Depuis le début de l'épidémie, divers prestataires de soins de santé et établissements universitaires du monde entier ont été ciblés par des cyberattaques complexes et coordonnées.

Pour ne donner que quelques exemples, une cyberattaque a été interrompue de justesse sur le réseau d'un hôpital tchèque en mars, plusieurs en Europe, et certaines en France.

Toujours en mars, une autre a frappé un groupe d'essai de vaccins au Royaume-Uni, une autre a touché l’Agence de santé Américaine, une autre entreprise qui a construit les hôpitaux d’urgence Covid-19 au Royaume-Uni en mai, et plusieurs attaques en juillet contre des universités britanniques, américaines et canadiennes travaillant sur le vaccin Covid-19.

Ces cybercriminels tirent parti de l’ensemble des vulnérabilités offertes par l’utilisation des "systèmes d’information".

Toutefois, la crise actuelle de la Covid-19 semble engendrer une rupture de paradigme dans ce domaine, non seulement par l’ampleur des attaques menées, mais surtout eu égard aux cibles choisies, et de l’impact vital des conséquences de l’attaque en période de crise sanitaire.

Ainsi, même des organisations épargnées jusqu’alors en période de crise font dorénavant l’objet d’attaques massives et ce phénomène inédit conduit à s’interroger sur une nécessaire adaptation du management stratégique.

Les organismes de réglementation internationaux et nationaux ont souligné le besoin urgent pour les prestataires de santé et les universités de se protéger contre ces cyberattaques.

Les motivations sont multiples : malveillances politiques, rançons et escroqueries, et plus encore compétitivité et vol de propriété intellectuelle dans le cadre des travaux de recherches et de modélisation sur la thérapeutique expérimentale (vaccins et autre).

Il est donc essentiel que les prestataires de soins et les universités s'assurent qu'ils sont informés, protégés et préparés à répondre à toute cybermenace.

Voici un rappel de quelques principes clés de la cybersécurité face au Covid-19, issus de la littérature pour les organisations de soins de santé et les établissements universitaires.

S'équiper d'une infrastructure informatique performante

Investir dans une infrastructure informatique moderne avec gestion efficace des correctifs et protection contre les logiciels malveillants

Le sous-investissement en matériel et en personnel qualifié en informatique est un risque considérable en cette période très vulnérable.

Les coûts des attaques peuvent atteindre 100 voire 1 000 fois le coût des ressources "économisées" par non-action.

Former le personnel aux cyberattaques

Les établissements doivent s'assurer que tout le personnel est formé aux risques des cyberattaques les plus courantes, notamment :

• les messages d’incitation à télécharger des applications malveillantes ;
• Les e-mails de fishing déguisés dans les mises à jour de données officielles sur l’épidémie qui diffusent des logiciels malveillants via des pièces jointes ou des liens ;
• Les logiciels espions ou logiciels malveillants intégrés aux sites Web interactifs Covid-19.

Adopter les bonnes pratiques de cybersécurité

Adopter une bonne "cyber-hygiène" en intégrant dans les habitudes de travail quotidiennes du personnel :

• l’utilisation de mots de passe forts ;
• l’interdiction stricte d'ouvrir des e-mails et des liens inconnus ;
• l’activation permanente des protections antivirales par pare-feu au travail et encore plus à la maison. Le risque est particulièrement important avec l’augmentation du télétravail, surtout en recherche.

En conclusion 

Rien de bien extraordinaire dans ces mesures, sinon que nous n’en appliquons quasiment aucune ni institutionnellement, ni individuellement…

A lire aussi sur macsf.fr : "Coronavirus et l’obligation de protection des données de santé"

• Bhuyan, S.S., Kabir, U., Escareno, J.M. et al. Transforming Healthcare Cybersecurity from Reactive to Proactive : Current Status and Future Recommendations. J Med Syst 44, 98 (2020) 
• Les cyberattaques ont changé de nature pendant le Covid-19, 2 juin 2020, 19:35 CEST 
• Menaka Muthuppalaniappan, LLB, Kerrie Stevenson, MBChB, Healthcare Cyber-Attacks and the COVID-19 Pandemic : An Urgent Threat to Global Health, International Journal for Quality in Health Care, mzaa117
• Pandemic profiteering : how criminals exploit the COVID-19 crisis. European Union Agency for Law Enforcement Cooperation