Cyberkriminalität: Wie Sie ruhig schlafen können
Protection Des Données & Sécurité Contexte

Les cybermenaces dans le système de santé suisse: identifier les risques et agir correctement

Lisa Wang
Lisa Wang

Les cyberattaques se multiplient, mais nous ne sommes pas sans défense face à elles. La numérisation croissante apporte d’énormes avantages pour les soins médicaux, mais aussi de nouveaux défis pour la sécurité des données et des systèmes sensibles. Les hôpitaux, les cabinets médicaux et autres infrastructures critiques sont certes dans la ligne de mire des cybercriminels, mais ils peuvent se protéger efficacement grâce à des connaissances adéquates, à des mesures ciblées et à une culture commune de la sécurité.

La situation: des attaques qui peuvent mettre des vies en danger

Les cyberattaques dans le système de santé ne sont plus un risque hypothétique mais une réalité. Des exemples comme l’attaque du système d’information hospitalier (SIH) d’un hôpital suisse ou la fuite de données chez un prestataire de services du secteur financier montrent à quel point la menace est réelle. Les attaques suivantes sont particulièrement répandues:

  • Attaques par rançongiciel: ces attaques constituent des tentatives ciblées d’extorsion. Les rançongiciels paralysent les données ou les systèmes critiques en les cryptant. Les cybercriminels exigent une rançon, souvent sous la menace de publier des informations confidentielles.
     

  • Attaques de la chaîne d’approvisionnement (supply chain attack): ces attaques exploitent les vulnérabilités de prestataires tiers tels que les prestataires de services informatiques. Une organisation partenaire insuffisamment protégée et disposant d’accès à un système hospitalier peut ainsi devenir une porte d’entrée pour des attaques sur l’ensemble du réseau. Mais les logiciels dont les vulnérabilités ne sont pas corrigées représentent également un défi permanent pour le secteur de la santé.
     

  • Attaques de phishing: ces attaques sont très répandues en chiffres absolus, car elles servent souvent à préparer des activités malveillantes ultérieures. À cette fin, des e-mails frauduleux (p. ex. au nom d’une banque) sont envoyés aux destinataires pour leur soutirer leurs mots de passe ou leurs données d’accès.
     

  • Cyberespionnage et sabotage: ces deux types d’attaque ont une motivation politique ou économique. Elles visent à voler des informations, telles que des résultats de recherche, à manipuler des systèmes ou à ébranler la confiance dans des infrastructures critiques. Pour ce qui est du cybersabotage, de telles attaques se produisent surtout dans les zones de conflit.
     

  • Attaques DDoS (Distributed Denial of Service): ces attaques ont pour but de surcharger les sites Web et donc les serveurs qui les hébergent en les bombardant d’une multitude de requêtes provenant de différentes sources. Cela entraîne des pannes ou une accessibilité limitée au site Web.

Les conséquences d’une cyberattaque contre une organisation de santé peuvent être graves, tant pour l’entreprise que pour les personnes concernées. Si, par exemple, le SIH est crypté par un rançongiciel, l’accès aux données de patients, aux valeurs de laboratoire ou aux plans de médication n’est soudain plus possible. Cela peut avoir pour conséquence de retarder les diagnostics, de reporter les opérations ou de limiter le traitement des urgences. Dans le même temps, le vol ou la publication de données de santé sensibles peut entraîner une perte considérable de confiance et de réputation. Une attaque peut également avoir de graves conséquences financières, par exemple sous forme de chantage, d’interruption de l’activité, de frais de restauration ou de potentielles demandes de réparation. Un tel incident montre à quel point la médecine moderne est dépendante du bon fonctionnement des processus numériques.

Nouvelle obligation de signaler pour les infrastructures critiques depuis avril 2025

L’obligation de signaler les cyberincidents est un sujet central pour le secteur de la cybersécurité. Depuis le 1er avril 2025, les exploitants d’infrastructures critiques, dont de nombreux établissements de santé, sont légalement tenus de signaler certains incidents à l’Office fédéral de la cybersécurité (OFCS).  Ces messages permettent à l’OFCS d’aider les personnes concernées à faire face aux cyberattaques et d’alerter rapidement les opérateurs d’infrastructures critiques.

Pour le système de santé, cela signifie que les responsables informatiques et de la sécurité doivent repenser leurs processus internes et s’assurer que les responsabilités, les chaînes de notification et les interfaces avec l’OFCS sont clairement définies.

Recommandations

La cybersécurité n’est pas un état que l’on atteint une fois pour toutes, mais un processus continu. Pour prévenir efficacement les attaques ou réagir rapidement en cas d’urgence, une approche réfléchie et coordonnée est nécessaire. Quatre champs d’action principaux devraient être privilégiés:

  1. Vérifier et mettre à jour régulièrement les plans d’urgence: vos plans d’urgence tiennent-ils compte de scénarios tels que la fuite de données, l’arrêt du système ou la panne de communication? Les règles sont-elles clairement définies pour déterminer qui prend les décisions en cas d’urgence ou quand les systèmes critiques doivent être arrêtés ou rétablis?
     
