L'ancien employé de la clinique La Sagesse (Rennes) qui avait lancé une cyberattaque contre le groupe de cliniques Hospi Grand Ouest (HGO, groupe VYV) fin 2024 a été condamné à 30 mois de prison, dont six ferme, le 12 janvier, par la 13ᵉ chambre correctionnelle du tribunal de Paris.

Le centre hospitalier intercommunal (CHI) de Haute-Comté, à Pontarlier, a été victime le 18 octobre d'une cyberattaque de type "cryptolocker" qui a mis à "l'arrêt complet" son système informatique, lequel n'a pas été rétabli depuis.

L'Agence du numérique en santé (ANS) a alerté sur des attaques d'ingénierie sociale ciblant des professionnels de santé utilisateurs de l'application e-CPS, dans un courrier daté du 8 octobre et publié le 10 par le Conseil national de l'ordre des pharmaciens (Cnop).

Les ingénieurs biomédicaux vont devoir affronter des défis "massifs" au cours des prochaines années, parmi lesquels des risques "exponentiels" de cyberattaques, a averti Nicolas Revel, directeur général de l'Assistance publique-hôpitaux de Paris (AP-HP), à l'occasion des 29es journées de l'Association française des ingénieurs biomédicaux (Afib) qui se sont déroulées fin septembre à Paris.

Le parquet de Paris a confirmé début août à APMnews/TICsanté qu'un individu avait été interpellé fin juillet par l'unité nationale "cyber" de la gendarmerie nationale, dans le cadre de l'enquête relative à la cyberattaque dont avait été victime le centre hospitalier (CH) de Cannes en avril 2024.

Des représentants des centres hospitaliers (CH) d'Armentières (Nord) et de Versailles (Yvelines) ont décrit les importantes conséquences des cyberattaques qu'ils ont subies pour les ressources humaines de leur établissement, lors de retours d'expérience fin juin.

Les pouvoirs publics planchent sur la création d'une "base nationale des vulnérabilités éditeurs" pour centraliser le signalement, le suivi et le traitement des failles de sécurité affectant les logiciels utilisés par les professionnels de santé et renforcer la transparence et la réactivité des éditeurs, a annoncé Patrice Bigeard, fonctionnaire de sécurité des systèmes d'information (FSSI) des ministères sociaux, lors du 13ᵉ Congrès national de la sécurité des systèmes d'information (SI) de santé, organisé fin juin par l'Association pour la sécurité des SI de santé (Apssis).

La directive NIS 2 définit dans son article 20 et dans son article 21 des mesures de gestion des risques en matière de cybersécurité minimales à mettre en œuvre par les futures entités essentielles et importantes.

La proportion des incidents informatiques d'origine malveillante est passée de 50% en 2023 à 44% en 2024, apprend-on dans le rapport annuel du CERT Santé publié le 4 juin par l'Agence du numérique en santé (ANS).

L'Agence du numérique en santé (ANS) a publié le 14 octobre un retour d'expérience sur la cyberattaque qui a visé le centre hospitalier (CH) départemental Stell de Rueil-Malmaison (Hauts-de-Seine) en mars.

Le groupe de laboratoires de biologie médicale Inovie Labosud "a récemment détecté un accès non autorisé à certaines données personnelles", a-t-il annoncé sur son site internet fin septembre.

Face au risque de cyberattaque, se déconnecter d’Internet n’est plus un tabou, mais une option étudiée, testée et documentée. Le groupe LNA Santé a mené plusieurs exercices de coupure maîtrisée du réseau pour en évaluer l’impact réel sur ses infrastructures et ses flux métiers. Un retour d’expérience riche - partagé lors du congrès de l’APSSIS - qui en dit long sur la complexité technique et organisationnelle d’un tel choix.

Les pouvoirs publics réfléchissent à permettre l'application de sanctions en cas de non-respect par les éditeurs de certains référentiels de cybersécurité déjà opposables, a annoncé le 24 juin Christophe Mattler, directeur de projet à la délégation au numérique en santé (DNS), lors du 13ᵉ Congrès national de la sécurité des systèmes d'information (SI) de santé, organisé par l'Association pour la sécurité des SI de santé (Apssis).

Pour transposer et mettre en œuvre la directive NIS 2, il est privilégié une approche de la conformité basée notamment sur la mise en œuvre d’un référentiel de mesures de cybersécurité adapté à la menace cybercriminelle. La norme ISO 27001 et le référentiel de mesures cyber de l’ANSSI poursuivent des objectifs différents. L’obtention d’une certification ISO 27001 ne permet pas, en elle-même, une conformité à NIS 2. Mais cette norme constitue un outil et une méthodologie pour accompagner le déploiement du référentiel de sécurité.

En juin 2024, un groupe de pirates russe avait déployé un rançongiciel sur le parc informatique d'un prestataire fournissant des analyses et des transfusions de sang à de nombreux établissements publics de santé. Un événement qui a contribué au décès d'une personne, ce qui constitue une première mondiale.