Quels sont les impacts d'une fuite de données dans un établissement de santé ?
Une attaque par semaine sur les établissements de santé français. C’est la fréquence à laquelle sont exposés les systèmes d’information des cliniques, hôpitaux, EHPAD, structures médico-sociales et autres cabinets médicaux à des attaques, des virus et tentatives d’extorsion. Lorsqu’elles sont fructueuses, ces attaques peuvent avoir des conséquences dramatiques pour les patients et leur famille, mais aussi pour le personnel soignant et administratif. Explications.
Un fonctionnement en mode dégradé
C’est ce qui est arrivé au Centre hospitalier Sud-Francilien de Corbeil-Essonnes en Île-de-France durant l’été 2022. Victime d’une attaque massive, les systèmes de stockage d’imagerie médicale et le système des admissions de l’hôpital n’étaient plus en mesure de fonctionner correctement. Les personnels ont dû revenir au papier pour gérer le quotidien après la déconnexion du système d’information tout en réorganisant dans l’urgence le quotidien de l’hôpital. Alors que l’hôpital public est en crise depuis longtemps, cette situation est la goutte d’eau qui fait déborder le vase.
Une demande de rançon
En plus des fuites de données, les établissements de santé peuvent aussi faire face à des attaques par ransomware. Ce sont des logiciels qui chiffrent les données des serveurs et des ordinateurs. Pour débloquer les systèmes, les pirates exigent alors le paiement d’une rançon, généralement en bitcoins, qui peut aller jusqu’à plusieurs millions d’euros. Ce fut notamment le cas du centre hospitalier de Versailles (Yvelines) début décembre 2022.
Des données revendues qui démultiplient les risques de vol d’identité
Les données personnelles sont particulièrement précieuses pour les pirates, car elles peuvent se vendre très cher, et ainsi être utilisées à différentes fins, dont le vol d’identité. Pour les victimes, devoir démêler le vrai du faux auprès des organismes concernés est un véritable cauchemar. La perte de données affecte aussi les établissements. Ainsi, l’hôpital de Dax, dans les Landes, en 2021, a perdu dix ans de données suite à une attaque. Cela veut dire que les pirates disposeraient de dix ans d’historiques médicaux et de données personnelles des patients qui sont passés par l’établissement.
Un coût de gestion de la crise exorbitant
Un établissement touché par une fuite de données devra débourser énormément d’argent pour faire face à la crise. C’est notamment le cas des honoraires d’avocats et des frais de justice, de la mise en conformité réglementaire, du coût des enquêtes techniques, de la sécurisation des données post-incident, des relations publiques, de l’amélioration des dispositifs de cybersécurité, des impacts liés à la perturbation de l’activité, etc.
Une perte de confiance du public
Une fuite de données peut être causée par un pirate externe ou un employé indélicat et des processus de sécurité et de contrôle inadéquats. Dans tous les cas, cela affecte la confiance du public et nuit à la réputation de l’établissement. Pour les organisations privées, cela peut impliquer une perte de patients, et donc, de revenus. Pour les établissements publics, c’est une rupture du contrat social et du service public avec des conséquences à long terme (risque juridique, moindre investissement, démission du personnel, etc.). Dans la santé, la confiance est facile à perdre, et très difficile à regagner.
Nous confions aux établissements de santé ce que nous avons de plus précieux : notre santé. Il semble donc légitime d’attendre de ceux-ci qu’ils prennent toutes les précautions nécessaires pour éviter les cyberattaques et les fuites de données. Une des solutions repose sur des solutions managées par des professionnels de l’informatique dans le cloud sur des serveurs HDS, labellisés pour héberger des données de santé. Ozitem est certifiée HDS sur tous les périmètres imposés par les pouvoirs publics et travaille régulièrement avec des établissements de santé. Contactez-nous dès maintenant pour nous faire part de votre projet de digitalisation et d’hébergement de vos données de santé.