  2. Sécuriser la chaîne d’approvisionnement: les cyberattaques peuvent être menées via des prestataires informatiques en compromettant ces derniers. Cela permet aux cybercriminels d’accéder aux réseaux des clients en aval. Il est donc essentiel de savoir quelles données vos prestataires informatiques traitent et comment celles-ci sont sécurisées. Veillez à ce que les contrats conclus avec les prestataires informatiques régissent notamment les points suivants: obligations de signalement en cas d’incidents, droits d’audit et exigences minimales en matière de cybersécurité.
     
  3. Sensibiliser à la sécurité dans l’entreprise: les mesures de protection techniques ne suffisent pas, il faut une forte culture de la sécurité. Formez vos collaborateurs régulièrement à l’utilisation de l’ingénierie sociale, comme le phishing ou les faux appels téléphoniques. Établissez des procédures claires pour les processus sensibles (p. ex. le principe du double contrôle pour les paiements) et sensibilisez également aux risques dans la sphère privée, tels que les profils publics sur les réseaux sociaux ou les codes QR d’origine inconnue.
     
  4. Partager ses expériences plutôt que se taire: le partage d’informations est l’une des clés de la résilience collective. Entrez en contact avec d’autres organisations, par exemple via le Health Cyber Security Center (Health-CSC) récemment créé. En partageant des informations sur des incidents, vous aidez les autres à détecter et à contrer plus rapidement des attaques similaires et, inversement, vous bénéficiez des connaissances de la communauté.

HIN soutien les professionnels de la santé à la mise en œuvre de ses recommandations via l’écosystème HSS.

La sécurité est une affaire d’équipe

Les cybermenaces sont dynamiques, complexes et souvent invisibles jusqu’à ce qu’il soit trop tard. Une seule mise à jour manquante, un e-mail ouvert par inadvertance ou une interface non sécurisée peuvent suffire à compromettre le fonctionnement de toute une institution. C’est pourquoi la cybersécurité n’est pas uniquement l’affaire du service informatique, mais concerne tous les niveaux d’une organisation. Seule la combinaison de mesures techniques de protection, de processus clairs et d’une vigilance accrue en matière de sécurité permettra de renforcer durablement la résilience numérique. Une approche globale est essentielle: elle doit s’étendre de la direction aux partenaires et prestataires externes, en passant par le personnel spécialisé.

Une compréhension commune des risques, un échange d’informations ouvert et une culture de la sécurité vécue au quotidien permettent d’instaurer la confiance dans l’espace numérique comme dans le quotidien réel du système de santé. Car seule une approche collective de la sécurité garantit une résilience à long terme.

Plus d’informations:

HIN Access SSHN
Health Secure Solutions
OFCS
Healthcare Cyber Security Center (H-CSC)
Lisa Wang
Auteur: Lisa Wang - Security Officer

En tant qu’experte en sécurité informatique, je vous informe des défis actuels sur le réseau. En outre, je vous révèle comment vous pouvez facilement vous protéger contre les cybermenaces, et j’explique les notions et concepts liés au thème de la sécurité de l’information. Découvrez avec moi comment nous pouvons ensemble rendre le monde numérique du système de santé un peu plus sûr.

Expertise
Avant mes études en criminalistique numérique, j’avais déjà acquis une première expérience dans le domaine de la sécurité informatique. Pendant mes études, j’ai approfondi mes connaissances de manière ciblée et me suis spécialisée dans l’analyse et l’étude de systèmes et processus informatiques. J’ai ensuite acquis plus de 8 ans d’expérience en sécurité informatique, notamment dans le secteur bancaire, ce qui m’a permis d’élargir continuellement mes compétences en matière d’identification des vulnérabilités et des risques, et de définition de mesures de protection. Depuis 2024, je suis Security Officer chez HIN. Dans ce rôle, j’examine nos processus, notre infrastructure et nos systèmes afin d’identifier les vulnérabilités et les risques, et je définis des mesures de protection appropriées pour HIN.

Sur ma personne
Pour me détendre et me ressourcer pendant mon temps libre, je pratique différentes activités, comme la lecture, la marche et le yoga. Quand j’ai un bon livre entre les mains, j’oublie tout le reste pendant des heures et découvre de nouveaux univers. Une promenade dans la nature, en forêt ou au bord d’un lac me permet de mettre de l’ordre dans mes pensées et de me rafraîchir. Le yoga est pour moi une autre manière d’harmoniser mon corps et mon esprit et de me recentrer. J’apprécie aussi beaucoup le temps que je passe avec ma famille et mes amis, que ce soit autour d’un repas ou lors d’une excursion dans les montagnes suisses.

Autres articles de Lisa Wang

Avis de cookie