Retour au blog
Cybersécurité Analyse de risque Protection Data technique & innovation
Publié le 22 septembre 2023 Modifié le 22 septembre 2023
Temps de lecture : 6 minutes

Etablissement de santé : comment évaluer votre exposition au risque cyber ?

Médecin sur tablette cadenas

Les cyberattaques sont aujourd’hui une réalité quasi quotidienne et touchent largement le secteur de la santé : hôpitaux, cliniques, établissements médico-sociaux, tous sont des cibles très exposées. Les conséquences peuvent être lourdes, tant au niveau humain, qu’organisationnel et financier. La sécurité des patients est plus que jamais engagée.
Il est fondamental pour les dirigeants des établissements de santé, aux côtés des responsables de la sécurité des systèmes d’information (RSSI), de mettre en œuvre une politique de cybersécurité adaptée à leur environnement pour maîtriser leur risque cyber. Encore faut-il avoir une vision claire de l’exposition au risque cyber : comment quantifier le risque, estimer le coût d’une cyberattaque, évaluer son système de défense ?

Une méthode graduelle, spécifique aux établissements de santé, permet de comprendre et analyser le risque cyber pour mieux le gérer et définir les moyens à déployer selon le degré de maturité de l’établissement. Puis d’en évaluer le retour sur investissement.

Les établissements de santé, tous concernés par les risques cyber

Selon le dernier rapport d’activité de l’ANS, 582 établissements de santé ont déclaré au moins un incident en 2022. Ce qui représente 733 incidents déclarés sur l’année. 52 % sont d’origine malveillante et ont eu un impact sur la continuité des soins, l’accès et la confidentialité des données de santé, la disponibilité du parc informatique ou des outils médicaux. Nombre d’entre-deux ont directement conduit à la mise en danger de la vie des patients. Et certains établissements ont mis plus de 6 mois à recouvrer un état normal.

Piloter le risque cyber, un enjeu pour les dirigeants des établissements de santé

Compte tenu des conséquences lourdes pour l’établissement et davantage encore pour la sécurité des patients, il devient impératif de mettre les moyens adaptés pour s’en prémunir. Lesquels ? Tout dépend de l’environnement de l’établissement, de son degré d’exposition et de son niveau de maturité en matière de cybersécurité. Pour maîtriser le risque cyber Il est important de disposer d’une méthode de quantification spécifique aux établissements de santé.

Quels sont les indicateurs de mesure de pilotage nécessaires pour maîtriser le risque cyber ?

Les dirigeants d’établissement et leur responsable de la sécurité des systèmes d’information (RSSI) ont besoin de :

  • comprendre, analyser et appréhender le risque cyber pour savoir le gérer,
  • estimer le niveau d’exposition, calibrer les zones à risque en fonction des scenarii d’attaque
  • quantifier l’impact financier de l’exposition des établissements​ de santé au risque cyber,
  • sensibiliser et aider la prise de décision,
  • définir des mesures de prévention et de défense permettant de réduire le risque au maximum
  • aider à la priorisation des investissements à réaliser en cybersécurité
  • augmenter in fine la résilience de leur établissement

Ces indicateurs de mesure et pilotage permettent de disposer d’une évaluation fine de son environnement, d’une bonne compréhension du risque, pour in fine dégager une politique de cybersécurité efficace et rentable.

Ebook Citalid_relyens

Notre solution pour quantifier les menaces et risques Cyber

Citalid, jeune start-up française spécialisée dans la cybersécurité, et nos experts Relyens ont développé le premier outil de quantification financière du risque cyber dédié aux établissements de santé : un outil de simulation pour mieux projeter et planifier l’investissement des solutions de sécurité dans le temps. Les dirigeants et les équipes sécurité sont assurés de disposer d’une optimisation maximale des dépenses de cybersécurité et d’une estimation du retour sur investissement objectif, afin de prioriser les moyens à mettre en œuvre. Pour en savoir plus sur cette étude :

Consultez l'ebook

Une méthode d'évaluation et de pilotage du risque en 3 niveaux

Un 1er niveau de quantification du risque permet de fournir 2 indicateurs clés :

  • l’indice de pression de la cybermenace (IPC) qui pèse sur les établissements de santé, à partir duquel est déterminé le niveau actuel d’exposition au risque de l’établissement.
  • Le coût financier maximum contextualisé (CFMC) d’une attaque qui est une estimation réalisée via un modèle breveté par rapport aux données du secteur de la santé.

Il s’agit d’affiner la quantification du risque cyber en fonction de la maturité de défense de l’établissement, sur la base de 5 indicateurs prédictifs personnalisés.

Une analyse est réalisée grâce à un questionnaire précis traitant de la sécurité informatique et des aspects organisationnels. Deux scenarii d’attaques sont étudiés : la divulgation de données et le ransomware (ou rançongiciel). L’objectif est de fournir une projection de ce qui pourrait se passer en fonction de la maturité du système d’information de l’établissement et de sa capacité réelle à faire face à ce type d’attaque : sur la base d’indicateurs tels que le nombre d’attaques qu’il pourrait subir, la probabilité de réussite, le coût d’une cyber attaque par scénario, la provision annuelle adaptée pour couvrir les coûts d’une attaque…

À partir de ces données,  des solutions de prévention et des recommandations opérationnelles sont proposées pour accompagner les dirigeants à mieux maîtriser leur exposition au risque.

Le 3e niveau consiste à modaliser précisément le système de défense de l’établissement à partir de la prise en compte des mesures de sécurité en place (antivirus, pare-feu, solution de protection contre les phishing…). Sont définis un profil de défense et un score de maturité, et ce, de façon détaillée, par périmètre ou zone définie (par département, réseau…).

Ceci contribue à dégager un plan d’action personnalisé et des recommandations sur les mesures de sécurité à mettre en œuvre, en étudiant l’effort d’investissement, et l’impact de chaque solution. De façon à prioriser les investissements à venir.

L’intérêt de cette approche : améliorer la cybersécurité de l’établissement et sécuriser la prise en charge des patients

L’intérêt d’une telle approche et d’un pilotage efficace du risque cyber est bien de faire baisser le taux d’exposition de l’établissement et d’améliorer sa résilience au profit d’une bonne sécurisation de la prise en charge des patients.
Le risque zéro n’existe pas, surtout en matière de cyberattaque. Aussi, la méthode d’évaluation développée par Citalid et Relyens a ceci de particulier : elle permet in fine de chiffrer avec précision le risque résiduel, grâce à l’évaluation des mesures mises en place, pour permettre aux établissements de transférer ce risque résiduel financier à un assureur qui lui proposera des garanties adaptées pour réagir et réparer les incidents potentiels.

Sur le même sujet

Toutes les publications