Cybersécurité dans le secteur de la santé : les bonnes pratiques
Publié le 05/08/2024
Quelles sont les bonnes pratiques en cybersécurité dans le secteur de la santé ? Ce secteur est aujourd'hui l'une des cibles privilégiées des cybercriminels. En effet, les données des patients sont extrêmement sensibles et peuvent être revendues à prix d'or sur le dark web. Les attaques informatiques peuvent également avoir des conséquences graves sur la santé des patients, en perturbant le fonctionnement des appareils médicaux ou en retardant des soins critiques.
Pourquoi la cybersécurité est-elle si importante dans le secteur de la santé ?
Les données des patients sont des informations confidentielles et protégées par le RGPD. Elles comprennent des informations personnelles, telles que le nom, l'adresse et le numéro de sécurité sociale, ainsi que des informations médicales, telles que les diagnostics, les traitements et les antécédents médicaux. Ces données peuvent être utilisées à des fins illégales, telles que le vol d'identité, la fraude à l'assurance ou le chantage.
Les attaques informatiques peuvent également avoir des conséquences graves sur la santé des patients. En effet, les cybercriminels peuvent pirater des appareils médicaux et modifier les doses de médicaments ou désactiver des équipements essentiels. Cela peut entraîner des erreurs médicales, des blessures graves, voire des décès.
Quelles sont les bonnes pratiques à connaître pour améliorer la cybersécurité dans le secteur de la santé ?
Voici quelques bonnes pratiques à connaître pour améliorer la cybersécurité dans le secteur de la santé :
Mettre en place une politique de cybersécurité claire et concise
Cette politique doit définir les responsabilités en matière de cybersécurité, les procédures à suivre en cas d'attaque et les mesures de sécurité à mettre en œuvre. Si vous ne savez pas par où commencer, nous vous recommandons ces 42 pratiques indispensables pour sécuriser votre système d’information.
Les acteurs opérationnels (administrateurs, développeurs, RSSI) interagissent quotidiennement avec le système d'information, bénéficiant ainsi de privilèges étendus. Des actions, parfois inconscientes, comme l'attribution de droits excessifs, l'utilisation de comptes personnels à des fins professionnelles ou le choix de mots de passe faibles, peuvent compromettre la sécurité. Il est donc crucial de former régulièrement ces équipes sur les aspects légaux, les menaces actuelles, les meilleures pratiques de sécurité (maintien en condition, contrôle d'accès, durcissement, segmentation réseau, journalisation), afin de leur permettre de maîtriser les risques inhérents à leurs activités.
Dans un premier temps, vous pouvez par exemple proposer ce MOOC gratuit de l’ANSSI, pour une première sensibilisation de vos collaborateurs
Mettre à jour régulièrement les logiciels et les systèmes.
Les cybercriminels exploitent souvent les failles de sécurité des logiciels pour lancer des attaques. Il est donc important de mettre à jour régulièrement les logiciels et les systèmes pour corriger ces failles.
Utiliser des mots de passe forts, les changer régulièrement et sécuriser son Active Directory (AD).
Les mots de passe forts sont difficiles à deviner pour les cybercriminels. Il est important d'utiliser des mots de passe différents pour chaque compte et de les changer régulièrement. Pour rester organisé sans faire l’impasse en terme de sécurité, n’hésitez pas à utiliser un gestionnaire de mots de passe sécurisé.
L'ANSSI souligne que de nombreuses compromissions de systèmes d'information reposant sur Active Directory sont dues à des failles de configuration et à un manque de segmentation. Les attaques, souvent initiées au niveau des postes de travail, exploitent les vulnérabilités du système pour se propager latéralement et atteindre l'annuaire. Découvrez les recommandations à ce sujet :
Mettre en place des solutions de sécurité informatique.
Il existe de nombreuses solutions de sécurité informatique qui peuvent protéger les systèmes contre les attaques cyber. Il est important de choisir des solutions adaptées aux besoins et contraintes de l'organisation : certains équipements médicaux, en raison de leurs caractéristiques techniques spécifiques (temps de réponse critique, environnement réglementé, etc.), nécessitent des solutions de cybersécurité particulières.
Pour des équipements ne pouvant accueillir d’antivirus ou d’EDR, une sonde, comme la sonde NDR Jizo de notre partenaire Sesame it, peut être envisagée pour effectuer de la détection.
BECYCURE peut vous accompagner dans le choix et la mise en place de ces solutions de cybersécurité.
Les sauvegardes permettent de restaurer les données en cas d'attaque informatique. Il est important d'effectuer des sauvegardes régulières des données et de les stocker dans un endroit sûr.
Signaler tous les incidents de cybersécurité, même les plus mineurs permet à l'organisation de prendre les mesures nécessaires pour limiter les dégâts et prévenir de futures attaques.
