La transformation numérique rapide du secteur de la santé amplifie les cybermenaces
Le secteur des soins de santé se numérise rapidement. C’est une bonne chose. La technologie permet un meilleur diagnostic, un traitement à distance et un suivi en temps réel. Vous gagnez en échelle, en efficacité et, encore une fois, en qualité des soins. Mais cette rapidité a un coût, celui de l’exposition. Chaque nouveau système, chaque appareil, chaque point d’extrémité que vous connectez au réseau devient un point de défaillance possible. Et dans le domaine de la santé, une défaillance signifie plus qu’un simple temps d’arrêt, elle peut signifier une perte de vie.
Il s’agit de la compromission de systèmes clés. Pensez aux ventilateurs qui délivrent des niveaux d’oxygène incorrects ou aux pompes à perfusion qui administrent le mauvais dosage, parce qu’un opérateur de ransomware s’y est introduit. Chaque couche de technologie ajoutée aux soins de santé accroît la complexité opérationnelle. Il faut y prêter une attention constante. Les pirates informatiques s’adaptent plus rapidement que les hôpitaux traditionnels ne peuvent le faire.
Kory Daniels, responsable de la sécurité de l’information chez Trustwave, a mis le doigt sur le problème dans ses récentes remarques. Il a déclaré que le secteur des soins de santé est confronté à « un éventail de risques que peu d’autres industries doivent affronter ». Il a raison. La combinaison de données personnelles sensibles, de la dépendance à l’égard d’appareils toujours actifs, de systèmes vieillissants et d’investissements limités en matière de cybersécurité fait des soins de santé une cible de choix. .
Pour illustrer le problème par des chiffres : 45 % des cyberattaques ont visé des vulnérabilités dans des applications publiques. Plus de la moitié d’entre elles ont exploité Log4j, une vulnérabilité simple mais dévastatrice.
Vous êtes confronté à un risque opérationnel, à une responsabilité juridique et à une atteinte à la réputation, tout à la fois. Le défi à relever ? Sécuriser votre frontière numérique sans ralentir l’innovation. Ce n’est pas facile, mais c’est nécessaire.
Les systèmes existants et une gestion inadéquate des informations d’identification et des correctifs alimentent les lacunes en matière de sécurité.
Parlons du problème évident, et encore trop souvent ignoré, de l’informatique dans le secteur des soins de santé : les systèmes obsolètes. Les hôpitaux utilisent logiciels hérités qui auraient dû être retirés il y a des années. Ces plateformes n’ont jamais été conçues pour gérer l’échelle, le nombre d’utilisateurs ou le niveau de connectivité exigés par l’écosystème numérique d’aujourd’hui. Et l’écart entre ce qui est nécessaire et ce qui est actuellement en place ne cesse de se creuser.
À cela s’ajoutent des défaillances opérationnelles de base. De nombreux prestataires de soins de santé retardent l’application des correctifs logiciels ou ne les appliquent pas du tout. La gestion des informations d’identification est un autre point faible. Les connexions avec des mots de passe faibles, les privilèges administratifs inutiles et les autorisations d’accès rarement mises à jour créent des points d’entrée faciles pour les attaquants. Il s’agit de pirates qui exploitent des portes ouvertes laissées sans surveillance.
Les rapports de Trustwave soulignent que les mauvaises pratiques en matière de correctifs et les politiques insuffisantes en matière d’informations d’identification sont parmi les causes profondes les plus courantes des violations dans le secteur de la santé. Ces problèmes sont fréquents et prévisibles. Et lorsque les systèmes sont compromis, il en résulte des perturbations opérationnelles, des retombées réglementaires et, dans certains cas, des menaces pour la vie humaine.
Cette question est importante au niveau de la direction. Ces vulnérabilités sont le résultat direct de décisions organisationnelles concernant l’endroit et la manière d’investir dans l’infrastructure et les protocoles de sécurité. Lorsque vous laissez des systèmes existants en place sans voie de mise à niveau claire et que vous n’instaurez pas d’hygiène obligatoire en matière d’informations d’identification, vous invitez au risque.
La solution réside dans de meilleures habitudes. Établissez une cadence de correctifs. Renforcez le contrôle des identités à grande échelle. Mesurez-le. Lorsque la technologie est essentielle à la mission, comme c’est le cas dans les hôpitaux, sa sécurité doit être traitée avec la même urgence que sa fonctionnalité. Les risques ne se soucient pas de l’étendue de votre service informatique. Ils se soucient uniquement de la facilité d’accès. Veillez à ce qu’il soit rigoureux. Restez à jour. Ou continuez à nettoyer après la crise.
