5e Colloque SSI du ministère de la Santé

Sous l’impulsion de Philippe Loudenot, le rendez-vous SSI annuel du 14, avenue Duquesne, désormais gravé dans le marbre, s’est tenu le 3 octobre dernier.
La journée a commencé par une intervention vidéo de Dominique Pon, responsable stratégique de la transformation numérique en santé, engagé dans le marathon du Tour de France de l’e-santé qui faisait escale ce jour-là sur ses terres, à Toulouse, et qui a souhaité faire passer un message : « Il ne peut y avoir de transformation numérique sans sécurité ni confiance numérique. »
Caroline Le Gloan (DGOS) a poursuivi en confirmant l’arrivée prochaine d’une certification SIH, projet piloté par la DGOS, puis s’est positionnée sur la nécessité d’être conscient des risques : « Il faut avoir à l’esprit les risques numériques pour pouvoir les minimiser. »
Maurice-Pierre Planel (DGS) a indiqué quant à lui que la cybersécurité était devenue un enjeu primordial pour la DGS. « Nous devons anticiper pour ne pas subir et mener des actions pour éviter des crises sanitaires. » Il a ensuite rappelé la nécessité de sensibiliser régulièrement sur les risques cyber et de planifier dans chaque structure des exercices de crise à l’instar du récent exercice Écran Santé #2019 [1] organisé par le ministère de la Santé. « On a besoin de vous et on compte sur vous », a-t-il conclu.

Philippe Loudenot a ensuite présenté la feuille de route du programme Ma santé 2022, qui s’appuie sur cinq grandes orientations :

• Renforcer la gouvernance du numérique en santé ;
• Intensifier la sécurité et l’interopérabilité du numérique en santé ;
• Accélérer le déploiement des services numériques socles ;
• Déployer sur le plan national des plateformes numériques de santé ;
• Soutenir l’innovation et favoriser l’engagement des acteurs.

Emmanuel Sohier et Jean-François Parguet sont revenus pour leur part sur les travaux de l’Asip Santé (prochainement l’ANS), parmi lesquels le dispositif de signalement des incidents et le portail cyberveille-sante.gouv.fr gérés par la cellule ACSS, qui a pour projet de devenir un Cert sectoriel reconnu, ainsi que le service de cybersurveillance consistant à réaliser un audit SSI externe complet (données publiques, fuites d’informations, scan de ports et de vulnérabilités, le tout aboutissant à la production d’un rapport clair, exhaustif et très accessible) pour lequel l’Agence est déjà extrêmement sollicitée.
Franck Gicquel a par ailleurs présenté les travaux réalisés par le GIP Acyma, notamment l’excellent kit de sensibilisation libre de droits qu’il propose via son site cybermalveillance.gouv.fr.

La séance « frissons » a été animée par l’excellent Monir Morouche (Suricate Concept). Pistage massif en ligne, trackingavancé jusqu’à l’enregistrement vidéo complet des séances de navigation sur un site Web, où la moindre action, du déplacement du curseur au texte saisi dans les formulaires que vous n’avez jamais envoyés, peut être visionnée par le propriétaire du site grâce à des outils tels que Hotjar ou encore Yandex Metrica. Il a ensuite partagé certaines de ses expériences d’auditeur, comme l’accès à l’ensemble du SI de l’audité sans dépasser les toilettes de l’accueil, avant de réaliser une belle démonstration d’usurpation d’identité en faisant sonner un téléphone du public par l’utilisation du numéro de l’un de ses contacts qui s’affichait à l’écran. Il a également insisté sur les limites de la sécurité : « Il faut rester prudent, mais si vous êtes une cible, vous serez une victime », ainsi que les nombreuses idées reçues sur les mots de passe et le phishing.

Après une courte pause déjeuner (il ne faut pas croire, le programme était dense), Gérôme Billois (Wavestone) nous a fait part d’un passionnant retour d’expérience sur l’accompagnement qu’il a réalisé auprès d’un de ses clients dans la gestion d’incident lors de l’importante propagation du rançongiciel NotPetya. Une intervention qui s’est déroulée en plusieurs étapes :

• Comprendre la situation ;
• Investiguer pour comprendre l’incident ;
• Sauver ce qui pouvait encore l’être.

36 heures intenses sans interruption pour les équipes IT soutenues par les RH qui ont réservé des chambres d’hôtel en urgence et collaboré avec un médecin du travail afin d’évaluer l’état psychologique des personnes sur le pont. Des collaborateurs de la société ont participé à la restauration des postes clients à l’aide de procédures et de clés USB fournies par la DSI.

Il a conclu en insistant sur la nécessité de se préparer aux incidents en réalisant notamment des exercices de gestion de crise.

L’incontournable table ronde « Ça n’arrive pas qu’aux autres » animée par Stéphane Pasquier nous a rappelé, grâce aux précieux témoignages de ce dernier, que nous devons tous être prêts à faire face à un incident, et ce quelles que soient la taille de notre structure et notre sensibilité aux sujets de la SSI.

Ce après quoi Pascal Ferard (RSSI de l’EFS) est revenu en détail sur l’exercice Écran Santé #2019 [1] en partageant même sa recette du succès :

1. Obtenir un sponsor au Comex ;
2. Nommer l’exercice ;
3. Adopter un mode projet ;
4. Fixer des objectifs ;
5. Élaborer un scénario crédible ;
6. Prévoir suffisamment de matière ;
7. Désigner des observateurs ;
8. Retex à chaud ;
9. Retex à froid (un mois après l’exercice).

« C’est un projet fédérateur, à la portée de toutes les structures, [qui] mériterait d’être obligatoire », a-t-il souligné.

Didier Gras (RSSI de BNP Paribas et membre du Cesin) a de son côté apporté sa vision de la sécurité externe au secteur de la santé en partageant constats et conseils :
« Les géants du numérique nous ont fait devenir des bêta-testeurs. »
« Les cycles de développement réduits font que les produits numériques sont de moins bonne qualité. »
« L’utilisateur doit être vu comme un allié et non comme le maillon faible. »
« La PSSI doit être avant tout un engagement de la direction générale. »
« La peur générée par les problèmes de sécurité a engendré les nombreuses réglementations légiférées par les États. »
« La sécurité repose sur l’humain. »

Daniela Parrot (DPO des ministères sociaux) est revenue quant à elle sur la première année du RGPD, qu’elle voit comme une opportunité d’améliorer la sécurité. Elle préconise un DPO proche du terrain, facilement accessible, et déconseille de faire appel à un DPO externe.

Pour finir, le général Arnaud Martin, HFDS adjoint, après avoir constaté une amélioration de la sensibilité en matière de SSI, a conclu avec l’idée qui ressort comme le fil conducteur de cette journée :

« Nous serons tous touchés par un incident, il est donc nécessaire de nous y préparer. »

---

[1]