que les appareils d’imagerie par résonance magnétique (IRM) et de tomodensitométrie (TDM).

Selon l’[American Hospital Association](https://www.aha.org/news/headline/2026-04-10-fbi-health-care-was-top-target-ransomware-other-cyberthreats-2025)
, le secteur de la santé et des services publics figurait parmi les secteurs les plus ciblés par les cybermenaces en 2025. Cette année-là, 460 attaques par rançongiciel et 182 violations de données ont été recensées dans ce secteur.

### Quel rôle jouent le phishing et l’ingénierie sociale dans les violations de données dans le secteur de la santé ?

[Le phishing constitue la principale menace de cybersécurité dans le secteur de la santé](https://www.himss.org/resources/phishing-healthcare-how-not-be-victim-checklist/)
, sapant la confiance et la culture de réactivité au sein des organisations. En effet, les assureurs, les délégués médicaux et les partenaires de référence envoient un volume important d’e-mails aux professionnels de santé.

Ces e-mails offrent ainsi aux attaquants de nombreuses occasions de cibler les dossiers médicaux. De plus, les attaquants utilisent désormais des outils d’intelligence artificielle pour générer des textes sans erreur, ce qui rend difficile pour les destinataires d’identifier la fraude.

Une autre variante du hameçonnage en plein essor dans le secteur de la santé est le hameçonnage vocal (vishing). Il s’agit d’une arnaque téléphonique que les pirates utilisent pour usurper l’identité de personnes ou d’organisations de confiance afin d’amener la victime à révéler des informations sensibles sur les patients.

Le rapport M-Trends de Mandiant montre que le vishing a officiellement dépassé le hameçonnage traditionnel par e-mail pour devenir l’une des principales variantes de menace, représentant 11 % des compromissions réussies, contre seulement 6 % pour le hameçonnage par e-mail.

### En quoi les menaces internes diffèrent-elles des attaques externes dans le secteur de la santé ?

La plupart des incidents internes sont dus à la curiosité ou à la négligence plutôt qu’à la malveillance. Par exemple, une infirmière peut consulter le dossier d’un voisin, un responsable de la facturation peut accéder au dossier d’un patient célèbre, ou un médecin peut examiner le dossier d’un membre de sa famille. Ces incidents enfreignent la loi HIPAA sans intention malveillante.

Quant à la différence entre les attaques internes et externes, la sécurité des périmètres réseau ne peut pas bloquer les acteurs internes, car ceux-ci disposent d’identifiants légitimes et d’un accès aux systèmes autorisés. Les établissements de santé peuvent détecter ces menaces à l’aide de l’analyse comportementale, qui permet d’identifier des schémas d’accès inhabituels, non caractéristiques du rôle clinique de l’utilisateur.

### Quelles menaces émergentes les hôpitaux doivent-ils anticiper ?

Les hôpitaux doivent anticiper de nouvelles attaques basées sur l’IA. Par exemple, les établissements de santé reçoivent de plus en plus de messages convaincants et personnalisés générés par l’IA générative. De plus, les attaquants s’appuient sur le clonage vocal par IA pour recourir au hameçonnage vocal (vishing) et se faire passer pour des collègues connus ou des membres du personnel informatique. Les attaquants parviennent souvent à leurs fins car les dispositifs médicaux connectés (l’Internet des objets médicaux, ou IoMT) présentent des failles de sécurité critiques, telles que des systèmes d’exploitation obsolètes et des communications non chiffrées.

Une pompe à perfusion ou un système d’imagerie compromis permet aux pirates informatiques de lancer une attaque, puis de passer de l’appareil compromis aux systèmes de dossiers médicaux électroniques. Il existe également des acteurs étatiques, tels que des groupes opérant depuis la Russie, la Chine, la Corée du Nord et l’Iran, qui sont actifs dans le secteur de la santé. Plus précisément, ils ciblent les données de santé et s’efforcent de perturber les infrastructures critiques de ce secteur.

### Qu’est-ce que les établissements de santé réalisent généralement trop tard après une attaque par ransomware ?

Les établissements de santé ne se rendent pas souvent compte que le paiement de la rançon ne résout pas les problèmes liés aux soins des patients, et que les attaquants ont peut-être déjà compromis leurs sauvegardes de données.

C’est pourquoi il est essentiel d’être techniquement préparé à lutter contre les attaques par ransomware et de disposer des connaissances de sécurité adéquates sur les mesures à prendre pour prévenir la perte ou la fuite de données avant qu’il ne soit trop tard.

### Pourquoi des hôpitaux techniquement conformes connaissent-ils encore des défaillances de sécurité majeures ?

Les établissements de santé techniquement conformes sont toujours confrontés à des défaillances majeures en matière de cybersécurité, car la documentation de conformité et les mesures de sécurité des données ne constituent pas à elles seules les pratiques de sécurité réelles. Or, ces deux aspects ne vont souvent pas de pair dans le secteur de la santé.

Plus précisément, il existe un écart dangereux entre les démarches juridiques qu’un établissement de santé doit suivre pour passer un audit (conformité) et les mesures concrètes qu’il met en œuvre pour éviter ou contrer les cybermenaces réelles (sécurité).

Par exemple, un hôpital peut se conformer à la loi HIPAA (Health Insurance Portability and Accountability Act). Concrètement, il peut documenter chaque étape et évaluer les risques, ainsi que former son personnel. Cependant, cela ne signifie pas pour autant que l’hôpital protège pleinement ses systèmes et ses identifiants.

### Comment les procédures d’urgence contournent-elles discrètement les contrôles de sécurité des informations de santé ?

Les responsables tolèrent souvent un contournement systématique motivé par l’urgence clinique. Pourquoi ? Parce que les mesures de sécurité strictes que le personnel doit respecter en cas d’urgence mettent la vie des patients en danger.

Concrètement, lorsque les professionnels de santé ne parviennent pas à accéder au dossier d’allergies d’un patient via la procédure d’authentification habituelle, ils contournent les contrôles stricts afin de prodiguer des soins immédiats.

Au fil du temps, le personnel suit les mêmes étapes pour accéder aux dossiers, et le partage de documents devient une procédure courante, créant ainsi un terrain propice à des attaques persistantes.

### Pourquoi les défaillances de sauvegarde et de restauration sont-elles souvent plus préjudiciables que la violation initiale ?

Les défaillances de sauvegarde et de restauration causent souvent plus de dommages que la violation initiale, car une défaillance de sauvegarde supprime toute possibilité de restauration. En conséquence, un incident grave peut se transformer en un véritable incident opérationnel majeur pour un établissement de santé. Voici pourquoi.

Les attaquants qui ciblent les systèmes de sauvegarde d’un établissement de santé parviennent très souvent à leurs fins. Lorsque les établissements chiffrent simultanément leurs systèmes principaux et leurs sauvegardes, le choix se résume généralement à payer la rançon exigée par les pirates ou à tout reconstruire à partir de zéro, ce qui peut prendre des semaines.