Les chaînes d’approvisionnement étendues augmentent la vulnérabilité aux risques liés aux tiers et aux problèmes de conformité.
Les soins de santé ne fonctionnent pas en vase clos. Ils s’appuient sur des vendeurs, des fournisseurs, des prestataires de technologie et des partenaires de service, des centaines d’entités externes qui soutiennent les opérations cliniques, les systèmes informatiques, l’équipement médical, la logistique, etc. Chacune d’entre elles touche à l’infrastructure critique sous une forme ou une autre. C’est là que le bât blesse. La plupart d’entre elles n’ont pas été construites en faisant de la cybersécurité une priorité, et encore moins sont gérées selon un cadre de risque unifié.
Plus la chaîne d’approvisionnement est large, plus la surface d’attaque est importante. Les attaquants le savent. Au lieu de s’attaquer à la partie la plus sécurisée de votre système, ils s’attaquent à la plus faible. De plus en plus, les fournisseurs tiers dont les normes de défense sont moins strictes sont utilisés comme points d’entrée dans les grands écosystèmes de soins de santé. Une fois à l’intérieur, les attaquants peuvent se déplacer latéralement, siphonner des données ou perturber des services.
La conformité est un autre point de friction. Les obligations réglementaires, qu’il s’agisse de l’HIPAA, du GDPR ou des lois régionales sur les données de santé, ne permettent pas d’excuses. Si un partenaire laisse tomber et expose des informations protégées, votre organisation reste responsable. Cette responsabilité est financière, opérationnelle et réputationnelle. Selon l’étude de Trustwave, de nombreux risques de conformité dans le secteur de la santé découlent directement d’une visibilité et d’une surveillance insuffisantes de la chaîne d’approvisionnement.
Il s’agit d’une question de leadership. Vous ne pouvez pas externaliser la responsabilité de la sécurité des tiers. Les dirigeants ont besoin d’un contrôle, pas de suppositions. Cela signifie qu’il faut définir des exigences de sécurité de base pour chaque fournisseur. Cela signifie qu’il faut cartographier votre écosystème externe et comprendre qui a accès à quoi, quand et pourquoi. Vous comblez ces lacunes par des contrats qui incluent des obligations en matière de sécurité et par des outils qui contrôlent la conformité en permanence.
Le système de soins de santé est complexe par nature. Mais la gestion des menaces dans ce système ne doit pas être réactive. Un modèle de sécurité de la chaîne d’approvisionnement contrôlé, appliqué et responsable réduira l’exposition, améliorera la continuité opérationnelle et renforcera la position de conformité. S’ils ne sont pas gérés, les partenariats destinés à améliorer le service peuvent rapidement devenir des responsabilités. Agissez avant que cela ne se produise.
Les rançongiciels continuent de représenter une menace, en particulier pour les organismes de santé publique et les organismes gouvernementaux de soins de santé.
Les rançongiciels reste l’une des plus grandes menaces opérationnelles dans le secteur de la santé. Il est perturbateur, rapide et délibérément ciblé. Les acteurs malveillants savent que les services de santé ne peuvent pas se permettre de temps d’arrêt. C’est pourquoi ils ciblent en priorité les hôpitaux, les organismes de santé publique et les établissements gérés par le gouvernement, ce qui les oblige à prendre des décisions rapides et à réagir de toute urgence.
Les attaques bloquent les dossiers médicaux, les systèmes de diagnostic, voire les appareils nécessaires à un traitement en temps réel. L’objectif est de créer une pression suffisante pour que le paiement de la rançon soit considéré comme la solution la plus rapide. Mais cela ne résout pas le problème ; cela ne fait que renforcer le modèle d’incitation des attaquants à revenir.
Les données de l’étude 2025 de Trustwave le confirment : 21% des attaques de ransomware visaient directement les systèmes de santé publics et gouvernementaux. Plus de la moitié (51 %) ont touché des organismes de santé aux États-Unis. Un acteur spécifique, Ransomhub, est responsable de 9 % de toutes les attaques identifiées. Cette concentration d’activités n’est pas fortuite. Elle montre à quel point le paysage des menaces est devenu structuré et délibéré.
Les décideurs du secteur de la santé doivent comprendre que les ransomwares ont un impact sur la prestation des soins, le respect des réglementations et la confiance du public. Si les patients ne peuvent pas accéder à un traitement parce que les systèmes sont bloqués, il s’agit d’une incapacité directe à fournir des soins.
