Les hôpitaux considèrent l’investissement en cybersécurité comme une faible priorité

L’investissement dans la cybersécurité dans les hôpitaux reste une priorité faible malgré les attaques continues contre les organisations de prestation de soins de santé, selon un rapport de CyberMDX et Philips.

Publié le 12 août 2021, le Rapport Perspectives dans la sécurité des soins de santé examine l’impact des cyberattaques sur les grands et les hôpitaux de taille moyenne, ainsi que les défis auxquels ces organisations sont confrontées pour y répondre.

« Avec l’émergence quotidienne de nouveaux vecteurs de menaces, les organisations de soins de santé sont confrontées à un niveau sans précédent de défis pour leur sécurité », a déclaré Azi Cohen, PDG de CyberMDX.

« Les hôpitaux ont beaucoup en jeu , de la perte de revenus à l’atteinte à la réputation et, plus important encore, à la sécurité des patients. Notre rapport fournit un aperçu critique de l’état actuel de la sécurité des dispositifs médicaux et contribuera à sensibiliser aux problèmes clés et aux déconnexions auxquelles les organisations de soins de santé sont confrontées avec leur cybersécurité.

Le rapport – qui est basé sur une étude menée par la société mondiale d’études de marché Ipsos – a ajouté que « que le piratage soit commis par des gangs notoires tels que REvil ou Conti ou des pirates moins connus, les hôpitaux représentent désormais 30% de toutes les violations de données importantes et à un coût estimé à 21 milliards de dollars rien qu’en 2020 ».

Selon les résultats de l’enquête, 48% des dirigeants d’hôpitaux avaient signalé un arrêt forcé ou proactif au cours des 6 derniers mois à la suite d’attaques ou de requêtes externes.

Cela est conforme aux recherches précédentes de Check Point, qui ont révélé que les cyberattaques dans le secteur de la santé avaient augmenté de 45% entre novembre 2020 et janvier 2021. Il a également constaté que les ransomwares, les botnets, l’exécution de code à distance et les attaques par déni de service distribué (DDoS) étaient les incidents les plus courants auxquels étaient confrontées les organisations de soins de santé.

Cependant, le rapport CyberMDX a révélé que malgré les attaques continues contre les hôpitaux, plus de 60% des équipes informatiques des hôpitaux ont déclaré avoir « d’autres » priorités de dépenses, et moins de 11% ont déclaré que la cybersécurité est une dépense hautement prioritaire.

Le manque de priorité accordée aux dépenses en cybersécurité se produit également malgré des répercussions matérielles élevées, ainsi qu’une prise de conscience claire qu’il y a peu de protection contre les vulnérabilités dangereuses.

Par exemple, le rapport a révélé que l’impact des cyberattaques était beaucoup plus important sur les petits hôpitaux. Parmi ceux qui ont connu une fermeture, les répondants des grands hôpitaux ont déclaré un temps d’arrêt moyen de 6,2 heures à un coût de 21 500 $ l’heure, tandis que les hôpitaux de taille moyenne ont déclaré en moyenne près de 10 heures à plus du double du coût à 45 700 $ l’heure.

La majorité des répondants ont également déclaré que leurs hôpitaux n’étaient pas protégés contre certaines vulnérabilités courantes mais dangereuses. Cela inclut 52% admettant que leurs hôpitaux n’étaient pas protégés contre la vulnérabilité Bluekeep, qui a augmenté à 64% et 75% pour WannaCry et NotPetya respectivement.

En ce qui concerne la réduction des lacunes en matière de sécurité, le rapport laisse entendre que l’automatisation contribuerait grandement à aider les équipes de cybersécurité à obtenir une visibilité sur les appareils vulnérables, car la majorité d’entre eux s’appuient toujours sur des processus manuels pour les calculs d’inventaire.

Par exemple, 65 % des équipes informatiques des hôpitaux s’appuient sur des méthodes manuelles pour le calcul des stocks, tandis que 15 % des hôpitaux de taille moyenne et 13 % des grands hôpitaux ont admis qu’ils n’avaient aucun moyen de déterminer le nombre d’appareils actifs ou inactifs au sein de leurs réseaux.

En janvier 2021, Adam Enterkin, vice-président senior de BlackBerry pour l’Europe, le Moyen-Orient et l’Afrique (EMEA), a déclaré que parce que les organisations de soins de santé sont particulièrement vulnérables à la cybercriminalité – en grande partie en raison d’un manque de grandes équipes de cybersécurité hautement qualifiées – investir dans des technologies automatisées pourrait les aider à protéger leurs actifs.

« L’automatisation est la clé, et la technologie doit prendre le gros du travail. Pour permettre aux professionnels de la santé de donner la priorité à la fois aux soins immédiats et aux cybermenaces omniprésentes, l’IA [artificial intelligence] et l’apprentissage automatique sont la solution, en raison de leurs capacités d’apprentissage continu et de la modélisation proactive des menaces qui gagne en sophistication au fil du temps », a-t-il déclaré.

« Par exemple, si un professionnel de la santé clique sur un lien suspect, des algorithmes de pointe et l’intelligence artificielle peuvent intervenir de manière proactive pour les protéger, en prévenant les menaces telles que les logiciels malveillants, les virus, les ransomwares et les sites Web malveillants. »