Colloque Cybersécurité 2021 de l’ANS

« Nous devons être tous prêts à gérer des crises. Pour gérer des crises, il faut se préparer. » Olivier Veran, ministre de la Santé, a rappelé que la cybersécurité est aujourd’hui promue au plus haut niveau comme un enjeu de gouvernance par l’Etat. Si le système de santé a été un temps épargné par les menaces cybercriminelles, il est aujourd’hui une vraie cible.
 

Le colloque sur la sécurité des systèmes d'information dans les établissements sanitaires et médico-sociaux, s’est déroulé ce jeudi 18 novembre au ministère des Solidarités et de la Santé en présentiel et à distance. Il s'inscrit dans le cadre de la campagne nationale d'information sur la cybersécurité en santé « Tous Cybervigilants », lancée le 9 juin 2021 par le ministre des solidarités et de la santé.

La menace cyber n'a jamais été aussi forte sur le secteur de la santé

Chiffres clés issus du CERT Santé* : Augmentation importante du nombre de déclarations d’incidents (+ 80 %), avec une activité malveillance significative sur T1 2021 (rançongiciels) et augmentation des signalements pour le secteur médico-social (+ 20%). Le CERT Santé* est une structure publique qui intervient principalement sur les incidents d’origine malveillante en terme de qualification et accompagnement des établissements sanitaires ou médico-sociaux.

Sur les 3000 établissements de santé (publics et privés), 49 attaques « réussies » de rançongiciels sont répertoriées en 2020. Il y a une explosion du nombre d'attaques au niveau mondial, mais le nombre d’attaques réussies reste stable entre 2019 et 2020. La croissance du phénomène rançongiciel n'est pas spécifique au monde de la santé, ni à la France.

Un plan de renforcement cybersécurité national

Au-delà des attaques actuelles, nous devons nous préparer à des impacts systémiques. « Liée à la transformation numérique du système sanitaire, la cybersécurité doit être considérée comme une exigence stratégique. Les menaces actuelles doivent nous inciter à nous préparer collectivement à des risques systémiques pouvant affecter un grand nombre d’établissements de santé. Les infrastructures sont le vecteur majeur des attaques et leur sécurisation constitue un point clé » (Jean-François Parguet HFDS/FSSI)

« Savoir se préparer à travailler plusieurs jours sans Systèmes d’informations est aussi important que la préparation technique, car même les mieux préparés se font attaquer ». (Jean-François Parguet HFDS/FSSI)

Les mesures du plan de renforcement cyber national doivent diminuer notre vulnérabilité aux attaques opportunistes mais aussi nous préparer aux menaces plus systémiques.

Le Ségur du numérique et la cybersécurité

Depuis 2 ans et demi, un important travail de fond a été mené (état de l'art, définition de règles d’urbanisations s’inspirant du mode de gouvernance d’une ville, mise à jour des annuaires, déploiement INS, inscription des infirmiers au RPPS, …). « Nous sommes à un moment charnière où le travail de fond réalisé va être visible pour les professionnels et les citoyens avec le lancement de Mon Espace Santé à partir du 1er janvier 2022. Cet espace national de confiance est primordial pour la réussite de notre transformation numérique. Le Ségur numérique, accélérateur de cette feuille de route va nous permettre de rattraper notre retard sur le partage fluide et sécurisé des données de santé ».  (Laura Létourneau)

Quelques exemples de contribution du SEGUR au renforcement de la cybersécurité :

  • INS, DMP, MSS, PSC intégrés dans les logiciels métiers apportant davantage de sécurité
  • Imposition de pré-requis sécurité aux industriels à travers les DSR
  • Financement des usages et imposition d’un certain nombre de pré-requis sécurité aux établissements (plan d’action SSI et audits cybersécurité par exemple).

La pression des projets fonctionnels est souvent forte, mettre des pré-requis sécurité dans ce type de programme permet de les prioriser.

Un besoin d’accompagnement et de moyens pour les établissements

Lors de ce colloque,  les fédérations ont exprimé une demande de financements structurels et d’accompagnement pourpPermettre à des établissements en faible capacité de se doter d’un minimum d’outillage, de prestations, de coordination pour se préparer et réagir en cas d’incident de sécurité.

Chiffres clés dans les établissements sanitaires (source : Atlas SIF 2020, publié il y a 3 jours)
  • 96 % des établissements se disent dotés d’une politique de sécurité SI, ce chiffre descend à 90 % si on se focalise sur les plus petits établissements.
  • 96 % des établissements ont un référent sécurité nommé, mais il n’est affecté à temps complet sur cette mission que dans 7 % des cas.
  • La mutualisation d’un RSSI est pratiquée par 33 % des établissements

 

Les GRADES sur le terrain de la cybsersécurité

Le groupement e-santé Occitanie lancera en 2022 une nouvelle offre à destination des établissements sanitaires et médico-sociaux de la région sur ce sujet de la cybersécurité. En complément de l’accompagnement du CERT Santé au national, et de l’ARS en région, le GRADeS, construit actuellement avec les établissements de la région et les tutelles nationales et régionales une offre de sensibilisation, prestations et outils mutualisés. Les réflexions sont d’ores et déjà initiées et si vous souhaitez nous faire remonter des besoins / propositions, vous pouvez contacter la responsable de l'équipe ACSSI (Accompagnement à la Convergence et à la Sécurité des Systèmes d'Information). D’autres GRADeS en France proposent déjà des services sur ce sujet. Les GRADeS PACA (en savoir +), Ile de France (en savoir +) et celui de la Réunion (en savoir+) ont été mis en exergue lors de ce colloque de l’ANS.