Une cyberattaque consiste à pénétrer le système IT d’une organisation pour la paralyser, afin de lui soutirer une rançon. Le secteur le plus prisé par les hackers est celui de la santé. En effet, selon Kaspersky, la vente d’un dossier médical sur le marché noir numérique peut monter à 350 euros.
Un rapport de l’ASIP santé, relatif aux incidents signalés en France d’octobre 2017 à septembre 2018, a montré que les attaques concernaient à :
- 86% des établissements de santé.
- 5% des laboratoires de biologie médicale.
- 1% des centres de radiothérapie.
- Le solde de 8% étant surtout représenté par des EHPAD.
Une imprudence qui coûte cher
Or, ces attaques laissent des traces. Une étude du MEDEF, le syndicat représentatif des entreprises, indique ainsi que 20 % des TPE, tous secteurs confondus, touchées par une cyberattaque ont subi un dommage supérieur à 50.000 euros, celui-ci dépassant même les 100.000 euros pour 13% d’entre elles. Il n’est pas rare que des PME déposent le bilan dans les six mois suivant l’événement.
Le montant du préjudice dépend de différents facteurs, comme la durée de l’arrêt de l’activité, la perte de données ou encore le coût de l’intervention de consultants spécialisés. Sans compter le risque médical. En septembre dernier, à la suite d’une attaque informatique qui a paralysé la clinique universitaire de Düsseldorf, une patiente qui devait être opérée immédiatement est morte lors de son transfert en urgence vers un autre établissement.
C’est pour ces nombreuses raisons que les pouvoirs publics ont fait de la cybersécurité une priorité stratégique. Le Règlement européen sur la protection des données (RGPD), qui impose de nouvelles normes de sécurité, est entré en vigueur en 2018. Ce dispositif, qui couvre aussi les données collectées dans le domaine médical, comprend un volet punitif. Pris en défaut de conformité, le site d’Optical Center en France et l’Hôpital de Barreiro au Portugal se sont vu infliger de fortes pénalités.
Il faut savoir que les hackers ne manquent pas d’idées pour identifier des failles. Ils profitent parfois d’erreurs humaines, liées à la méconnaissance des employés en matière de prévention à la cybercriminalité. Mais, certains dispositifs médicaux connectés ne sont pas non plus toujours bien sécurisés. Et, les nouveaux usages présentent parfois des vulnérabilités (télémédecine, télétravail).
Adopter les bons réflexes
Face à ces défis, les professionnels de santé doivent s’adapter. La prudence impose à la fois de chercher des parades en amont, via des mesures préventives, et , en aval, de prévoir un amortisseur pour réduire les impacts d’une éventuelle cyberattaque.
Afin de vous prémunir, La Médicale met à votre disposition le Guide de prévention pour la protection de votre système d’information et le Guide des bonnes pratiques de l'informatique.
Néanmoins, si un incident survient malgré tout, avoir un bon contrat d’assurance se révèle judicieux pour mieux passer la crise.
Pour vous protéger ... Nous avons inclus une garantie Cyberrisque dans votre contrat La Médicale Multirisque Pro. Cette offre spécifique a été conçue pour couvrir le sinistre potentiel à tous les niveaux : les frais consécutifs à une attaque informatique et à une atteinte aux données ; |