Pendant cette période de crise, les taux d’erreur augmentent dans les opérations cliniques, les prestataires de soins annulent des interventions, et le travail peut nécessiter des horaires insoutenables pour gérer à la fois les soins aux patients et les solutions de contournement des systèmes.

## En quoi les infrastructures héritées et la sécurité des dispositifs médicaux compliquent-elles la protection ?

Les infrastructures héritées et la sécurité des dispositifs médicaux compliquent la protection en raison de systèmes obsolètes et non pris en charge. Pourquoi ? Parce que ces systèmes ne peuvent pas offrir une protection adéquate contre les menaces modernes de ransomware dans le secteur de la santé.

Les établissements de santé continuent d’utiliser ces appareils car leur remplacement implique des coûts plus élevés et des contraintes d’utilité clinique.

En conséquence, ils constituent une cible à haut risque pour les attaques informatiques, notamment les ransomwares, les fuites de données et les perturbations opérationnelles.

### Quels défis posent les systèmes de dossiers médicaux électroniques (DME) obsolètes et les applications héritées ?

Les établissements de santé ne peuvent souvent pas mettre à jour les applications des systèmes hérités ni les systèmes de dossiers médicaux électroniques, car les opérations cliniques doivent se dérouler sans interruption.

De plus, si un établissement de santé remplace un système hérité en service depuis des années, il doit valider ce remplacement, former à nouveau son personnel et migrer les données. Or, cela n’arrive pas souvent.

En conséquence, les établissements deviennent vulnérables aux cybermenaces.

### Comment les dispositifs médicaux connectés et l’IoT créent-ils de nouvelles surfaces d’attaque ?

Les établissements de santé subissent souvent des fuites de données en raison des vulnérabilités des dispositifs de l’Internet des objets médicaux (IoMT), tels que les pompes à perfusion et les moniteurs de surveillance des patients.

Plus précisément, les pirates peuvent modifier à distance les dosages des pompes à insuline et perturber les communications des stimulateurs cardiaques.

C’est pourquoi la [Food and Drug Administration (FDA) américaine a établi des exigences de cybersécurité plus strictes pour les nouveaux dispositifs médicaux](https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-management-system-considerations-and-content-premarket)
. Ces dispositions relèvent de la section 524B de la loi fédérale sur les aliments, les médicaments et les cosmétiques (Federal Food, Drug, and Cosmetic Act).

Par exemple, les [exigences de cybersécurité de la FDA imposent](https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity)
 aux fabricants de fournir un inventaire détaillé et lisible par machine de chaque logiciel présent dans l’appareil. Plus précisément, si un moniteur cardiaque fonctionne via une bibliothèque de communication Bluetooth open source, le prestataire de soins doit documenter cette version spécifique ainsi que ses dépendances connues, afin qu’aucune vulnérabilité cachée ne puisse passer inaperçue.

### Quels défis liés à la gestion des vulnérabilités empêchent l’application rapide des correctifs dans les environnements cliniques ?

Pour appliquer un correctif à un serveur clinique, les établissements de santé doivent évaluer les risques, envoyer des notifications aux médecins, organiser une prise en charge de secours et suivre les procédures documentées en cas d’indisponibilité. Toutes ces étapes doivent être exécutées sans commettre d’erreur clinique.

Par rapport à d’autres secteurs, l’application des correctifs dans le secteur de la santé est plus lente. De plus, il faut plus de temps pour divulguer une vulnérabilité et y remédier face aux cybermenaces.

Les attaquants exploitent avec succès des vulnérabilités connues et corrigibles, car les établissements de santé ne parviennent pas à les corriger dans un délai conforme aux exigences de sécurité.

### Comment les relations avec les fournisseurs et la maintenance par des tiers affectent-elles la sécurité des appareils ?

Les fournisseurs d’équipements médicaux peuvent accéder à distance aux appareils à des fins de diagnostic, pour mettre à jour le micrologiciel ou pour surveiller les performances. Un tel accès contribue au bon déroulement des opérations cliniques, mais il peut poser des défis en matière de sécurité. C’est pourquoi le nombre de personnes touchées par des attaques visant des partenaires commerciaux tiers du secteur de la santé augmente dans le monde entier.

En effet, lorsqu’un tiers a mis fin à sa collaboration avec un établissement de santé, les droits d’accès accordés à des fins diagnostiques spécifiques ne prennent pas fin.

## Quelles réalités opérationnelles cachées rendent la sécurité des données dans le secteur de la santé particulièrement difficile ?

La sécurité des données dans le secteur de la santé présente des difficultés particulières, car elle est liée à un conflit permanent entre la sécurité des données de santé et la sécurité des personnes.

Plus précisément, ce conflit oppose la nécessité de sécuriser les systèmes contre les menaces et celle de permettre à chacun d’accéder instantanément aux dossiers médicaux en cas d’urgence.

### Pourquoi les hôpitaux ne peuvent-ils pas simplement « tout verrouiller » comme le font les entreprises traditionnelles ?

Les établissements de santé ne peuvent souvent pas tout verrouiller comme le font certaines entreprises traditionnelles lorsqu’ils sont confrontés à une cybermenace. En effet, les frictions liées à la sécurité peuvent nuire aux patients. Dans un environnement d’entreprise, ces frictions peuvent causer des désagréments aux employés.

Lorsque les professionnels de santé ne peuvent pas accéder au dossier d’allergies d’un patient en cas d’urgence en raison des contrôles d’accès, cela peut mettre la vie du patient en danger. Par conséquent, les contrôles de sécurité au sein des établissements de santé doivent être conçus en tenant compte de la réalité clinique. Sinon, en cas de contraintes d’accès inacceptables, les cliniciens contourneront les exigences de contrôle.

### Comment l’urgence clinique, la fatigue liée aux alarmes et le partage des postes de travail créent-ils des failles de sécurité ?

Lorsque les cliniciens sont occupés à s’occuper de plusieurs patients dans un état critique et que perdre une seconde peut entraîner un incident opérationnel majeur, ils ne respectent pas les procédures de sécurité : leur seule priorité est de sauver des vies.

C’est là que les postes de travail partagés entre plus de 15 cliniciens par équipe peuvent entraîner de graves problèmes de sécurité, tels que l’accès à des données sensibles sur les patients et le piratage des systèmes. En effet, la plupart des architectures de sécurité reposent sur le modèle d’authentification individuelle.

Enfin, la fatigue liée aux alarmes est un autre facteur à l’origine de failles de sécurité dans les établissements de santé. En effet, lorsque les cliniciens reçoivent des demandes d’authentification, des avertissements de fin de session et des messages de refus d’accès, ils les considèrent comme une charge supplémentaire qu’il vaut mieux ignorer.

### Pourquoi les environnements cliniques fonctionnant 24 h/24 et 7 j/7 compliquent-ils la mise en œuvre de la cybersécurité ?

