En 2023, les établissements de santé et les établissements et services médico-sociaux (ESMS) ont signalé 581 incidents de sécurité de leur système d’information (SI), contre 592 en 2022. Parmi ces incidents, dont la moitié était d'origine malveillante, 67 ont concerné des Ehpad, 24 des ESMS du champ du handicap et 40 des ESMS relevant d'une autre catégorie.
Dans son dernier rapport annuel, l'Observatoire des signalements d’incidents de sécurité constate que les ESMS sont particulièrement visés par la « menace rançongiciel » (logiciel malveillant ou virus bloquant l’accès à l’ordinateur et réclamant le paiement d’une rançon pour en permettre de nouveau l’accès). Conséquence : ces structures ont dû « mettre en place un mode dégradé de fonctionnement qui pouvait s’étendre sur plusieurs semaines ».
Le document pointe, parmi les faiblesses des établissements, la sécurisation insuffisante des services (portail web, accès à distance, etc.). Il encourage ainsi, entre autres, à renforcer « les configurations et la sécurisation des accès ».
L'Observatoire précise par ailleurs qu'à partir d'octobre 2024, certains établissements « seront contraints d’élever leur niveau de sécurité dans le cadre de la mise en œuvre de la réglementation NIS 2 » (norme européenne qui doit être adoptée au niveau national). Ces nouvelles exigences « couvrent toutes les dimensions de la cybersécurité (organisationnelle et technique) ».
À lire également :