Sécurité informatique: quand les patients sont mis en danger pour des incidents informatiques

Selon un chiffre fourni par l’agence du numérique en santé, on apprend que 34 situations de mise en danger de patients ont été répertoriées à cause des incidents liés à la sécurité informatique, et ce pour seulement l’année 2020.

Au total c’est 9 pourcents des incidents de sécurité informatique qui ont été les sources de mise en danger de patient comme l’a été décrit par le CERT Santé. Cela sur un total de 369 signalement.

Dans les 34 mises en danger, deux ont été qualifiées comme étant avéré. Pour les 32 autres, on parle plus de potentielle mise en danger. « Principalement des incidents liés à la perte de lien télécoms (en particulier pour des Samu), ou encore à des indisponibilités totales du système d’information (SI). » décrit le rapport du CERT Santé.

Cet article va aussi vous intéresser : Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

Le temps par ailleurs qu’en 2019 c’est 19 pourcents des incidents liés à la sécurité informatique qui avait été catégorisé comme étant susceptible de mettre en danger potentiellement les patients.

Les 369 incidents qui ont été signalés durant l’année 2020 l’eau était à travers 290 établissements comprenant 250 établissements de santé.

Pour ce qui est de la majorité des signalements à savoir 301 précisément, ils proviennent en établissement de santé. 31 signalements viennent des établissements d’hébergement pour personnes âgées dépendantes. Pour les centres de radiothérapie, il a été enregistré 4 signalement d’incident liées à la sécurité informatique. Le reste vient de laboratoire de biologie médicale.

Pour 30 signalements précisément, ils comprennent « principalement à des déclarations réalisées par des cabinets libéraux et des établissements publics du secteur médico-social », décrit le rapport. « En 2020 comme en 2019, les Ehpad représentent une part grandissante des déclarations reçues », lit-on.

Il a été observé que le CERt santé a accompagné 90 signalement précisément. Ce qui fait un total supérieur de 20 signalements par rapport à 2020. Pour des appuis techniques, organisme public a dû intervenir près de 32 fois soit pour une remédiation ou pour une investigation. Situation qui n’a pas été observée en 2019.

Pour ce qui concerne les champs d’intervention du CERT Santé, l’organisme a agi dans :

– 40 % des cas pour des Incidents liés à des logiciels malveillants

– 28% était pour des systèmes informatiques compromis

– 27 % pour des e-mails malveillants.

Dans l’ensemble 7 incidents de sécurité ont « fait l’objet d’un suivi particulier de la part du fonctionnaire de la sécurité des SI (FSSI) des ministères sociaux. Ils provenaient de 5 établissements de santé publics, dont 2 opérateurs de services essentiels (OSE). » note le rapport.

De son côté l’Agence nationale de sécurité des systèmes d’information, à intervenu dans près de 14 incidents de sécurité. Parmi ces incidents 10 ans ont été signalé par des établissements de santé publique Comprenant 10 opérateurs de services essentiels et deux établissements d’habitation des personnes âgées

Du côté de l’Agence nationale de sécurité du médicament et des produits de santé, il a été enregistré 4 incidents officiellement communiqués. Cela est pareil pour la direction générale de la santé, précisément lorsque ces incidents ont eu impact sur la santé de patients.

« En 2020, comme en 2019, près de la moitié des signalements (162) sont résolus par la structure avant leur déclaration », note l’ANS. « En revanche, la part de ces signalements résolus baisse en 2020, en particulier au profit d’incidents déclarés ‘en cours d’investigation' », dont la part « augmente d’environ 6% chaque année, pour atteindre 27% en 2020 », ajoute l’autorité administrative. En outre, « 21 structures n’ont pas transmis d’informations complémentaires à la suite de leur déclaration, malgré une demande de compléments d’information et/ou une proposition d’appui ».

« Au regard de son activité hospitalière (4.41% de l’activité nationale soit presque quatre fois moins que l’Île-de-France), la région Bourgogne-Franche-Comté est en tête en matière de remontée des incidents », précise le rapport du CERT. « Les régions Centre-Val de Loire et Provence-Alpes-Côte d’Azur (Paca) déclarent peu d’incidents au regard du nombre d’établissements hospitaliers situés sur leurs territoires de santé », lit-on dans le rapport.

Par ailleurs l’Agence du numérique en santé rappele que les déclarations liées aux incidents de sécurité informatique étaient obligatoires. « En particulier dans les régions où le nombre de signalements rapporté à l’activité hospitalière est faible ».

Accédez maintenant à un nombre illimité de mot de passe :