Les hôpitaux fonctionnent 24 h/24 et 7 j/7, ce qui n’est pas le cas du personnel de sécurité. Les opérations de sécurité n’assurent pas une couverture complète pendant les gardes de nuit. De plus, la capacité d’analyse face aux cybermenaces diminue. Et les auteurs d’attaques par ransomware sophistiquées en sont parfaitement conscients.

Les pirates informatiques ciblent les établissements de santé tôt le matin, car la capacité de réponse face aux cybermenaces est alors à son niveau le plus bas et le personnel soignant est fatigué. Par exemple, une attaque par rançongiciel à 3 heures du matin dans un hôpital entraîne des conséquences plus graves que le même incident à 10 heures, même si les mêmes contrôles techniques sont en place.

### Quels sont les facteurs liés au personnel et à l’humain qui accentuent les risques de sécurité dans les systèmes de santé ?

Les facteurs liés au personnel et à l’humain qui accentuent les risques de sécurité dans les systèmes de santé comprennent les raccourcis pris en raison de l’épuisement professionnel, le manque de sensibilisation aux cybermenaces et le stress au travail.

## Quel est l’impact du roulement de personnel et des pénuries de personnel sur le niveau de sécurité ?

Si un établissement de santé présente des taux de roulement élevés, les comptes des employés qui quittent l’établissement restent généralement actifs après leur départ. C’est là que les attaquants interviennent pour accéder à ces comptes. De plus, les anciens employés peuvent également en tirer parti.

Qu’en est-il des équipes en sous-effectif ? Celles-ci ont des difficultés à assurer les contrôles d’accès, la surveillance et la gestion adéquate des tâches administratives et des procédures de sécurité. En conséquence, les établissements de santé se retrouvent confrontés à une protection insuffisante contre les cybermenaces.

### Pourquoi les cliniciens contournent-ils parfois les contrôles de sécurité, et comment y remédier ?

Les cliniciens contournent les contrôles de sécurité dans les cas où la vie des patients peut être mise en danger en raison de mesures de sécurité trop chronophages. En voici un exemple.

Plus précisément, si l’urgence clinique est immédiate et que le clinicien doit suivre certaines étapes liées à la sécurité pour accéder aux dossiers médicaux, il contourne ces étapes.

Et cela relève à la fois de la conception des systèmes et de la discipline. Il convient donc d’éliminer les frictions dans le flux de travail plutôt que de sanctionner les contournements. Par exemple, les établissements de santé devraient envisager d’utiliser l’authentification unique (Single Sign-On) et un accès basé sur les rôles. En effet, des parcours sécurisés et efficaces éliminent les frictions, faisant ainsi disparaître les contournements.

### Comment les prestataires de soins de santé peuvent-ils contribuer à la sensibilisation à la sécurité des données et réduire les erreurs humaines ?

Des formations trimestrielles à la sécurité, conçues pour des rôles et des scénarios spécifiques, améliorent considérablement la sensibilisation à la sécurité et réduisent les erreurs humaines, ce qui n’est pas le cas des formations annuelles génériques sur la conformité.

Les hôpitaux performants organisent des simulations d’hameçonnage basées sur des prétextes spécifiques au secteur de la santé. Par exemple, ils construisent ces simulations autour de notifications urgentes liées à l’assurance, d’e-mails concernant des mises à jour réglementaires et de liens de référence vers des médecins.

De telles formations devraient aider les cliniciens à comprendre qu’une défaillance de sécurité peut causer un préjudice au patient plutôt que de simples problèmes réglementaires.

### Quels modèles de gouvernance et quelles politiques de sécurité réduisent les risques de sécurité d’origine humaine ?

Les établissements de santé doivent mettre en place une gouvernance efficace pour réduire les risques de sécurité d’origine humaine. Cette gouvernance doit reposer sur une politique rédigée dans un langage clinique, sur l’application cohérente des mesures de sécurité applicables à l’ensemble du personnel, quel que soit son ancienneté, et sur une culture où les problèmes de sécurité sont traités immédiatement.

Si les politiques visent uniquement à satisfaire aux exigences de conformité mais que le personnel clinique ne les comprend pas, elles ne se traduiront pas par des contrôles opérationnels.

### Comment l’interopérabilité et le partage des données amplifient-ils les défis en matière de sécurité ?

L’interopérabilité et le partage des données exposent les établissements de santé à un risque accru de fuites de données. En conséquence, les défis en matière de sécurité s’amplifient et se complexifient.

### Quels risques découlent de l’échange d’informations sur les patients entre établissements de santé ?

Lorsque les établissements de santé échangent des données sur les patients, ils créent un point de vulnérabilité potentiel. Et chaque système destinataire devient une source potentielle de fuite de données.

La sécurité des données partagées dépend du système le plus faible du réseau d’échange.

Or, ce système dispose souvent de ressources de sécurité minimales et n’est pas en mesure de lutter contre les cybermenaces modernes. Le problème se complique lorsqu’il s’agit d’échanger des données entre de grands systèmes de santé.

Lorsque des attaquants ciblent les plateformes d’échange d’informations de santé, les centres de traitement et les agrégateurs de données, chaque organisme partageant des informations avec eux est affecté. Cela engendre des responsabilités et des obligations de notification qui ne concernent pas uniquement l’entité victime de la violation.

### Comment les API, le FHIR et les applications tierces modifient-ils le paysage de la sécurité ?

[Fast Healthcare Interoperability Resources](https://www.nlm.nih.gov/oet/ed/healthdatastandards/03-600.html)
 Les API basées sur la [loi « 21st Century Cures Act »](https://www.fda.gov/regulatory-information/selected-amendments-fdc-act/21st-century-cures-act)
 ont élargi le partage de données et le nombre d’applications tierces concernant les patients.

La norme Fast Healthcare Interoperability Resources (FHIR) définit comment utiliser des outils et des règles Web courants pour établir l’interconnectivité des systèmes de santé.

La loi « 21st Century Cures Act » accélère le développement des produits médicaux et offre aux patients de nouvelles innovations et avancées pour des soins de santé plus rapides et plus efficaces.

Chaque [interface de programmation d’application (API)](https://aws.amazon.com/what-is/api/)
, en tant que mécanisme permettant à des composants logiciels de communiquer entre eux via des protocoles et des définitions de sécurité spécifiques, constitue un vecteur d’accès en matière de cybersécurité dans le secteur de la santé. En effet, les applications tierces peuvent disposer de ressources de sécurité limitées et ne pas bénéficier d’une surveillance de sécurité adéquate.

Lorsque la prolifération des API dans le secteur de la santé crée une surface d’attaque, il n’existe pas d’écosystème d’applications externes correctement régulé pour sécuriser les données des patients circulant d’un système à l’autre.

### Quelles questions les hôpitaux doivent-ils poser concernant le traitement des données par les fournisseurs et la sécurité de l’intégration ?

