Les cyberattaques, avec demandes de rançon, ont concerné, dans 10 % des cas, des établissements de santé en 2023.
301 établissements de santé et 121 établissements et services médico-sociaux ont déclaré au moins un incident relatif à une cyberattaque en 2023, selon un bilan que le CERT santé a dévoilé au « Quotidien du médecin », le CERT Santé étant un service national qui contribue à la cybersurveillance de tout le territoire français et qui propose un accompagnement et un suivi dans le traitement des actes de cyber-malveillance.
Au total, sur ces 422 établissements, 165 ont demandé un accompagnement au CERT santé l’an passé, chiffre identique à celui de 2022. Parmi les structures impactées, 53 % des déclarants ont indiqué que l’incident n’a eu aucun impact sur leur organisation en 2023. Mais 32 % ont été contraints de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients. Enfin, toujours parmi ces établissements touchés par une attaque, 59 % reconnaissent un impact sur des données, qu’elles soient à caractère personnel, techniques, ou relatives au fonctionnement de la structure.
Les établissements de santé, s’ils ne sont pas les seules structures à être ciblées par les hackers, représentent tout de même 10 % des victimes d’attaques par rançongiciel, selon le panorama de la cybermenace 2023, publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Par ailleurs, pour sécuriser l’organisation des établissements sanitaires et réduire les risques, l’ANSSI propose des guides et bonnes pratiques et rappelle que les établissements de soins ont jusqu’à 2027 « pour consacrer au moins 2 % de leur budget au numérique, dont 10 % sur la cybersécurité et les infrastructures, avec la mise en place d’un forfait numérique dans la tarification », et que tous doivent avoir prévu un exercice de « crise cyber » annuel ou bisannuel.