Secteur de la santé : Des efforts restent encore à faire pour démocratiser la cyber
septembre 2023 par Marc Jacob
A l’occasion des Universités d’été de la cyber et du cloud de confiance un débat autour de la cybersécurité dans le domaine de la santé a réuni Sylvain François, Directeur du Système d’Information CHU Rouen, Guillaume Deraedt, Adjoint au Délégué Général en charge de la stratégie numérique CAIH, Mehdi Zine Responsable de projets medico-social ANS, Jean-Baptiste Lapeyrie, Délégué du Numérique en Santé, Directeur de projets CTO Ministère des solidarités et de la santé, Jean-Pierre Barré, VP Sales Southern Europe Wallix et Carla Gomes Directrice marché santé Docaposte.
Carla Gomes rappelle que chez Chez Docapost on estime que plus vite une attaque est détectée mieux on peut circonscrire les impacts. Il faut aussi travailler sur les sauvegardes. Revenir à l’état initial prend entre 3 mois et 300 jours suivant l’état de préparation.
Dans un hôpital tout est connecté de la climatisation aux appareils médicaux. Pour Jean-Pierre Barré l’attaquant va chercher le chemin le plus court. D’ailleurs, il est assez simple de se promener dans les couloirs d’un hôpital, de trouver un poste ouvert et de l’utiliser pour s’introduire dans le Si. De nombreux établissements de santé ont un statut d’OSE cela simplifie les accès aux VPN. Cette année chez Wallix un tiers des projets concerne l’OT industriels ou la santé,.
Dans le GHT côte d’Opale un budget a été ouvert pour la cybersécurité. La cyber est un processus qui ne s’improvise pas. Ainsi un budget de 300.000 mille euros a été débloqué. Dans un hôpital il y a trois systèmes à sécuriser celui du bâtiment, des OT et du SI.
Des financements ont été débloqués sur des thèmes comme lutte contre les ransomwares avec la lutte contre les escalades dans les annuaires. La détection a aussi été ciblée par les financements de même tous les télé et les sauvegardes afin d’industrialiser les processus et pouvoir les déployer à grande échelle.
De plus des actions de sensibilisation et de formation sont et vont continuer à être développer par l’agence de communication en santé. Il faut pratiquer pour être prêt à répondre suite à une attaque. Un travail avec les ARS est mené. Enfin, un travail avec les patients est mené pour les sensibiliser aussi.
Dans les hôpitaux un RSSI voit les investissements cités plus haut arriver dans les services informatiques. Des solutions de Soc ou d’EDR commencent à se déployer. Un travail avec les grands industriels du marché de la santé doivent comprendre les enjeux de sécurité c’est pour cela que le levier de l’Etat est important pour les faire plier sur ces revendications. La certification HDS est aussi une aide.
Carla Gomes recommande d’adopter une approche globale. Le nouveau rapport sur la cybersécurité dans les systèmes de santé formule 10 recommandations parmi lesquelles la détection des attaques. Ces recommandations sont faciles à implémenter. Dans le rapport on met en avant l’importance des exercices cyber, de m’être l’accent sur la sauvegarde mais aussi de renforcer la coopération internationale...
Depuis les dernières attaques des rapprochements avec l’Anssi ont été fait. Une coordination des acteurs extiste surtout en vue des JO. Il y a une coopération globale qui devrait permettre une évolution du niveau de sécurité des établissements de santé de façon globale. Cette coopération existe depuis un certain temps surtout concernant les exercices de crises.
Jean-Pierre Barré explique que si on veut rester souverain, il faut que le législateur arrête d’être naïf. Il est nécessaire qu’il soutienne les industriels français. Si on n’aide pas la filière on y arrivera pas. Il estiem en outre qu’il y a du mieux, mais il faut aller plus loin. En tant qu’industriel il faut simplifier la cybersécurité.
Pour Jean-Baptiste Lapeyrie, Délégué du Numérique en Santé, Directeur de projets CTO Ministère des solidarités et de la santé la nouvelle version de la certification HDS va vers plus de contrôle de la souveraineté.
Sylvain François, Directeur du Système d’Information CHU Rouen explique qu’il sélectionne un outil de sécurité car il répond à son besoin avec bon niveau technique. Il rapporte que lors de la cyber attaque de son établissement le seul industriel qui a répondu a été un français Atempo qui est intervenu sans se référer à un contrat.
En conclusion, Mehdi Zine Responsable de projets medico-social ANS rappelle qu’il est important de sauver les chemins d’attaque sur l’AD. Il y a un sentiment d’urgence pour améliorer la sécurisation des annuaires.
Articles connexes:
- Jean-Noël BARROT, Ministre délégué chargé du Numérique : La future législation sur la cybersécurité est faite pour élever de sécurité
- Maximilian Schrem : Les américains doivent revoir leur copie en terme de privacy et de transfert de données
- IA et cybersécurité : L’Europe doit être la première à légiférer
- Le classement des entreprises françaises qui utilisent le plus de solutions françaises pointes les grands comptes qui soutiennent les PME de cybersécurité françaises
- Le cybermoi/s est lancé par cybermalveillance.gouv.fr
- NIS2 va permettre de renforcer la sécurité globale des organisations concernées
- Les maires ont besoin d’un contact physique avec des experts pour améliorer la compréhension des problématiques de cybersécurité