Southern Ohio Medical Center, un hôpital à but non lucratif de Portsmouth, Ohio, a annulé des rendez-vous pour aujourd'hui et détourne des ambulances après avoir été touché par une cyberattaque jeudi. Cela fait partie d'une série d'attaques croissantes contre les organisations de soins de santé au cours des deux dernières années – une tendance qui pourrait avoir de graves conséquences pour les soins aux patients.
Mais alors que les experts en technologies de l'information sont bien conscients que le risque de cyberattaques qui compromettent les données des patients et arrêtent les systèmes informatiques est en augmentation, les patients ne semblent pas l'être, selon un nouveau rapport de la société de cybersécurité Armis. En fait, plus de 60 % des personnes interrogées dans le grand public dans le nouveau rapport ont déclaré qu'elles n'avaient entendu parler d'aucune cyberattaque dans le domaine de la santé au cours des deux dernières années.
Cela malgré un doublement des cyberattaques contre les établissements de santé en 2020, des incidents très médiatisés comme l'attaque contre la chaîne hospitalière Universal Health Services et une menace majeure de groupes utilisant le ransomware Ryuk. L'ampleur des attaques pendant la pandémie de COVID-19 a choqué les experts, qui ont déclaré que les gangs de ransomware ciblaient les hôpitaux de manière plus agressive qu'auparavant. Contrairement aux attaques contre des banques ou des écoles, qui sont également courantes, ces attaques ont le potentiel de blesser directement des personnes.
“Cela franchit une ligne que je pense que toute la communauté de la cybersécurité ne pensait pas qu'elle allait être franchie de si tôt”, a déclaré Caleb Barlow, PDG de la société de conseil en cybersécurité CynergisTek, à The Verge l'année dernière.
Le rapport Armis a interrogé 400 professionnels de l'informatique dans le secteur de la santé et plus de 2 000 personnes dans le grand public qui pourraient potentiellement être des patients dans des établissements de santé aux États-Unis. Bien que le nombre de personnes interrogées soit faible, les résultats indiquent que les membres du public ne sont généralement pas au courant des cyberattaques dans le secteur de la santé, à moins qu'ils n'en aient été directement touchés.
Alors que 61% des patients potentiels interrogés n'avaient pas entendu parler de cyberattaques dans le domaine de la santé ces dernières années, environ un tiers des personnes interrogées ont déclaré avoir été victimes d'une cyberattaque dans le système de santé. En supposant que la plupart des personnes du groupe qui ont été victimes d'une cyberattaque en aient entendu parler, seul un petit pourcentage des personnes interrogées ont entendu parler d'attaques dans le domaine de la santé sans en être victime.
« Les attaques contre les systèmes hospitaliers ne sont vraiment pas une priorité tant qu’elles ne vous affectent pas directement », déclare Oscar Miranda, directeur de la technologie des soins de santé chez Armis.
Le rapport a également mis l'accent sur un écart entre la sensibilisation des gens aux cyberattaques dans le domaine de la santé et leur niveau d'inquiétude face au problème. Environ la moitié des personnes interrogées ont déclaré qu'elles changeraient d'hôpital en cas de cyberattaque, et plus de 70 % ont déclaré qu'elles pensaient que les attaques pourraient avoir des conséquences sur leurs soins.
Ces inquiétudes sont justifiées : les organisations de soins de santé affirment que les ransomwares retardent les procédures pour les patients et peuvent entraîner des séjours à l'hôpital plus longs. Une analyse de la Cybersecurity and Infrastructure Security Agency des États-Unis a également montré que les hôpitaux luttant contre les attaques de ransomware pendant la pandémie de COVID-19 ont atteint un point de basculement associé à un excès de décès plus rapidement que les hôpitaux n’en traitant pas.
La cybersécurité n'a historiquement pas été une priorité pour les organisations de soins de santé, dont beaucoup n'ont pas les ressources pour investir dans ce domaine. Mais les pics d'attaques de ransomware contre les hôpitaux au cours des deux dernières années, couplés aux nouvelles recherches montrant des liens entre les cyberattaques et les résultats pour la santé, poussent les groupes à apporter des changements. Dans l'enquête Armis, les trois quarts des experts en informatique ont déclaré que le pouls constant des nouvelles sur les attaques de ransomware a conduit à une pression pour davantage d'investissements dans la cybersécurité.
« Je pense que nous faisons des progrès dans la lutte contre les ransomwares », déclare Miranda.