Les hôpitaux doivent poser des questions spécifiques au traitement des données par les fournisseurs et à la sécurité de l’intégration, afin de pouvoir protéger efficacement les données des patients. Les réponses aux questions principales suivantes aident les établissements de santé à se faire une idée plus claire et plus précise des enjeux liés aux fournisseurs, plutôt que de se contenter de s’appuyer sur les [accords de partenariat commercial](https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html)
 :

- « À quelles catégories spécifiques d’[informations de santé protégées (PHI)](https://www.ncbi.nlm.nih.gov/books/NBK553131/) le fournisseur a-t-il accès ? Où sont-elles stockées ? »
- « Qui, au sein de l’organisation du fournisseur, y a accès, et selon quel modèle de contrôle d’accès ? »
- « Les identifiants d’intégration sont-ils fixes ou régulièrement renouvelés ? »
- « L’intégration utilise-t-elle le principe du moindre privilège ? »
- « Quels sont les journaux d’événements existants du côté du fournisseur, et sont-ils accessibles pour un audit de l’hôpital ? »
- « Quel est le délai de notification des violations de données par le fournisseur ? »
- « Le plan d’intervention en cas d’incident du fournisseur a-t-il été testé ? »
- « Quel est leur historique d’incidents de sécurité, y compris ceux qui n’ont pas atteint les seuils de notification ? »

### Comment les établissements de santé peuvent-ils trouver un équilibre entre le partage des données pour la coordination des soins et la protection de la vie privée et la sécurité ?

Les établissements de santé peuvent trouver un équilibre entre le partage des données pour la coordination des soins et la sécurité grâce à la minimisation des données.

Concrètement, cela signifie qu’ils ne doivent partager que le minimum d’informations nécessaires pour des cas cliniques spécifiques. De plus, ils doivent réguler strictement l’accès à ces informations.

| Domaine de sécurité | Mesure clé | Considérations spécifiques au secteur de la santé |
| --- | --- | --- |
| Contrôle d’accès | Authentification multifactorielle (MFA) + accès basé sur les rôles | Doit prendre en charge les postes de travail partagés et les situations d’urgence clinique |
| Sécurité du réseau | Segmentation + « Zero Trust » | Isoler les ressources technologiques cliniques sans perturber les flux de travail cliniques |
| Protection des terminaux | EDR/XDR | Les appareils cliniques hérités peuvent ne pas prendre en charge l’installation d’agents |
| Protection des données | Chiffrement au repos et en transit | La mise à jour proposée de la loi HIPAA rendrait le chiffrement obligatoire |
| Sauvegarde et restauration | Sauvegardes immuables et isolées physiquement | Le délai de restauration doit répondre aux exigences opérationnelles cliniques |
| Surveillance | SIEM avec analyse comportementale | Doit être adapté aux modèles de référence des flux de travail cliniques |
| Gestion des fournisseurs | Accords de partenariat commercial (BAA) et contrôles périodiques des accès | L’accès des fournisseurs est nécessaire, mais systématiquement surdimensionné |
| Réponse aux incidents | Guides d’intervention testés, comprenant des procédures en cas d’interruption des activités cliniques | Les opérations cliniques ne peuvent pas être interrompues pour permettre une intervention de sécurité |

Les organisations performantes s’appuient sur un partage des données ciblé et mettent en œuvre une application automatisée des politiques de partage au niveau de l’API. Cela leur permet de renforcer l’interconnectivité en vue de la protection des données des patients grâce à un accès restreint aux dossiers médicaux.

### Quels sont les défis en matière de réglementation, de conformité et de protection de la vie privée auxquels sont confrontées les organisations du secteur de la santé ?

Parmi les principaux défis en matière de réglementation, de conformité et de protection de la vie privée auxquels sont confrontées les organisations de santé figurent la protection des données de santé sensibles contre les cyberattaques, ainsi que le respect des cadres juridiques tels que [la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)](https://www.cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa.html)
 et [le Règlement général sur la protection des données (RGPD)](https://gdpr-info.eu/)
.

Un autre défi majeur réside dans la gestion et l’intégration des dispositifs médicaux connectés (IoT) et de l’intelligence artificielle associés à la [loi sur les technologies de l’information en matière de santé pour la santé économique et clinique (HITECH)](https://www.hhs.gov/hipaa/for-professionals/special-topics/hitech-act-enforcement-interim-final-rule/index.html)
.

### Dans quelle mesure la loi HIPAA, la loi HITECH et le RGPD se recoupent-ils pour les établissements de santé ?

La loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) définit les exigences relatives à la protection des informations de santé des patients et à la notification des violations.

La loi sur les technologies de l’information pour la santé économique et clinique (HITECH) établit les exigences qui renforcent l’application de la protection des données de santé et imposent des sanctions pécuniaires civiles. Les établissements de santé doivent s’acquitter d’une amende pouvant atteindre 1,9 million de dollars par catégorie d’infraction et par an en cas de négligence délibérée.

Le Règlement général sur la protection des données (RGPD) s’applique aux établissements de santé traitant les données des résidents de l’Union européenne (UE). Cette législation impose des exigences plus strictes en matière de consentement, oblige les établissements à notifier toute violation aux autorités de contrôle dans un délai de 72 heures et prévoit des sanctions pouvant atteindre 4 % du chiffre d’affaires annuel mondial.

En cas de chevauchement des exigences, les établissements de santé doivent se conformer aux normes de sécurité des données de santé les plus strictes parmi celles mentionnées.

### Quelles sont les implications opérationnelles et juridiques d’une violation des données de santé ?

Une violation de données de santé peut entraîner une dégradation immédiate des systèmes concernés. Les membres du personnel sont détournés de leurs tâches de soins pour rejoindre les équipes de gestion des incidents. La direction se concentre davantage sur la gestion de crise que sur la gestion organisationnelle.

D’un point de vue juridique, les enquêtes et les poursuites engagées par le procureur général de l’État peuvent prendre des années. De plus en plus, les tribunaux ont admis des théories de responsabilité élargies, telles que la valeur intrinsèque de la vie privée et le préjudice clinique résultant de la corruption des dossiers médicaux. Cela a abaissé le seuil de certification des recours collectifs et l’exposition financière.

Quelles mesures de sécurité et quelles bonnes pratiques en matière de sécurité des informations de santé améliorent la cyber-résilience du secteur de la santé ?

Les établissements de santé peuvent renforcer leur résilience en matière de protection des données grâce à l’architecture [Zero Trust](https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=930420)
. Le principe « Zero Trust » signifie que personne ne doit bénéficier d’une confiance par défaut, qu’il se trouve à l’intérieur ou à l’extérieur du réseau.

De plus, les établissements doivent recourir à l’authentification multifactorielle, segmenter les appareils médicaux connectés à l’Internet des objets (IoT), effectuer régulièrement des exercices de sauvegarde et mettre en place une surveillance des menaces optimisée par l’IA afin d’assurer la continuité des soins aux patients.

