Multiplication des cyberattaques, dysfonctionnements prolongés des services, interruptions dans la prise en charge des patients : autant de signes que le secteur de la santé reste une cible privilégiée pour les cybercriminels. Bien que le coût moyen d’une violation ait diminué de 10 % selon le rapport « Cost of a Data Breach » d’IBM, le secteur demeure celui où l’impact financier reste le plus élevé. En dépit des efforts consentis en formation et en surveillance, les menaces évoluent plus vite que les capacités de défense.
Par Daniel Crowe, Area Vice President Europe du Sud & Benelux chez NETSCOUT
Cette fragilité a des conséquences tangibles : dans son rapport de janvier 2025, la Cour des comptes alerte sur des effets dramatiques pour les soins apportés aux patients. Face à l’intensification des attaques et à l’absence de solution pérenne, il devient urgent de repenser les stratégies de cybersécurité, en ciblant à la fois l’efficacité des réponses et la maîtrise des coûts.
Une surface d’attaque dense et complexe à contenir
Dans ce contexte, il est essentiel de comprendre ce qui rend les systèmes de santé si vulnérables. Ces infrastructures combinent informations sensibles, technologies de pointe et interconnexions massives, ce qui en fait une cible de choix. Le rapport IBMsouligne leur vulnérabilité face aux perturbations, souvent dues à leur dépendance à des technologies anciennes.
Les cybercriminels exploitent cette fragilité via des techniques comme le phishing ou les ransomwares, ciblant les données critiques et les dispositifs connectés. Or, ces environnements comptent souvent des dispositifs difficiles à sécuriser, comme certains objets connectés médicaux (Internet of Medical Things, IoMT), ainsi que des infrastructures anciennes parfois impossibles à mettre à jour.
Ces points d’entrée facilitent des attaques latérales, qui circulent discrètement d’un système à l’autre. Alors même que les dispositifs de prévention progressent, les assaillants adaptent leurs méthodes, rendant les attaques plus ciblées et plus furtives.
Pourquoi les approches traditionnelles ne suffisent plus
C’est précisément cette évolution des menaces qui met en lumière les limites des approches classiques. Les outils traditionnels peinent à suivre le rythme. Les logiciels malveillants visent de plus en plus les périphéries du réseau. Les dispositifs non gérés, parfois même ignorés par les équipes IT, demeurent des angles morts dangereux.
Lorsque la visibilité fait défaut, ces actifs restent hors du champ de contrôle. Faute de surveillance adaptée, les intrusions peuvent se prolonger dans le temps sans être détectées. Dans bien des cas, seul un comportement inhabituel, tel qu’un transfert latéral massif de fichiers, trahit la compromission, souvent bien avancée.
Dans ces conditions, les équipes SecOps doivent recouper les données de veille pour identifier des partenaires ou fournisseurs potentiellement compromis, surtout en cas d’interconnexion des systèmes.
Visibilité réseau : comprendre pour mieux prévenir
Face à ces limites, la solution réside dans une meilleure visibilité du réseau. Ce n’est qu’en observant en profondeur les échanges de données qu’il devient possible de détecter les anomalies. Il faut comprendre les schémas de communication, pas seulement constater qu’un flux existe.
La surveillance du trafic est essentielle pour repérer les mouvements latéraux et signaler une intrusion. Elle commence par une localisation précise des ressources et l’analyse de leur comportement, pour établir une référence de fonctionnement.
Cette connaissance fine, basée sur les données extraites directement des paquets réseau, constitue la base d’une détection proactive. Elle réduit donc la probabilité d’une attaque ou en limite l’impact, et permet une réponse plus rapide, devant ainsi un outil de mitigation stratégique. Or, beaucoup d’organisations n’ont pas cette visibilité, notamment sur les communications internes entre serveurs.
Cybersécurité : une affaire de stratégie, pas seulement de technologie
Cette exigence de visibilité ne peut être réduite à une simple question de technologie. L’arrivée de l’intelligence artificielle (IA) et le déploiement du programme gouvernemental CaRE constituent des avancées importantes, mais ne suffisent pas à répondre à la sophistication des menaces actuelles. Leur efficacité reste conditionnée à une stratégie claire et cohérente, capable d’orchestrer les moyens techniques autour d’une vision globale de la sécurité.
Même les dispositifs les plus avancés, capables de détecter et de neutraliser les menaces en temps réel, perdent en efficacité lorsqu’ils opèrent sans cadre unifié. En l’absence d’une politique de visibilité bien définie, les initiatives technologiques restent fragmentées, isolées, et donc peu pérennes.
C’est dans ce contexte que des actions comme la diffusion du kit d’exercice de crise par l’Agence du Numérique en Santé prennent tout leur sens. Elles traduisent une volonté de renforcer la préparation opérationnelle du secteur, en misant sur la sensibilisation et la montée en compétence des acteurs.
Pour autant, seule une visibilité réseau transversale permet de détecter des intrusions discrètes susceptibles de rester indétectées pendant des mois. L’analyse comportementale des actifs critiques devient alors un outil central pour anticiper, circonscrire et neutraliser une attaque avant qu’elle ne compromette l’intégrité des systèmes.
Garantir la continuité des soins : l’enjeu réel de la cybersécurité
En définitive, la cybersécurité dans le secteur de la santé ne peut être dissociée de la mission première de ces établissements : garantir la continuité des soins. Si l’investissement dans l’innovation technologique demeure essentiel, il ne saurait primer sur la capacité à maintenir les services en toute circonstance.
C’est ce qui fait de la cybersécurité un enjeu collectif, qui dépasse le seul cadre technique pour impliquer l’ensemble des parties prenantes – équipes soignantes, directions, DSI, prestataires. Assurer la protection des environnements critiques implique une approche transversale, structurée et pérenne.
La visibilité réseau ne relève donc plus d’un simple outil de supervision, mais devient une composante structurelle de la résilience des systèmes, une condition préalable à toute réponse cohérente face aux crises.
