La France dévoile un programme d’assistance aux hôpitaux en matière de cyber-sécurité
publié le 20 avril 2021
Face à ce qui ressemble de plus en plus comme une maladie endémique ou à un virus à propagation rapide – lisez: les attaques de (cyber-)sécurité sont sont victimes les établissements hospitaliers, chez nous comme à travers le monde -, le constat posé est souvent celui d’un “manque de compétences, d’effectifs et de solutions”.
En France, le gouvernement a récemment décidé d’y accorder davantage de moyens, réallouant des fonds au service de la “résilience des systèmes d’informations des hôpitaux”. Chiffres annoncés: 350 millions d’euros sur les 2 milliards prévus pour accélérer la transformation numérique des acteurs hospitaliers ; 25 millions d’euros notamment pour la réalisation d’audits.
Début avril, le président Emmanuel Macron annonçait la création d’un “Observatoire permanent du niveau de sécurité de la santé, dont la mission consiste à mutualiser les expériences, coordonner le travail des hôpitaux et des différents acteurs autour de la cybersécurité et de centraliser la réponse au risque cyber”.
Un “service national de cyber surveillance en santé” sera piloté par par l’Anssi (l’Agence nationale française de la sécurité des systèmes d’information) et l’ANS (Agence du numérique en santé). Objectif: “cartographier la surface d’attaque d’un système d’information, en détecter les vulnérabilités et les éventuelles fuites, […] renforcer le dispositif “Cyber-veille en santé” pour en augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyber-attaques”.
D’ici l’été 2021, les 135 GHT (groupements hospitaliers de territoire) deviendront officiellement des opérateurs de services essentiels (OSE), avec toutes les obligations que cela suppose – renforcement des règles de sécurité informatique, obligation d’appliquer aux systèmes d’information “les meilleures pratiques de cybersécurité“.
Cela exigera évidemment formation et sensibilisation. “La sensibilisation à la cyber-sécurité sera intégrée à tous les cursus de formation des acteurs en santé afin conforter les pratiques d’“hygiène numérique”, dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information, comme de la fluidité du parcours ville- hôpital.” Timing: 2022.
Petit commentaire de Karl Rigal, directeur marketing du cabinet de conseil en ingénierie Stedy, cité dans l’article: “Des revues de vulnérabilité à la mise en place de pentests [tests de pénétration], en passant à la configuration de politiques de sécurité, de forensic, de gouvernance, le secteur privé peut accompagner les structures hospitalières qui ne sont souvent ni équipées, ni sensibilisées en interne à ces problématiques.”
Face à ce qui ressemble de plus en plus comme une maladie endémique ou à un virus à propagation rapide – lisez: les attaques de (cyber-)sécurité sont sont victimes les établissements hospitaliers, chez nous comme à travers le monde -, le constat posé est souvent celui d’un “manque de compétences, d’effectifs et de solutions”.
En France, le gouvernement a récemment décidé d’y accorder davantage de moyens, réallouant des fonds au service de la “résilience des systèmes d’informations des hôpitaux”. Chiffres annoncés: 350 millions d’euros sur les 2 milliards prévus pour accélérer la transformation numérique des acteurs hospitaliers ; 25 millions d’euros notamment pour la réalisation d’audits.
Début avril, le président Emmanuel Macron annonçait la création d’un “Observatoire permanent du niveau de sécurité de la santé, dont la mission consiste à mutualiser les expériences, coordonner le travail des hôpitaux et des différents acteurs autour de la cybersécurité et de centraliser la réponse au risque cyber”.
Un “service national de cyber surveillance en santé” sera piloté par par l’Anssi (l’Agence nationale française de la sécurité des systèmes d’information) et l’ANS (Agence du numérique en santé). Objectif: “cartographier la surface d’attaque d’un système d’information, en détecter les vulnérabilités et les éventuelles fuites, […] renforcer le dispositif “Cyber-veille en santé” pour en augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyber-attaques”.
D’ici l’été 2021, les 135 GHT (groupements hospitaliers de territoire) deviendront officiellement des opérateurs de services essentiels (OSE), avec toutes les obligations que cela suppose – renforcement des règles de sécurité informatique, obligation d’appliquer aux systèmes d’information “les meilleures pratiques de cybersécurité“.
Cela exigera évidemment formation et sensibilisation. “La sensibilisation à la cyber-sécurité sera intégrée à tous les cursus de formation des acteurs en santé afin conforter les pratiques d’“hygiène numérique”, dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information, comme de la fluidité du parcours ville- hôpital.” Timing: 2022.
Petit commentaire de Karl Rigal, directeur marketing du cabinet de conseil en ingénierie Stedy, cité dans l’article: “Des revues de vulnérabilité à la mise en place de pentests [tests de pénétration], en passant à la configuration de politiques de sécurité, de forensic, de gouvernance, le secteur privé peut accompagner les structures hospitalières qui ne sont souvent ni équipées, ni sensibilisées en interne à ces problématiques.”