### Quels risques juridiques découlent de contrôles de sécurité inadéquats ou d’une réponse tardive en cas de violation ?

Conformément à la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act), les organismes disposent d’un délai de 60 jours à compter de la découverte d’une violation.

Si un organisme ne parvient pas à démontrer l’existence d’un processus de détection clair et documenté, le Bureau des droits civils du ministère de la Santé et des Services sociaux, ainsi que les tribunaux dans le cadre de procédures civiles, appliquent des présomptions défavorables. Celles-ci peuvent inclure la présomption de manquement présumé au délai de notification et la présomption de « négligence délibérée ».

La négligence délibérée consiste à agir consciemment et intentionnellement de manière à provoquer un manquement. Elle consiste également à faire preuve d’une indifférence imprudente à l’égard des obligations légales, professionnelles ou contractuelles.

La présomption de non-respect des délais concerne le fait de ne pas agir ou de ne pas communiquer d’informations dans un délai acceptable ou légalement imposé.

En conséquence, la réglementation sanitaire des États impose un délai de 30 jours, ce qui peut poser problème au regard de la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act).

## Quelles solutions de sécurité des données de santé peuvent atténuer les cybermenaces actuelles ?

Pour atténuer les cybermenaces actuelles dans le secteur de la santé, notamment les ransomwares, le phishing et les vulnérabilités des dispositifs médicaux, les établissements de santé doivent mettre en œuvre une stratégie de défense multicouche reposant sur des mesures telles que l’évaluation des risques et la modélisation des menaces.

Voici un modèle de maturité en matière de sécurité hospitalière :

| Niveau | Caractéristiques |
| --- | --- |
| De base | Réactif |
| Intermédiaire | Segmentation |
| Avancé | Zero Trust |
| Mature | Détection automatisée |

Voyons comment ces mesures, ainsi que d’autres étapes courantes de la stratégie de sécurité des données de santé, peuvent vous aider.

### Comment adapter les évaluations des risques et la modélisation des menaces au contexte hospitalier ?

[L’évaluation des risques dans le secteur de la santé](https://www.who.int/emergencies/risk-assessment)
 aide les établissements de santé à évaluer l’impact clinique des contrôles de sécurité sur les menaces potentielles et à identifier les vulnérabilités, telles que l’accès non restreint aux informations de santé et le partage des données des patients.

[La modélisation des menaces](https://www.cisco.com/site/us/en/learn/topics/security/what-is-threat-modeling.html#tabs-9da71fbd27-item-1288c79d71-tab)
 est un processus proactif de cybersécurité qui aide les établissements de santé à identifier, analyser et hiérarchiser les menaces potentielles pesant sur un système avant qu’une attaque ne se produise. La modélisation des menaces doit s’appuyer sur des scénarios spécifiques, allant du phishing à la compromission des identifiants.

### Quel rôle jouent la segmentation du réseau, la microsegmentation et le modèle « zero trust » dans le secteur de la santé ?

[La segmentation du réseau](https://www.cisco.com/c/en_in/products/security/what-is-network-segmentation.html)
 constitue un investissement de sécurité très précieux, car elle aide les établissements de santé à éviter qu’un simple poste de travail compromis ne se transforme en incident opérationnel à l’échelle de l’hôpital. En segmentant leurs réseaux, les établissements empêchent les pirates d’atteindre les serveurs de DME ou l’infrastructure de sauvegarde.

[Le modèle « zero trust »](https://www.nist.gov/publications/zero-trust-architecture)
 va plus loin : il exige la vérification de chaque demande d’accès. Il est important de noter que le « zero trust » doit être conçu en tenant compte de la rapidité de l’authentification et de la compatibilité avec les flux de travail cliniques dans le secteur de la santé.

### Quelle est l’efficacité des solutions de détection des terminaux, d’EDR et d’XDR dans les environnements cliniques ?

[La détection et la réponse au niveau des terminaux (EDR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-edr-endpoint-detection-response)
, également appelée détection et réponse aux menaces au niveau des terminaux (ETDR), est une technologie de cybersécurité qui surveille en permanence un « terminal », tel qu’un téléphone portable ou un ordinateur portable, afin d’éliminer les cybermenaces malveillantes.

[La détection et la réponse étendues (XDR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-xdr)
 font partie des technologies de sécurité contemporaines qui détectent les mouvements latéraux, l’accès aux identifiants et les opérations de reconnaissance, et analysent les données relatives aux menaces, des terminaux aux réseaux, accélérant ainsi la recherche et l’atténuation des menaces.

Les établissements de santé qui utilisent de tels agents de détection tout en laissant les équipements médicaux connectés au réseau sans surveillance bénéficient d’une protection accrue contre les cybermenaces.

### Comment le chiffrement et la gestion des identités peuvent-ils protéger les informations médicales protégées (PHI) et autres données à caractère personnel ?

Le chiffrement rend les données de santé inutilisables pour les utilisateurs non autorisés, protégeant ainsi les informations de santé électroniques des patients (ePHI) dans les bases de données, les copies de sauvegarde, les appareils portables et lors de leur transfert entre les systèmes.

[La gestion des identités et des accès (IAM)](https://www.microsoft.com/en-us/security/business/security-101/what-is-identity-access-management-iam)
 est au cœur de la conformité à la loi HIPAA (Health Insurance Portability and Accountability Act). Cette norme minimale obligatoire fait référence au contrôle d’accès basé sur les rôles et aux révisions régulières des droits d’accès que les établissements de santé doivent mettre en œuvre pour sécuriser les données des patients.

Le chiffrement, associé à la gestion des identités et des accès, permet aux organismes de santé d’empêcher toute utilisation non autorisée des données après une violation. De plus, il empêche les personnes internes disposant de privilèges excessifs d’accéder aux informations des patients ou d’utiliser des identifiants compromis pour accéder aux dossiers médicaux.

### Quel est le rôle de l’orchestration de la sécurité, de l’automatisation et de la planification de la réponse aux incidents ?

[Les plateformes d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-soar)
 permettent aux organismes de santé d’automatiser les alertes initiales et les actions de réponse courantes. Cela peut notamment permettre de réduire des heures de coordination manuelle à quelques minutes d’exécution automatisée.

Dans le secteur de la santé, les plateformes d’orchestration, d’automatisation et de réponse en matière de sécurité doivent être adaptées au contexte clinique. Par exemple, dans ce secteur, une logique d’automatisation tenant compte du contexte clinique distingue les différents types de terminaux.

Il est essentiel que les plans de réponse aux incidents soient testés dans le cadre de scénarios réalistes. Sinon, ils resteront lettre morte. Et la prise de décision fondée sur des exercices réguliers menés dans des conditions de crise simulées permet aux établissements de santé de protéger efficacement les données des patients contre les cybermenaces.