En cas de suspicion d’acte malveillant, vous pouvez réaliser le diagnostic gratuit proposé par cybermalveillance.gouv.fr :
Le secteur de la santé compte de nombreux établissements classés comme opérateurs de services essentiels (OSE) ou opérateurs d'importance vitale (OIV). Ces classifications, définies par le code de la défense, impliquent des obligations spécifiques en matière de cybersécurité. En effet, les OSE et OIV sont des acteurs critiques pour le fonctionnement de la société et leur compromission pourrait avoir des conséquences majeures.
Les établissements de santé classés OSE sont tenus de notifier à l'ANSSI tout incident de sécurité ayant un impact significatif sur leurs systèmes. Les OIV, quant à eux, sont soumis à des obligations encore plus strictes, comme la Loi de Programmation Militaire (LPM) ou sur les sujets de plans de continuité d'activité (PCA) et de plans de reprise d'activité (PRA). Ces obligations visent à garantir la résilience des systèmes d'information face aux cyberattaques et à assurer la continuité des services de santé.
Le nombre exact d'établissements de santé classés OIV n'est pas publiquement connu, contrairement à la liste des OSE qui compte environ 136 établissements. Cette opacité s'explique par la nature stratégique de ces informations.
La cybersécurité est un enjeu majeur pour le secteur de la santé. En mettant en œuvre les bonnes pratiques décrites dans cet article, les organisations de santé peuvent réduire considérablement leur risque d'être victimes d'une cyberattaque.
La directive NIS2
La directive NIS2 (Network and Information Systems) est un nouveau règlement européen visant à renforcer la cybersécurité des systèmes d'information essentiels. Ce règlement, qui remplacera la directive NIS, aura un impact significatif sur le secteur de la santé. Les établissements de santé, en particulier ceux classés comme opérateurs d'importance vitale pour la société, devront se conformer à des exigences plus strictes en matière de gestion des risques, de reporting des incidents et de coopération avec les autorités compétentes.
NIS2 introduit de nouvelles obligations, telles que la réalisation d'analyses de risques régulières, la mise en place de mesures de sécurité renforcées et la désignation d'un responsable de la sécurité des systèmes d'information. Les établissements de santé devront également mettre en place des plans de gestion de crise pour répondre efficacement aux cyberattaques. La conformité à NIS2 est un enjeu majeur pour les établissements de santé, car les sanctions en cas de non-conformité peuvent être élevées.
La cybersécurité est un enjeu majeur pour le secteur de la santé. En mettant en œuvre les bonnes pratiques décrites dans cet article, les organisations de santé peuvent réduire considérablement leur risque d'être victimes d'une cyberattaque.
Maintenir une veille active
En plus des bonnes pratiques mentionnées ci-dessus, il est également important de se tenir informé des dernières menaces cyber. Les cybercriminels développent constamment de nouvelles techniques d'attaque, il est donc important de rester à jour sur les dernières menaces et de mettre en place les mesures de sécurité nécessaires pour les contrer.
En suivant ces conseils, les organisations de santé peuvent contribuer à protéger les données des patients et à assurer la continuité des soins.
Un nouvel acteur fait parler de lui sur le dark web : Evil-GPT, une intelligence artificielle malveillante vendue pour à peine 10 $. Cet outil se présente comme une alternative “sans limites” aux IA éthiques comme ChatGPT, permettant à n’importe qui de générer des malwares ou des campagnes de phishing en quelques secondes. Comment ça […]
Un nouvel épisode dans la série des attaques sur SharePoint Depuis juillet 2025, deux vulnérabilités critiques affectant Microsoft SharePoint Server (CVE-2025-53770 et CVE-2025-53771) sont activement exploitées. Déjà surnommées ToolShell par la communauté, elles illustrent à quel point les environnements collaboratifs restent une cible de choix pour les attaquants. Détails techniques : ce que révèlent les […]
Face à l'intensification des menaces cyber sur les infrastructures critiques, notamment dans le secteur de la santé, le gouvernement français a renforcé sa stratégie de défense numérique. C'est dans ce contexte que s'inscrit le programme Cybersécurité Accélération et Résilience des Établissements (CaRE), qui a franchi une étape majeure en juillet 2025 avec le lancement d'un […]
Et si votre propre intelligence artificielle devenait l’arme de votre compromission ? C’est exactement ce que révèle un incident récent impliquant Amazon. Un simple prompt dissimulé dans une extension VS Code a failli transformer un assistant IA en destructeur de données à grande échelle — sans qu’aucune ligne de code malveillant ne soit visible. Ce cas, […]
Une mutation stratégique des cyberattaques Le groupe de cybercriminels Scattered Spider, bien connu des professionnels de la cybersécurité pour ses campagnes contre les grandes entreprises américaines (casinos, télécoms, assurances), opère depuis le printemps 2025 un changement de stratégie majeur : ses attaques s’orientent désormais vers les infrastructures critiques du transport, en particulier le secteur aérien. […]
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Si vous continuez à utiliser ce site, nous supposerons que vous en êtes satisfait.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duration
Description
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
