Le dernier rapport d'IO sur l'état de la sécurité de l'information dresse le portrait d'un secteur de la santé soumis à une pression constante. Les organisations sont responsables de la protection des données hautement sensibles, du maintien de la disponibilité permanente des services et de la coordination au sein d'écosystèmes cliniques, opérationnels et de fournisseurs complexes. Lorsque les contrôles de sécurité sont défaillants, les conséquences vont bien au-delà des pertes financières et touchent la sécurité des patients, la continuité des services et la confiance du public.

Les conclusions du rapport de cette année montrent que les responsables de la sécurité des soins de santé doivent composer avec des exigences réglementaires croissantes, des contraintes persistantes en matière de personnel et de budget, et une dépendance accrue aux prestataires externes. Si les menaces liées à l'IA émergent clairement, les données suggèrent que les principaux défis du secteur sont d'ordre structurel : résilience, gouvernance, capacité des effectifs et difficulté à adapter la sécurité et la conformité dans des environnements complexes.

Parmi nos répondants figuraient des responsables de haut niveau en cybersécurité et sécurité de l'information au sein des écosystèmes de santé britannique et américain. Leurs réponses révèlent où se concentrent les risques, comment les incidents se concrétisent et ce qui détermine les priorités pour l'année à venir.

Ci-dessous, nous décortiquons 11 statistiques clés que tout dirigeant du secteur de la santé devrait connaître, tirées du rapport de cette année.

 

Statistiques clés sur la sécurité de l'information dans le secteur de la santé

  1. 67 % affirment que la nature du secteur de la santé rend particulièrement difficile la mise en œuvre de mesures efficaces de sécurité de l'information.
  2. 77 % des personnes interrogées affirment que la rapidité et l'ampleur des changements réglementaires rendent de plus en plus difficile le respect des normes de sécurité de l'information.
  3. Les contraintes budgétaires constituent le défi le plus souvent cité, touchant 51 % des organisations, suivies de près par un manque de compétences en matière de sécurité de l'information (47 %).
  4. 32 % des personnes interrogées font état d'épuisement professionnel au sein des équipes de sécurité informatique et de conformité, tandis que 32 % rencontrent également des difficultés liées au roulement et à la fidélisation du personnel.
  5. Seulement 8 % déclarent n'avoir subi aucun incident de cybersécurité au cours des 12 derniers mois.
  6. 55 % ont été touchés par un incident de sécurité impliquant un tiers ou leur chaîne d'approvisionnement au cours de l'année écoulée, et 20 % d'entre eux ont été affectés à plusieurs reprises.
  7. Les violations de données restent répandues : 37 % signalent des violations au total, les données des employés (30 %), les données des partenaires (28 %) et les données financières (27 %) étant les plus fréquemment compromises.
  8. 45 % des personnes interrogées affirment que la haute direction considère toujours la conformité en matière de sécurité de l'information comme une question secondaire, malgré le fait que 83 % d'entre elles fassent état d'une stratégie de sécurité claire et que 85 % soutiennent la responsabilité au niveau du conseil d'administration.
  9. 40 % citent le manque de sensibilisation des employés comme un défi majeur en matière de sécurité, les erreurs courantes incluant l’utilisation du Wi-Fi public (40 %) et le clic sur des liens suspects (35 %).
  10. Les gains de temps résultant de processus de sécurité plus efficaces constituent le retour sur investissement le plus important constaté en matière de conformité, cité par 47 % des organisations.
  11. 95 % se disent confiants dans leur capacité à réagir à un incident majeur de cybersécurité, et 68 % affirment que cette confiance a augmenté au cours de la dernière année.

Dépendance à l'égard de tiers et risque lié à la chaîne d'approvisionnement

La dépendance du secteur de la santé vis-à-vis des tiers est structurelle. Les systèmes cliniques, l'informatique gérée, les services cloud, les logiciels spécialisés, les dispositifs médicaux et les opérations externalisées contribuent tous à accroître la surface d'attaque. Il n'est donc pas surprenant que la moitié des personnes interrogées (50 %) estiment que les risques liés à la chaîne d'approvisionnement sont désormais « innombrables et ingérables », et les données relatives aux incidents confirment cette inquiétude.

Au cours des 12 derniers mois, 55 % des établissements de santé ont été touchés par un incident impliquant un tiers, et un sur cinq (20 %) a été affecté à plusieurs reprises. La nature des répercussions est particulièrement frappante. Les incidents chez les fournisseurs ne se limitent pas à des obligations de conformité ; ils perturbent la prestation de services. Les répondants ont le plus souvent signalé des retards ou des interruptions dans la prestation de services (36 %), la perte de partenariats ou de contrats clés (36 %) et des perturbations opérationnelles temporaires (33 %). Dans près d’un tiers des cas, les établissements ont rompu tout lien avec le fournisseur (30 %), signe que la confiance envers ce dernier est de plus en plus conditionnelle.

