Comment estimer le coût d’une cyberattaque par rançongiciel dans un établissement de santé ?
Les établissements de santé et médico-sociaux font face à une menace informatique devenue plus sophistiquée ainsi que des attaquants plus virulents, conscients de la nécessaire continuité des soins et de la valeur des données de santé.
Dans ce contexte, certaines attaques informatiques peuvent perturber durablement les soins et atteindre la sécurité des patients. De tels incidents engendrent de surcroît de lourdes pertes financières pour les établissements victimes. C’est notamment le cas des attaques par rançongiciel.
Afin que les dirigeants d’établissement de santé et leurs responsables de la sécurité des systèmes d’information (RSSI), puissent avoir une vision claire de leur exposition au risque cyber, nous avons développé avec Citalid, une solution de pilotage du risque cyber qui apporte des données chiffrées personnalisées à chaque établissement de santé.
À titre estimatif, évaluons pour un établissement de santé le coût engendré par ce type de cyberattaque, avec notre outil de quantification financière du risque cyber.
Estimation de l’impact financier d’une cyberattaque par ransomware dans un établissement de santé
Imaginons le cas d’un établissement de santé de type CHU qui subit une attaque par rançongiciel selon un mode opératoire d’attaque (MOA) classique des cybercriminels. Exemple de MOA : l’envoi à l’établissement d’un logiciel malveillant ou d’un virus qui bloque l’accès à ses données ou son matériel en les chiffrant. Les cybercriminels réclament ensuite le paiement d’une rançon pour en obtenir de nouveau l’accès.
Quelles sont les conséquences fréquentes d’une cyberattaque par rançongiciel ?
Ce type d’attaque occasionne fréquemment :
- le chiffrement d’une partie importante du système d’information hospitalier (SIH) entraînant une perturbation des soins: indisponibilité du dossier patient informatisé (DPI), d’applications métiers et de divers équipements médicaux,
- l’exfiltration de données de santé par les attaquants.
Quel serait l’impact financier d’une telle cyberattaque ?
Pour réaliser une simulation, reprenons le cas de notre établissement de santé de type CHU, qui serait doté pour notre simulation d’un budget de 600 millions d’euros.
Selon l’étude « Menaces et risques cyber pesant sur les établissements de santé en France » menée en juin 2023 conjointement par Citalid (jeune start-up française spécialisée dans la cybersécurité) et Relyens (manager des risques des acteurs de la santé depuis plus de 100 ans), l’impact financier d’un tel scénario pour ce type d’établissement serait le suivant :
Comment est estimé l’ impact financier pour cet établissement de santé ?
Compte tenu des conséquences lourdes pour l’établissement et davantage encore pour la sécurité des patients, il est fondamental pour les dirigeants des établissements de santé et leurs responsables de la sécurité des systèmes d’information (RSSI), de disposer d’une vision claire de leur exposition au risque cyber. Il s’agit pour eux de comprendre les menaces, les estimer, évaluer leur niveau de défense pour mettre en œuvre une politique de cybersécurité adaptée à leur établissement.
C’est ce qui a conduit Citalid et Relyens à développer le premier outil de quantification financière du risque cyber dédié aux établissements de santé. Un outil qui permet en outre de simuler les solutions de sécurité à déployer pour mieux les projeter et planifier leur investissement.
Cette solution de pilotage du risque cyber apporte des données chiffrées personnalisées à chaque établissement en fonction de sa maturité en matière de cybersécurité. Il est alors possible d’agir en faveur d’une réduction du taux exposition de l’établissement et d’une amélioration de sa résilience au profit d’une bonne sécurisation de la prise en charge des patients.
Pour en savoir plus sur les menaces actuelles, les pratiques des cybercriminels, les enjeux des établissements de santé face au risque cyber, consultez l’étude « Menaces et risques cyber pesant sur les établissements de santé en France » menée par nos experts Relyens avec Citalid.
Consultez l'ebook