## Comment se déroule généralement une attaque moderne par ransomware dans un hôpital ?

Voici un exemple de chronologie d’attaque :

**Jour 1 :** Un coordinateur de facturation reçoit un e-mail de hameçonnage ressemblant à une notification d’assurance maladie. Les attaquants volent les identifiants à l’aide d’une page de connexion usurpée. Ils se connectent ensuite via un VPN. L’équipe de sécurité ne reçoit aucune alerte, car les attaquants ont utilisé des identifiants valides. De plus, l’adresse IP ne s’écarte pas du schéma de localisation habituel de l’utilisateur.

**Jours 3 à 8 :** L’équipe de pirates identifie les contrôleurs de domaine, les serveurs de dossiers médicaux électroniques et l’infrastructure de sauvegarde. Les pirates obtiennent un accès privilégié via des postes de travail hérités non mis à jour et s’emparent des identifiants d’administrateur de domaine.

**Jours 9 à 20 :** Les pirates volent systématiquement les données des patients. De plus, ils localisent les systèmes de sauvegarde, utilisent les identifiants compromis pour y accéder, puis suppriment ou chiffrent les données en vue de la phase finale.

**Jour 21 :** Un rançongiciel affecte les serveurs de dossiers médicaux électroniques, les systèmes d’imagerie et administratifs, les postes de travail et l’infrastructure de sauvegarde. Les opérations cliniques se font désormais sur support papier. Le personnel médical reporte les interventions chirurgicales. Les opérations des ambulances sont perturbées. Les attaquants envoient des demandes de rançon accompagnées d’échantillons de données de patients volées et menacent de les publier.

### Comment les attaquants passent-ils du phishing à la compromission des systèmes de DME ?

Les pirates passent du phishing aux systèmes de santé électroniques en volant des identifiants pour obtenir un accès au réseau. Ensuite, ils utilisent des outils et des identifiants légitimes, obtiennent un accès privilégié via des vulnérabilités non corrigées ou la réutilisation d’identifiants, puis accèdent aux dossiers médicaux électroniques grâce à des identifiants au niveau du domaine.

Les établissements de santé doivent recourir à la recherche active de menaces et aux technologies de détection des anomalies comportementales pour détecter une intrusion avant que le rançongiciel n’affecte les systèmes.

### Pourquoi les systèmes de sauvegarde et l’infrastructure de restauration sont-ils de plus en plus ciblés par les pirates ?

Les pirates ciblent de plus en plus les systèmes de sauvegarde et l’infrastructure de restauration, car les sauvegardes ne permettent pas aux attaquants d’obtenir le paiement de la rançon. C’est pourquoi les groupes de ransomware se concentrent sur la destruction des sauvegardes comme étape standard préalable au déploiement.

Les établissements de santé disposent de sauvegardes que les pirates au niveau du domaine peuvent facilement détruire. Pour lutter efficacement contre les attaques de ransomware dans le secteur de la santé, les systèmes de sauvegarde doivent disposer de copies en « air-gap », sans chemin d’accès réseau depuis l’environnement de production.

De plus, ils doivent être conçus avec des configurations de stockage inaltérables que les pirates ne peuvent pas modifier. Enfin, les identifiants utilisés pour les systèmes de sauvegarde doivent être conservés séparément du domaine de production.

### Quelles perturbations opérationnelles surviennent lorsque les attaquants accèdent aux données de santé ?

Une fois que les pirates ont accédé aux informations de santé, l’établissement attaqué revient au support papier et annule les interventions non urgentes. Il peut également rediriger les patients en urgence vers des établissements voisins.

Les établissements voisins accueillent ces patients et sont confrontés à des défis imprévus, tels que des interventions chirurgicales et des examens diagnostiques non planifiés, ce qui nuit à leur fonctionnement global.

C’est là l’ampleur de l’impact opérationnel, qui désigne les dommages, les défaillances ou les conséquences en cascade provoqués par un seul incident, une explosion ou une erreur système.

Dans le secteur de la santé, une seule attaque peut compromettre la prise en charge au sein de l’ensemble d’un système de santé régional.

## Comment les organismes de santé peuvent-ils utiliser Bacula Systems pour renforcer leur résilience face aux rançongiciels ?

[Bacula Systems](https://www.baculasystems.com/fr/)
 propose des solutions de protection et de restauration des données conçues pour l’environnement spécifique des menaces pesant sur les sauvegardes dans le secteur de la santé. [Les solutions de sauvegarde de Bacula pour le secteur de la santé](https://www.baculasystems.com/fr/sauvegarde-sante/)
 offrent une résilience face aux ransomwares qui repose sur trois principes :

**Séparation architecturale** : des copies de sauvegarde isolées physiquement (air-gapped), sans aucun chemin d’accès réseau depuis l’environnement de production. Des configurations de stockage inaltérables où les données de sauvegarde ne peuvent être ni modifiées ni supprimées par des pirates, même à l’aide d’identifiants d’administrateur compromis.

En conséquence, Bacula élimine la capacité de destruction des sauvegardes, qui est devenue une pratique courante chez les groupes d’auteurs de rançongiciels.

**Protection des données conforme à la norme HIPAA** : chiffrement [Advanced Encryption Standard](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197-upd1.pdf)
 (AES)-256 des données de sauvegarde au repos et en transit. L’AES-256 est un algorithme de chiffrement symétrique pratiquement impénétrable, utilisant une clé de 256 bits pour convertir le texte en clair en un texte chiffré.

De plus, Bacula offre une gestion des accès basée sur les rôles pour l’infrastructure de sauvegarde, ainsi qu’une journalisation d’audit complète de toutes les opérations de sauvegarde et de restauration. Les établissements de santé disposent ainsi de la documentation requise pour les audits de conformité et les enquêtes en cas de violation de données.

**Capacité de restauration vérifiée** : tests d’intégrité automatisés permettant de confirmer que les données peuvent être restaurées selon un calendrier défini. Les établissements de santé obtiennent ainsi des preuves documentées de la restaurabilité des données dans le respect des objectifs cliniques de temps de restauration (RTO) requis pour la sécurité des patients.

Grâce à Bacula Systems, les systèmes d’exploitation hérités utilisés dans un environnement de santé peuvent fonctionner sur des équipements cliniques aux côtés de plateformes modernes.

Bacula offre aux principales plateformes de bases de données de dossiers médicaux électroniques une sauvegarde hautement sécurisée et cohérente au niveau des applications. Ainsi, les données restaurées sont cliniquement exploitables, et non simplement récupérées sur le plan technique mais inutilisables sur le plan fonctionnel.

## Comment les établissements de santé doivent-ils se préparer aux fuites de données et aux incidents de sécurité dans le secteur de la santé ?

Pour se préparer aux fuites de données, les établissements de santé doivent instaurer une culture de sécurité solide. Pour cela, il est essentiel de former régulièrement le personnel, d’appliquer des contrôles d’accès stricts, tels que l’authentification multifactorielle, et de maintenir un [plan de réponse aux incidents (IRP)](https://www.cisco.com/site/us/en/learn/topics/security/what-is-an-incident-response-plan.html#tabs-9da71fbd27-item-1288c79d71-tab)
 rigoureusement testé, capable de minimiser l’impact des incidents.

