Un nouveau rapport confirme ce que craignaient de nombreux acteurs du secteur de la santé : les cyberattaques ne sont plus seulement un problème informatique ; ils constituent une menace directe pour la sécurité des patients. Le quatrième rapport annuel, intitulé «Cyber-insécurité dans les soins de santé : coût et impact sur la sécurité et les soins des patients 2025« , a été publié aujourd’hui par la société de cybersécurité Point de preuve et le Institut Ponémon. Après avoir interrogé 677 professionnels américains de l’informatique du secteur de la santé, les résultats sont sans appel : 72% des établissements de santé qui ont été attaqués ont signalé une perturbation des soins aux patients, contre 69 % l’année dernière. C’est important parce que « perturbation » est un mot doux pour décrire ce qui se passe. Le rapport relie ces attaques à des complications accrues dans les procédures médicales, à des séjours hospitaliers plus longs et à des taux de mortalité des patients encore plus élevés.
Le coût élevé d’une faille de sécurité
Pendant des années, le coût d’une cyberattaque s’est mesuré en dollars. Ce rapport, cependant, le mesure dans les résultats pour les patients. Les données dressent un sombre tableau d’un secteur constamment assiégé, avec 93% des organisations ont subi au moins une cyberattaque au cours de l’année écoulée, soit une moyenne de 43 attaques par organisation. Pensez-y de cette façon : la panne du réseau d’un hôpital n’est pas seulement une « nuisance opérationnelle ». C’est une menace directe pour votre santé. Lorsque les systèmes sont compromis, les conséquences sont immédiates et graves :
- 54% des organisations ont signalé une augmentation complications d’une procédure médicale.
- 53% vu les séjours des patients s’allonger.
- 29% a rapporté que les taux de mortalité ont augmenté comme conséquence directe de la cyberattaque.
Même si le coût moyen de l’attaque la plus importante a légèrement diminué pour atteindre 3,9 millions de dollarsles paiements de rançons augmentent. La rançon moyenne payée par les hôpitaux a grimpé à 1,2 million de dollarssoit une augmentation de 60 % par rapport à 2022.
Toutes les attaques ne sont pas égales
Les chercheurs ont étudié quels types d’attaques spécifiques causaient le plus de dégâts. Il s’avère que la plus grande menace n’est pas toujours celle dont on entend le plus parler.
- Attaques de la chaîne d’approvisionnement : Bien que moins courants, il s’agissait des le plus probable pour avoir un impact sur les soins aux patients. Lorsqu’une attaque touche un fournisseur tiers, 87% des hôpitaux ont signalé une interruption des services aux patients.
- Compromission de messagerie professionnelle (BEC) : C’est lorsqu’un escroc se fait passer pour un médecin ou un administrateur par courrier électronique. C’était l’attaque la plus susceptible de provoquer retards dans les procédures et les tests qui ont abouti à de mauvais résultats (65 %).
- Rançongiciel : C’était la principale cause de séjours hospitaliers plus longs (67 %) et contraint les hôpitaux à détourner ou à transférer les patients vers d’autres établissements (50 %).
- Compromission cloud/compte : Il s’agissait de l’attaque la plus courante, touchant 72% d’organisations. De manière alarmante, 36% parmi ceux qui ont subi cette attaque ont signalé des taux de mortalité plus élevés.
Le problème est humain
Alors, à qui la faute ? Les pirates informatiques sont la réponse évidente, mais le rapport souligne un problème interne plus complexe : nous. L’étude a révélé que 96% des organisations Il y a eu au moins deux incidents de perte ou de vol de données sensibles au cours des deux dernières années. Les principales causes n’étaient pas des hacks sophistiqués mais de simples erreurs humaines : 35% étaient dus au non-respect des politiques par les employés, et 25% provenaient d’employés involontairement envoyer les données des patients à la mauvaise personne par e-mail. Il ne s’agit pas seulement d’un problème de confidentialité ; c’est une question de sécurité. Dans 55 % de ces incidents de perte de données, les soins aux patients ont été perturbés. De ce groupe, un choquant 54 % ont constaté une augmentation des taux de mortalité.
Quelle est la solution ?
Voici le véritable problème : le principal obstacle à la résolution de ce problème n’est pas l’argent. Les budgets pour la sécurité informatique sont en hausse. Le vrai problème, selon l’enquête, est le manque de expertise interne (43%) et un absence de leadership clair (40%). « Les résultats de cette année sont un signal d’alarme pour le secteur de la santé », a déclaré le Dr Larry Ponemon, fondateur du Ponemon Institute. « La cause première de nombreux incidents réside dans des facteurs humains : négligence, risque interne et manque de sensibilisation à la cybersécurité. » Le rapport indique clairement que les établissements de santé doivent cesser de considérer la cybersécurité comme un problème informatique de back-office. Comme le dit Ryan Witt de Proofpoint, « la sécurité des patients est indissociable de la cybersécurité ». Les prochaines étapes doivent être « centrées sur l’humain », axées sur une meilleure formation et des solutions plus intelligentes.