Les exigences des fournisseurs se durcissent en conséquence. Les organismes de santé exigent désormais de leurs partenaires une combinaison de référentiels sectoriels et généraux, notamment HIPAA (35 %), Cyber ​​Essentials (37 %), NIST (29 %), ainsi que des normes ISO telles que… 27001, 27701 et 42001 (20 % chacun). Les référentiels spécialisés comme HITRUST (23 %) et ISO 13485 (20 %) sont également de plus en plus répandus. Seuls 3 % indiquent n'exiger aucune norme.

La tendance est claire : l’assurance par un tiers évolue de la diligence raisonnable au contrôle de la résilience opérationnelle, avec des exigences plus strictes, une validation plus fréquente et un lien plus étroit entre la posture du fournisseur et la planification de la continuité.

Un environnement d'incidents persistants

Un autre constat important du rapport est que les organismes de santé évoluent dans un contexte de forte incidence d'incidents, plutôt que de subir des événements isolés. Seuls 8 % d'entre eux déclarent avoir évité tout incident de cybersécurité au cours des 12 derniers mois. Les violations de données ont touché 37 % des organisations, tandis que le phishing ou le vishing (32 %), les infections par logiciels malveillants (27 %), les violations du cloud (25 %) et les intrusions réseau (22 %) restent fréquents.

L'ampleur des données compromises reflète la complexité des flux d'information dans le secteur de la santé. Les données des employés ont été compromises dans 30 % des organisations, suivies par les données des partenaires (28 %), les données financières (27 %), les données de recherche (27 %) et les données produits (23 %). Les données personnelles identifiables (DPI) ont été compromises moins fréquemment (20 %), mais leur impact est disproportionné.

Dans 75 % des cas de violation de données personnelles, des amendes ou des frais juridiques ou réglementaires ont été infligés, et la moitié (50 %) a entraîné la fermeture d'une entreprise ou un changement de stratégie. Ceci souligne les enjeux particulièrement élevés liés à la compromission des données dans le secteur de la santé, où convergent les conséquences réglementaires, réputationnelles et opérationnelles.

En d'autres termes, les incidents ne sont plus des défaillances exceptionnelles. Ils constituent un risque opérationnel récurrent qu'il faut anticiper, gérer et surmonter dans le cadre normal de la prestation de services.

Capacité de la main-d'œuvre et pression opérationnelle

Derrière les données relatives aux incidents se cache le tableau d'un secteur soumis à une pression opérationnelle constante. Les contraintes budgétaires touchent 51 % des établissements de santé, ce qui en fait le défi le plus fréquemment cité. Parallèlement, 47 % d'entre eux signalent un manque de compétences en sécurité de l'information, tandis que 32 % font état d'épuisement professionnel au sein des équipes de sécurité et de conformité et 32 ​​% rencontrent des difficultés liées au roulement et à la fidélisation du personnel.

Ces pressions sont exacerbées par la complexité structurelle. 37 % citent la prolifération des systèmes informatiques et technologiques comme un défi, et 33 % peinent à déterminer quels processus de sécurité peuvent être automatisés en toute sécurité. Face à la multiplication des outils et à l'accroissement des responsabilités, les équipes sont de plus en plus contraintes de gérer des flux de travail fragmentés, des tableaux de bord qui se chevauchent et des preuves incohérentes.

Pour les établissements de santé soumis à une pression constante sur les services, ce manque de cohérence se traduit directement par des risques : lacunes en matière de visibilité, délais de réponse et dépendance accrue à l’égard de l’expertise individuelle. À terme, ce modèle opérationnel n’est pas viable.

Pression réglementaire et mise en œuvre de la conformité

La complexité réglementaire est également l'une des caractéristiques marquantes du paysage de la sécurité des soins de santé, selon notre rapport. 77 % des personnes interrogées affirment que la rapidité et le volume des changements réglementaires rendent la conformité de plus en plus difficile, tandis que 39 % citent le respect des réglementations et des normes comme un défi opérationnel direct.

Les compétences sont inégales. Seuls 27 % se sentent pleinement équipés pour gérer la superposition des réglementations et des cadres tels que : GDPR, NIS 2 et la loi HIPAA, tandis que 33 % ont besoin d'une aide externe ponctuelle. Les autres font état de lacunes en termes de temps, de compétences spécialisées ou de soutien de la part de leur conseil d'administration.