Voici un exemple de liste de contrôle en matière de cybersécurité dans le secteur de la santé :

- Authentification multifactorielle (MFA) activée
- Tests de sauvegarde effectués
- Inventaire des dispositifs médicaux
- Accès des fournisseurs vérifiés
- Réponse aux incidents testée

### Que doit inclure le plan de réponse aux incidents d’un hôpital, et qui doit y être associé ?

Outre l’équipe de sécurité de l’établissement de santé, la direction clinique doit également être associée à un plan de réponse aux incidents efficace. Les plans de sécurité doivent s’articuler autour d’une procédure de détection et d’escalade comportant des seuils de notification bien définis.

De plus, il doit inclure un protocole de gestion des temps d’arrêt cliniques précisant comment les soins aux patients sont assurés lorsque les systèmes sont indisponibles. Par ailleurs, le plan doit inclure un cadre de communication couvrant l’escalade interne, la notification aux autorités réglementaires, la notification aux patients et la réponse aux médias.

Enfin, le plan doit inclure des étapes de reprise d’activité classant les systèmes par ordre de criticité clinique et préciser comment les établissements doivent communiquer avec les sociétés externes de gestion des incidents et les conseillers juridiques.

Comment les établissements peuvent-ils tester leurs plans d’intervention sans perturber les soins aux patients ?

Pour tester les plans d’intervention en cas de cyberattaque sans perturber la prise en charge des patients, les établissements de santé doivent organiser des simulations de scénarios réels avec le personnel clé chargé de l’intervention.

Ces simulations ne doivent pas se concentrer sur « que dit le plan ? », mais sur « dans cette situation spécifique, à 3 heures du matin un samedi, que faites-vous, qui appelez-vous et quelles décisions cliniques prenez-vous ? »

Une telle préparation permet d’éviter les rôles d’intervention flous, les procédures d’interruption de service inadéquates et les hypothèses irréalistes. Il est essentiel que tous ces scénarios inadéquats et irréalistes soient corrigés avant qu’un véritable incident ne se produise, afin d’éviter tout échec en cas de crise.

### Quand et comment les hôpitaux doivent-ils faire appel aux forces de l’ordre, aux autorités de régulation et à des intervenants tiers ?

La division cybercriminalité du Federal Bureau of Investigation (FBI), chargée d’enquêter et de poursuivre les crimes sur Internet, doit être sollicitée dès les premières heures en cas d’incident confirmé lié à un rançongiciel. Les équipes du FBI spécialisées dans les rançongiciels peuvent disposer d’outils de déchiffrement et fournir des renseignements sur les menaces qui éclairent les décisions d’intervention.

Les établissements de santé disposent de 60 jours après la découverte d’une violation pour se mettre en relation avec le Bureau des droits civils du ministère américain de la Santé et des Services sociaux. Quant au conseil juridique, il ne faut pas attendre la fin de l’incident pour le solliciter.

Ainsi, la collaboration entre l’avocat et le client ne sera pas compliquée, et les obligations relatives aux délais de notification seront facilement gérées, tant au regard de la loi HIPAA que des lois étatiques applicables.

De plus, une telle intervention en temps opportun peut aider à éviter les manquements concernant les délais de notification qui ont donné lieu à d’importantes mesures coercitives.

### Comment intégrer les enseignements tirés de l’incident pour renforcer les défenses futures ?

Les établissements de santé doivent mener des analyses post-incident en l’espace de quelques semaines, et non de plusieurs mois. En effet, des analyses efficaces et menées en temps opportun permettent d’identifier les causes sous-jacentes plutôt que les symptômes. Cela est essentiel pour attribuer des mesures correctives spécifiques à des responsables précis, dans des délais bien définis.

Tirer les leçons de ces incidents aide les établissements à mieux protéger les informations contre les cybermenaces pesant sur le secteur de la santé. Plus précisément, des attaques par hameçonnage réussies peuvent servir de leçons sur la fréquence à laquelle les établissements doivent former leurs collaborateurs. De même, une défaillance de l’intégrité des sauvegardes peut enseigner à un établissement comment mettre en œuvre avec succès des tests de restauration automatisés.

### Quels sont les obstacles financiers et organisationnels à l’amélioration de la sécurité ?

Sur le plan financier, des budgets opérationnels restreints, des coûts de remédiation élevés et la dépendance vis-à-vis de systèmes hérités peuvent constituer des obstacles à la sécurité au sein des établissements de santé. Sur le plan organisationnel, la pénurie de talents en cybersécurité et les charges de travail cliniques élevées peuvent entraîner des erreurs systémiques de la part des utilisateurs.

### Comment les dirigeants du secteur de la santé peuvent-ils justifier les investissements en sécurité auprès des conseils d’administration et des parties prenantes ?

Les investissements en sécurité englobent la sécurité des patients, les performances financières et la réputation de l’organisation. Plus précisément, les coûts comprennent les pertes de revenus liées aux temps d’arrêt cliniques dus au report d’interventions, l’exposition à des sanctions réglementaires et les répercussions sur la réputation qui se traduisent par une baisse du nombre de patients.

Bien que la sensibilisation à la cyberdéfense s’accroisse au sein des établissements de santé, la plupart d’entre eux n’utilisent toujours pas les fonds de leur budget informatique pour la cybersécurité hospitalière.

### Quels modèles existent pour quantifier le retour sur investissement des dépenses de sécurité dans les hôpitaux ?

La réduction attendue des pertes constitue le cadre le plus utile pour quantifier le retour sur investissement des dépenses de sécurité dans les établissements de santé. Elle permet de quantifier le retour sur investissement en matière de cybersécurité en comparant le coût d’un outil de sécurité au risque financier qu’il élimine.

Les établissements qui mettent en œuvre des contrôles rigoureux et documentent leurs mesures réalisent des économies immédiates et récurrentes qui compensent en partie les coûts liés aux investissements en sécurité.

### Comment les procédures d’achat, les cycles budgétaires et les priorités concurrentes retardent-ils les projets de sécurité ?

Les cycles d’investissement dans le secteur de la santé s’étendent sur une année : identification la première année, budgétisation la deuxième année et mise en œuvre la troisième année. Ces cycles créent le décalage de trois ans mentionné, entre l’identification d’une vulnérabilité et la mise en place d’un contrôle correctif.

Pendant cette période, les attaquants s’attachent à exploiter les vulnérabilités au sein des établissements. Et les défaillances de sécurité les plus graves dans le secteur de la santé ne résultent pas de capacités sophistiquées. Elles sont causées par des cycles budgétaires inadéquats, des priorités concurrentes et l’inertie organisationnelle qui a permis l’exploitation de ces vulnérabilités.