Les bonnes stratégies doivent aller au-delà de la réaction et s’orienter vers la prévention. Cela inclut des systèmes segmentés, des sauvegardes immuables, des protocoles d’isolation rapide et une gestion agressive des correctifs. Les organisations de grande valeur doivent considérer qu’elles sont des cibles aujourd’hui et non plus tard.
Le contrôle de la direction, soutenu par l’investissement dans les défenses de première ligne, détermine la rapidité avec laquelle vous vous rétablissez, ou si vous êtes touché dès le départ. Faites preuve de discernement. Soyez prêt.
La série d’études de Trustwave fournit des informations exploitables sur la cybersécurité dans le secteur de la santé
Le secteur de la santé a besoin d’une orientation claire, étayée par des données. Les derniers rapports de recherche 2025 de Trustwave expliquent où sont les points faibles et comment les attaquants les exploitent. Il s’agit d’un ensemble d’informations testées sur le terrain que les équipes dirigeantes peuvent utiliser pour prendre des décisions immédiates en matière de gestion des risques, de mise à niveau de l’infrastructure et d’investissements dans la sécurité.
Les rapports, « 2025 Trustwave Risk Radar Report : Healthcare Sector », « Healthcare Sector Deep Dive : Unmasking Security Gaps » et « Healthcare Sector Deep Dive : Tendances et impact des ransomwares », décomposent les méthodes d’attaque les méthodes d’attaque les plus courantes, les facteurs à l’origine des violations et les points de vulnérabilité persistants. Ils fournissent également des informations actualisées sur le comportement des adversaires, les modèles de déploiement des ransomwares et les problèmes récurrents tels que la mauvaise gestion des informations d’identification ou les logiciels obsolètes dans les systèmes de chemin critique.
C’est ce niveau d’analyse que les conseils d’administration ont besoin de voir. Il met l’accent sur ce qui importe le plus, les systèmes qui sont exposés, les processus qui sont exploitables et les lacunes qui peuvent être comblées par une action appropriée. Les dirigeants n’ont pas besoin d’examens détaillés du code. Ils ont besoin de comprendre où le risque est concentré et comment il affecte directement les services aux patients, les mandats de conformité et l’exposition aux coûts. L’étude de Trustwave répond à ces besoins.
Les données sont claires. Trustwave a constaté que 45 % des attaques exploitaient des applications publiques et que plus de la moitié d’entre elles utilisaient les vulnérabilités de Log4j. En ce qui concerne les ransomwares, 21 % des cas ont ciblé des organismes publics de santé et des entités gouvernementales, et 51 % ont frappé des organismes de santé basés aux États-Unis.
Si votre organisation n’a pas examiné ces rapports, vous passez à côté d’informations essentielles. L’environnement des cybermenaces évolue rapidement, tout comme la qualité des informations disponibles pour s’en défendre. Utilisez-les.
Principaux enseignements pour les décideurs
- Les soins de santé numériques sont attaqués : L’essor de la télésanté, de l’IA et des dispositifs médicaux connectés a accru l’exposition du secteur de la santé aux cybermenaces. Les dirigeants doivent aligner la cybersécurité sur les priorités cliniques afin de protéger à la fois les données et les résultats pour les patients.
- Les systèmes existants présentent un risque réel : Les logiciels obsolètes, les correctifs manqués et les politiques d’identification laxistes restent les principaux facteurs de violation. Les dirigeants doivent donner la priorité aux mises à jour des systèmes et appliquer des protocoles stricts de gestion des identités et des correctifs dans l’ensemble de l’organisation.
- Les fournisseurs tiers exposent les systèmes critiques : Les chaînes d’approvisionnement étendues des soins de santé introduisent des vulnérabilités qui compromettent la conformité et l’intégrité opérationnelle. Les dirigeants doivent mettre en œuvre des exigences strictes en matière de sécurité des fournisseurs et procéder à des évaluations continues des risques liés aux tiers.
- Les rançongiciels ciblent les services de santé publics et américains : Les attaques opportunistes se multiplient contre les services de santé publique et les fournisseurs basés aux États-Unis, car les services critiques sont soumis à une pression accrue pour payer. Les décideurs devraient investir dans une infrastructure préventive, des systèmes segmentés et des plans de réponse aux incidents testés.
- Utilisez les renseignements sur les menaces pour garder une longueur d’avance : Les rapports 2025 de Trustwave fournissent une analyse fondée sur des données concernant les principaux risques, les modèles d’attaque et les faiblesses des systèmes auxquels sont confrontés les organismes de santé. Les dirigeants devraient utiliser ces informations pour guider les investissements proactifs en matière de sécurité et la surveillance des risques au niveau de la direction.