Publicité en cours de chargement...

L’état inquiétant de la sécurité des SI hospitaliers

24 nov. 2020 - 10:13,
Actualité - DSIH
Le directeur de l’Anssi alerte régulièrement les pouvoirs publics sur l’état grandissant de la menace cyber et, la semaine dernière, le Cigref adressait dans un courrier[1] au Premier Ministre son inquiétude sur l’industrialisation de la cybercriminalité et la faible réponse étatique.  

Cette constatation générale est doublement inquiétante : non seulement les SI sont de plus en plus soumis au risque cyber, mais en plus, toutes choses étant égales par ailleurs, quand le SI d’une entreprise croît en taille, cette dernière est de plus en plus dépendante du bon fonctionnement de celui-ci, rendant tout incident cyber d’autant plus dommageable. Fréquence des incidents en hausse, impact de chaque incident en hausse, l’équation est terrible.

Dans le monde de la santé, quels que soient les critères retenus – nombre de PC, nombre de serveurs, nombre d’applications métiers, taille du tuyau Internet, etc. –, le constat est clair : depuis dix ans, la taille, la complexité, la couverture fonctionnelle des SI hospitaliers a au bas mot doublé. Dans le même temps, les budgets sont restés à peu près stables, puisque les établissements consacrent en moyenne entre 1,7 % et 1,9 % de leur budget d’exploitation au SI. Pas besoin d’avoir fait de grandes études pour comprendre que quand on gère un système deux fois plus gros avec la même tirelire, au bout d’un moment le système en question va se déliter, partir en lambeaux, et qu’au final ce sont les utilisateurs qui vont payer la facture : toute réduction de moyens dans une fonction support n’est en fait qu’un déplacement temporel ou géographique des emmerdements. Et les exemples de manquements aux bonnes pratiques élémentaires sont légion : dispositifs de protection périmétriques obsolètes ou jamais audités, protection antivirale partielle quand elle n’est pas absente, procédures de bascule sur les salles de secours jamais testées, maîtrise presque nulle des technologies déployées, installation d’équipements de type « boîte noire » avec un accès direct des mainteneurs sur le réseau sans passer par des équipements de contrôle, lien LAN to LAN, etc.

Autrement dit : SI en croissance constante, dépendance toujours plus grande des organisations au bon fonctionnement du SI, état général de sécurité SI pas ou peu mesuré et en baisse, menace extérieure en augmentation. Que l’on pense aux exigences de continuité des DPI, des remontées nécessaires aux plateformes telles que Sidep dans le dispositif national Covid, les exemples ne manquent pas. Cela ne peut pas bien se terminer, il est urgent de changer de logiciel. Audits, remontée systématique des incidents, pilotage par le risque : ce sont les trois piliers indispensables. C’est ce qui a été fait dans le domaine de la sécurité routière, de l’aviation civile, du nucléaire : cette démarche fonctionne et a le mérite non pas de brider a priori le déploiement des systèmes, mais de les bloquer avant que les moyens de sécurisation ne suivent plus et que l’on se retrouve un beau matin avec une situation incontrôlable et irréversible.

Le point d’amélioration le plus urgent concerne les audits : les dispositifs existants sont à ce jour inefficaces. Plan Hop’en, que du déclaratif, peu de contrôles et peu de moyens à l’arrivée. Pour le premier programme Hôpital numérique le nombre déclaré de RSSI sur le territoire était dix fois plus élevé que dans la réalité de terrain et personne ne semble en avoir été ému. L’Anssi, qui réalise un travail remarquable (on se souvient de son intervention au CHU de Rouen en décembre dernier) n’est pas staffée pour marquer à la culotte 135 GHT. Il existe des acteurs qui eux le sont : les commissaires aux comptes. Rien n’empêche de leur demander d’auditer en plus le volet SSI selon le mode qu’ils maîtrisent parfaitement, à savoir un début très « soft », puis une montée croissante des exigences. Une autre piste à creuser serait l’obligation assurantielle, mais aujourd’hui l’offre des assureurs sur le risque cyber est inexistante ou inachevée.

Que l’on s’entende : le propos n’est pas de demander toujours plus de sous, toujours plus de bonshommes. Le propos est de mettre les moyens en adéquation avec les besoins et les enjeux, ce qui est tout à fait différent. Et enfin d’avoir le courage de dire que le SI ne peut plus s’étendre, ce trimestre, cette année, parce que les moyens de sécurité ne suivent pas.

Si la sécurité des SI de santé ne change pas de paradigme, un hacker dans son garage ou l’officine semi-officielle d’un dictateur décidera un jour de se payer quelques CHU et de bloquer pendant trois semaines tout leur SI. On sera obligé de dérouter des wagons entiers de patients à 300 kilomètres pour qu’ils puissent y être opérés, on sera obligé de refaire les payes de milliers d’agents à la main, on n’aura plus aucun moyen de coter les actes, d’accéder aux historiques médicaux, etc. Et, à ce moment-là, les économies de bouts de chandelle que l’on aura faites pendant des années vont nous rester en travers de la gorge, tout comme la pénurie des masques et de gel début 2020.


[1]   https://www-silicon-fr.cdn.ampproject.org/c/s/www.silicon.fr/cybersecurite-dsi-cigref-gouvernement-351773.html/amp 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.