### Quelles mesures incitatives ou quels mécanismes de financement peuvent accélérer les mises à niveau de sécurité nécessaires ?

En règle générale, les subventions publiques ciblées, les programmes de résilience public-privé, les incitations réglementaires basées sur les tarifs et les fonds d’innovation à double usage accélèrent les mises à niveau de sécurité.

Par exemple, les établissements de santé peuvent solliciter les fonds proposés par le ministère américain de la Santé et des Services sociaux (HHS) provenant du Fonds fiduciaire d’assurance hospitalière de Medicare. Plus précisément, ces fonds peuvent être utilisés pour des mises à niveau en matière de cybersécurité dans les hôpitaux à besoins élevés, dans le cadre des [objectifs de performance en matière de cybersécurité dans le secteur de la santé](https://hhscyber.hhs.gov/cybersecurity-performance-goals.html)
.

Par ailleurs, l’[Agence pour la cybersécurité et la sécurité des infrastructures (CISA)](https://www.cisa.gov/about/cisa-central)
, la division cyber du FBI et le [Centre de partage et d’analyse des informations de santé (Health-ISAC)](https://health-isac.org/)
 fournissent des renseignements sur les menaces, des cadres de bonnes pratiques et une assistance technique.

## FAQ

### Pourquoi les établissements de santé sont-ils fréquemment la cible de rançongiciels malgré d’importants investissements en cybersécurité ?

Le secteur de la santé est considéré comme une cible de choix pour les auteurs d’attaques par ransomware en raison des données de grande valeur détenues par les établissements de santé, qui méritent d’être obtenues et utilisées à des fins d’extorsion. De plus, ce secteur est associé à des situations d’urgence mettant en jeu la sécurité des personnes, ce qui pousse les victimes à payer rapidement. Enfin, les contrôles opérationnels sont souvent contournés par le personnel soignant en raison de la nécessité d’apporter des soins immédiats aux patients.

### Quelles sont les solutions de sécurité des données de santé les plus efficaces contre les menaces internes et l’utilisation abusive des identifiants ?

Les plateformes d’[analyse du comportement des utilisateurs et des entités (UEBA)](https://www.microsoft.com/en-us/security/business/security-101/what-is-user-entity-behavior-analytics-ueba)
 détectent le plus efficacement les accès malveillants de la part de personnes internes et l’utilisation d’identifiants compromis. Ces solutions techniques mettent en évidence les schémas de comportement incompatibles avec le rôle clinique d’un utilisateur. Il est important de noter que ces plateformes doivent être adaptées aux environnements de santé. Enfin, une gouvernance rigoureuse des accès doit également être mise en place, comprenant un contrôle d’accès basé sur les rôles, des révisions régulières des droits d’accès et la suppression immédiate des droits d’accès des employés qui quittent l’établissement.

### Comment les hôpitaux doivent-ils hiérarchiser l’ordre de restauration après qu’une violation de données de santé a affecté plusieurs systèmes cliniques ?

L’ordre de restauration doit être établi en fonction de la criticité clinique plutôt que de la commodité. Tout d’abord, les établissements de santé doivent se concentrer sur la sécurité des patients. Dans le cadre de la restauration des systèmes, ils doivent donner la priorité aux systèmes vitaux liés à la surveillance des patients, à l’administration des médicaments et aux services d’urgence. Vient ensuite l’infrastructure des dossiers médicaux électroniques (DME). Viennent ensuite les archives d’imagerie, les systèmes administratifs et, enfin, les systèmes de facturation.

À propos de l’auteur

[https://www.linkedin.com/in/rob-morrison-3aa443/](https://www.linkedin.com/in/rob-morrison-3aa443/)

Rob Morrison est le directeur marketing de Bacula Systems. Il a commencé sa carrière dans le marketing informatique chez Silicon Graphics en Suisse, où il a obtenu de bons résultats dans divers rôles de gestion du marketing pendant près de 10 ans. Au cours des 10 années suivantes, Rob a également occupé divers postes de gestion du marketing chez JBoss, Red Hat et Pentaho, assurant la croissance des parts de marché de ces sociétés bien connues. Il est diplômé de l'université de Plymouth, titulaire d'un diplôme spécialisé en médias et communications numériques, et a suivi un programme d'études à l'étranger.

*Postes connexes*

[https://www.baculasystems.com/fr/blog-fr/sauvegarde-et-restauration-des-ordinateurs-centraux/](https://www.baculasystems.com/fr/blog-fr/sauvegarde-et-restauration-des-ordinateurs-centraux/)
[Sauvegarde et reprise sur mainframe : stratégies modernes pour des systèmes d'entreprise résilients](https://www.baculasystems.com/fr/blog-fr/sauvegarde-et-restauration-des-ordinateurs-centraux/)

30 mars 2026

[https://www.baculasystems.com/fr/blog-fr/guide-de-securite-hpc-800-223-800-234/](https://www.baculasystems.com/fr/blog-fr/guide-de-securite-hpc-800-223-800-234/)
[Guide et normes de sécurité HPC : NIST SP 800-223 et SP 800-234](https://www.baculasystems.com/fr/blog-fr/guide-de-securite-hpc-800-223-800-234/)

6 octobre 2025

[https://www.baculasystems.com/fr/blog-fr/la-securite-du-cloud-dans-le-secteur-de-la-sante/](https://www.baculasystems.com/fr/blog-fr/la-securite-du-cloud-dans-le-secteur-de-la-sante/)
[Pourquoi la sécurité du cloud dans le secteur de la santé ne peut-elle pas être traitée comme la sécurité standard du cloud d'entreprise ?](https://www.baculasystems.com/fr/blog-fr/la-securite-du-cloud-dans-le-secteur-de-la-sante/)

29 juin 2026

[https://www.baculasystems.com/fr/blog-fr/mongodb-sauvegarde-restauration/](https://www.baculasystems.com/fr/blog-fr/mongodb-sauvegarde-restauration/)
[Guide complet pour la sauvegarde et la restauration des bases de données MongoDB](https://www.baculasystems.com/fr/blog-fr/mongodb-sauvegarde-restauration/)

16 mars 2026

[https://www.baculasystems.com/fr/blog-fr/sauvegarde-sur-bande/](https://www.baculasystems.com/fr/blog-fr/sauvegarde-sur-bande/)
[Comment exécuter une sauvegarde sur bande magnetique avec Bacula Enterprise ? Guide de la sauvegarde et de la restauration sur bande](https://www.baculasystems.com/fr/blog-fr/sauvegarde-sur-bande/)

15 avril 2025

[https://www.baculasystems.com/fr/blog-fr/reprise-apres-sinistre-informatique/](https://www.baculasystems.com/fr/blog-fr/reprise-apres-sinistre-informatique/)
[Reprise après sinistre informatique. Plan et solutions de reprise après sinistre](https://www.baculasystems.com/fr/blog-fr/reprise-apres-sinistre-informatique/)

1 mai 2024
