Les établissements de santé sont en première ligne face aux cyberattaques, subissant des répercussions financières, opérationnelles et cliniques de plus en plus lourdes. Une récente enquête menée par Ernst & Young (EY) et Klas Research met en lumière l’ampleur de ces menaces, révélant qu’une majorité d’organismes de santé ont été touchés de manière significative au cours des deux dernières années.
Selon ce rapport, plus de 70 % des structures interrogées ont rapporté un impact financier allant de modéré à grave suite à un incident de cybersécurité. Parallèlement, 60 % ont fait état de perturbations opérationnelles importantes, tandis que 59 % ont cité des défis cliniques, tels que des retards dans la prise en charge des patients ou une érosion de la confiance de ces derniers.
La cybersécurité est devenue une préoccupation centrale pour le secteur de la santé. Les attaques et les violations de données peuvent non seulement entraîner des interruptions majeures dans la dispensation des soins, mais aussi coûter des millions en frais de remédiation. L’étude, qui a interrogé une centaine de dirigeants responsables des décisions en matière de cybersécurité, révèle que les établissements sont confrontés à des menaces fréquentes.
Au cours de la dernière année, ces dirigeants ont déclaré avoir fait face en moyenne à cinq types de menaces distincts. Parmi les plus récurrentes figurent le phishing, visant à tromper les employés pour obtenir des informations sensibles, ainsi que les violations de données chez des fournisseurs tiers. Face à ce constat, l’investissement dans la cybersécurité est jugé essentiel. Plus de 80 % des responsables estiment que la cyber-préparation devrait figurer en tête des priorités stratégiques des organisations pour mieux appréhender ces risques croissants.
Cependant, l’obtention de financements suffisants pour la cybersécurité reste un obstacle majeur. Près des deux tiers des personnes interrogées ont identifié les priorités concurrentes au sein de leur organisation et les contraintes budgétaires comme les principaux freins à l’atteinte de leurs objectifs en matière de cybersécurité. Bien que le soutien des instances dirigeantes se soit amélioré, le rapport souligne la nécessité de ressources et d’un appui supplémentaires. « Le défi ne réside pas dans l’obtention de l’approbation, mais dans le maintien de l’engagement lorsque les budgets se resserrent ou que les priorités évoluent », précise le document.
La pénurie de personnel qualifié constitue une autre difficulté notable. Certains dirigeants signalent que des postes liés à la cybersécurité peuvent rester vacants pendant des années, faute de candidats adéquats. Cette situation pousse de nombreux établissements à recourir davantage aux services de sous-traitants. Les experts soulignent que les professionnels de la cybersécurité sont rares et très demandés par tous les secteurs, plaçant le domaine de la santé en position de faiblesse face à d’autres industries potentiellement plus aptes à proposer des rémunérations attractives.
Malgré ces défis, plus de la moitié des sondés considèrent la formation et le perfectionnement des compétences internes comme une stratégie efficace pour relever les enjeux de cybersécurité. La sécurité chez les fournisseurs tiers représente par ailleurs une préoccupation particulièrement complexe pour les organismes de santé. Ces derniers collaborent souvent avec un grand nombre de partenaires pour des services allant de la gestion des dossiers médicaux aux produits de santé numériques.
En conséquence, près de 70 % des établissements prévoient d’accroître leurs investissements dans la vérification de la conformité aux exigences de cybersécurité des contrats fournisseurs pour le prochain exercice financier. De plus, plus de la moitié d’entre eux comptent se concentrer davantage sur les aspects réglementaires liés à la cybersécurité de leurs partenaires tiers.