Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »

Lors de son intervention, Patrice Bigeard s’est d’abord voulu rassurant. « Il n’y a pas d’attaques majeures ciblées sur le secteur de la santé : les attaques restent proportionnelles à la surface qu’il représente. » Pour le FSSI, « si le secteur de la santé était vraiment ciblé, on aurait un nombre d’incidents bien plus important ».

À lire aussi : Sécuriser les données de santé : une méthode d’analyse de risque innovante

Il a salué le fait que « certains grands établissements se sont mis à l’abri de la plupart des attaques triviales », tout en rappelant que « sur les 3 000 établissements de santé et les 35 000 établissements sociaux et médico-sociaux, il y a encore énormément de travail à faire ».

Preuve de ce nécessaire travail, le doublement des incidents de sécurité entre 2020 et 2021. Une augmentation, à ses yeux, « liée aussi au fait que les établissements signalent beaucoup mieux : la plate-forme de signalement gérée par le CERT Santé est maintenant entrée dans les habitudes ».

La hausse des incidents est aussi corrélée avec « l’augmentation de la surface d’attaque : on externalise de plus en plus, on développe de moins en moins dans nos établissements, la surface d’attaque est donc de plus en plus complexe à défendre ». Patrice Bigeard a noté la concordance entre le nombre de vulnérabilités qui touchent les éditeurs ou les hébergeurs et le nombre d’incidents qui suivent rapidement la publication de ces vulnérabilités. Il a cité notamment les vulnérabilités liées à Exchange, Zimbra et Fortinet, qui ont pu toucher « 30, 40 ou 50 établissements cette année ».

Si, la plupart du temps, les mises à jour des solutions ont permis de régler le problème, Patrice Bigeard en a profité pour lancer un pavé dans la mare : la sécurisation insuffisante d’une large partie des solutions d’éditeurs retenues dans le secteur de la santé. « L’industrie du logiciel est l’une des rares qui peut se permettre de vendre des produits bugués, qui ont des failles, des vulnérabilités, en sachant que c’est vous qui ferez les mises à jour, les patchs, et qui allez assurer une partie de la sécurité des solutions », a-t-il souligné.

Dans le numérique, « on peut vendre un produit pas du tout sécurisé. Dans le monde du transport ferroviaire, automobile ou aérien, ça ne passe pas comme ça : aucune voiture ne se vendrait si elle avait des failles dès sa conception ; et si parfois c’est le cas, le constructeur procède à un rappel ».

« Il faudra à un moment ou à un autre intervenir en amont, soit par du réglementaire, soit avec des actions menées directement auprès des éditeurs pour les amener à un niveau de sécurisation plus conforme à ce que nous attendons », a précisé le FSSI.

Mais les insuffisances ne sont pas seulement à trouver du côté des éditeurs. Après être revenu sur plusieurs incidents récents (cyberattaque au Centre hospitalier Sud francilien en août, chiffrement des SI des Éhpad de Beuzeville en août et d’Argelès-Gazost en septembre, détection d’une compromission lors d’une mise à jour Zimbra au CH de Cahors en septembre, chiffrement du réseau de la maternité des Bluets à Paris, etc.), il a dressé un constat alarmant : si les équipes SSI sont souvent sous-dimensionnées, la grande hétérogénéité des applications à administrer et à sécuriser (parfois plus de 200 applications au sein d’un GHT) rend impossible le suivi de toutes les vulnérabilités. À ce titre, la convergence IT dans les GHT est une urgence, a-t-il déclaré.