Ce décalage entre l'obligation et sa mise en œuvre se reflète dans les résultats. 70 % des organisations ont reçu au moins une amende pour non-respect de la réglementation sur la protection des données au cours de l'année écoulée, et une proportion importante d'entre elles ont écopé de sanctions à six chiffres. Pourtant, les données montrent également que la structure a son importance. Une organisation sur cinq déclare ne rencontrer aucune difficulté majeure pour se conformer à la réglementation. ISO 27001, ce qui laisse entendre que lorsque les contrôles, les preuves et les processus d'examen sont systématisés, la conformité devient plus prévisible et moins contraignante.

Lorsque la conformité est bien mise en œuvre, elle apporte des avantages concrets. 47 % des répondants citent des gains de temps grâce à des processus de sécurité plus efficaces, 38 % une meilleure prise de décision et 37 % une réduction des coûts liés aux incidents, ce qui confirme l'idée que lorsque les organisations passent d'une conformité perçue comme une obligation à une conformité perçue comme une discipline opérationnelle, les retombées sont considérables.

Comportement humain et risques inhérents

Le comportement des employés continue d'exposer les établissements de santé à des risques évitables. 40 % d'entre eux citent le manque de sensibilisation des employés comme un défi actuel, et les comportements observés reflètent cette lacune. 40 % signalent que leur personnel utilise le Wi-Fi public à des fins professionnelles, 35 % qu'il clique sur des liens suspects et 32 ​​% qu'il utilise des outils d'intelligence artificielle générative sans autorisation. Les mots de passe faibles et les appareils personnels non sécurisés affectent chacun 28 % des organisations.

Ces comportements résultent rarement de l'indifférence. Ils reflètent des environnements où les processus de sécurité sont fragmentés, incohérents ou difficiles à suivre. Lorsque les contrôles de sécurité engendrent des difficultés ou ralentissent les délais, le personnel privilégie la facilité.

Dans le secteur de la santé, où les employés ont souvent accès à des systèmes cliniques et à des données sensibles, l'intégration de comportements sécurisés dans les flux de travail quotidiens devient aussi importante que la formation formelle de sensibilisation.

L'IA comme amplificateur, et non comme contrainte fondamentale

L'IA occupe une place prépondérante dans le paysage des menaces émergentes du secteur de la santé. 51 % des personnes interrogées citent la désinformation et la mésinformation générées par l'IA comme une préoccupation majeure, tandis que 47 % pointent du doigt le phishing piloté par l'IA. En interne, 33 % s'inquiètent du mauvais usage des outils d'IA générative et 52 % reconnaissent avoir adopté l'IA trop rapidement et peinent désormais à la gérer de manière responsable.

Dans le même temps, 45 % affirment que les technologies d'IA et d'apprentissage automatique entravent actuellement leurs capacités en matière de sécurité de l'information, et 63 % estiment que les progrès de l'IA brouillent les rôles traditionnels en matière de sécurité.

Cependant, les données suggèrent que l'IA amplifie les faiblesses existantes plutôt que d'en créer de nouvelles. Les lacunes en matière de gouvernance, les contraintes liées à la main-d'œuvre, la dépendance aux tiers et la complexité réglementaire demeurent les principaux facteurs de pression. L'IA accroît la vitesse et l'ampleur des risques, mais elle ne remplace pas la nécessité de contrôles structurés, d'une responsabilisation claire et d'une supervision intégrée.

Confiance, préparation et perspectives d'avenir

Malgré le nombre élevé d'incidents et la pression croissante, le niveau de confiance dans le secteur de la santé reste remarquablement élevé. 95 % des personnes interrogées se disent confiantes dans leur capacité à réagir à un incident majeur de cybersécurité, et 68 % indiquent que leur confiance a augmenté au cours de l'année écoulée.

Cette confiance repose sur des capacités concrètes. Près de la moitié des entreprises effectuent des tests réguliers de réponse aux incidents (47 %), 49 % ont des rôles clairement définis lors des incidents et 42 % disposent de plans d'intervention documentés. Nombre d'entre elles intègrent la réponse aux incidents à la continuité des activités et à la reprise après sinistre (33 %) et font appel à un soutien externe, comme des fournisseurs de services de sécurité gérés (MSSP) ou des conseillers juridiques (30 %).

Le défi qui subsiste est celui de la cohérence. La confiance est maximale lorsque la réponse aux incidents est répétée, que des scénarios impliquant les fournisseurs sont pris en compte et que la direction est activement impliquée avant, pendant et après les incidents.

Les conclusions de cette année font ressortir un thème constant : les approches manuelles, fragmentées et dépendantes des individus atteignent leurs limites. Les établissements de santé qui adoptent des systèmes intégrés et reproductibles de gestion de la sécurité, des risques et de la conformité, au sein de leurs équipes internes et de leurs écosystèmes de partenaires, seront les mieux placés pour maintenir leur résilience sans surcharger des ressources déjà limitées.

Lire le rapport complet sur l'état de la sécurité de l'information.