Publicité en cours de chargement...
Sécurité des SI de santé : une rentrée chaude bouillante
Ah ! j’allais oublier : il y a bientôt un an, à la sortie d’une conférence aux Assises de Monaco, je faisais un pari avec Gérôme Billois, expert cyber chez Wavestone : Gérôme soutenait la position de l’Anssi qui prétendait que d’ici à cinq ans la situation de la menace cyber serait réglée (comme l’a été la piraterie maritime aux xviiie siècle), et moi la position exactement inverse, à savoir que la chienlit ne faisait que démarrer. Comme je l’écrivais dans un billet de décembre dernier, j’espérais vraiment, vraiment, vraiment, perdre… sauf que rien ne semble en prendre le chemin.
Et aussi la plateforme de messagerie sécurisée Signal qui subit une attaque, c’est une première. Plus précisément, c’est un serveur chargé de vérifier les numéros de téléphone qui s’est fait attaquer. Bon, comme quoi, même chez les très bons, on peut se faire avoir, ce qui me remonte un tantinet le moral après la news ci-dessus.
Sinon, c’est Corilus (l’éditeur de Softalmo) qui a affolé les RSSI de tous les CH/CHU clients, en contactant le mercredi 24 août au soir les équipes informatiques d’astreinte pour demander de verrouiller dare-dare les comptes de connexion VPN de télémaintenance. Gros buzz sur le canal Tchap des RSSI, en lien avec la cellule de cyberveille. Et, à l’heure où ce billet est rédigé, aucune explication ni justification. Quand Corilus aura réglé ses problèmes techniques, on lui conseille de réviser ses procédures de com : standard injoignable, aucune communication sur le site Web, bref de l’amateurisme quasi professionnel !
À lire aussi : Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »
Bon, sinon, à la suite de l’attaque du CHSF, les pouvoirs publics ont annoncé en grande pompe le déblocage de 20 millions d’euros pour la cybersécurité des établissements de santé. Une telle somme ne parle que pas ou peu à l’individu lambda. Elle paraît énorme, tout le monde la ramène au prix de sa voiture ou de sa maison et se dit qu’avec une telle somme on peut en faire des trucs. Petite explication avec la calculette : il y a 135 GHT, ce qui donne 148 148 euros par GHT. Tout de suite, c’est moins sexy, d’autant que l’on ne parle pas des centaines d’établissements (Éhpad entre autres) qui ne sont rattachés à aucun GHT, mais passons. Avec cette somme fabuleuse, que va-t-on pouvoir faire ? Déjà, c’est de l’investissement et pas de l’exploitation, il va donc falloir ventiler cette somme sur l’achat de solutions dont la métrique de tarif est souvent de trois ans (abonnement aux mises à jour d’un AV, d’un scanner, d’un IDS, etc.). On en arrive alors à 49 382 euros par an sur trois ans : pas de quoi payer un SIEM, même à prix cassé, ni un module AV en analyse d’un LAN biomed, ni une sonde en mirroring. Et encore je ne parle même pas des bonshommes qu’il va falloir pour installer le bazar (eh oui, tout ne se sous-traite pas) ni pour l’exploiter (eh oui, les consoles de supervision ne se surveillent pas par l’opération du Saint-Esprit).
Ah ! j’allais oublier : un petit test de phishing a été réalisé au Cern[1] (dont une bonne partie des personnels ont au minimum BAC + 18), avec faux mail issu d’une adresse mail bidon, invitant à cliquer sur un lien pour remplir un formulaire avec login et password, la totale. Résultat : 1 800 personnes ont religieusement saisi leurs ID + MDP. On parle du Cern, là, pas du club de tricot du quartier de ma grand-mère ! Débats sur les réseaux sociaux, mais si si si il faut former et sensibiliser, ce qui, paraît-il, ferait diminuer le risque ! Que dalle les amis, tant qu’il reste un seul gugusse qui clique, le risque est le même. La seule valeur ajoutée démontrée de la sensibilisation est de vendre des produits et des prestations de sensibilisation… à l’efficacité jamais démontrée, n’en déplaise à certains.
Sinon, l’année scolaire n’a même pas commencé que je vois des collègues et confrères déjà fatigués et presque démotivés par l’ambiance générale de charge de travail et de moyens. L’attaque du CHSF est grave, mais, plus généralement, les alertes SSI pleuvent au quotidien à un rythme toujours plus soutenu, et les équipes ont du mal à faire face. Je ne suis pas très optimiste…
Heureusement qu’il y a le Claaouuud.
Avez-vous apprécié ce contenu ?
A lire également.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Exploitation illicite de la base de données CIOdm : EHTRACE condamnée
21 juil. 2025 - 10:41,
Communiqué
- PHASTle 1er juillet 2025. Dans une décision sans équivoque, le Tribunal de Commerce de Bordeaux a sanctionné avec fermeté le détournement des données de la société PHAST, dans le litige qui l’opposait à EHTRACE.

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...