Publicité en cours de chargement...
Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »
Lors de son intervention, Patrice Bigeard s’est d’abord voulu rassurant. « Il n’y a pas d’attaques majeures ciblées sur le secteur de la santé : les attaques restent proportionnelles à la surface qu’il représente. » Pour le FSSI, « si le secteur de la santé était vraiment ciblé, on aurait un nombre d’incidents bien plus important ».
À lire aussi : Sécuriser les données de santé : une méthode d’analyse de risque innovante
Il a salué le fait que « certains grands établissements se sont mis à l’abri de la plupart des attaques triviales », tout en rappelant que « sur les 3 000 établissements de santé et les 35 000 établissements sociaux et médico-sociaux, il y a encore énormément de travail à faire ».
Preuve de ce nécessaire travail, le doublement des incidents de sécurité entre 2020 et 2021. Une augmentation, à ses yeux, « liée aussi au fait que les établissements signalent beaucoup mieux : la plate-forme de signalement gérée par le CERT Santé est maintenant entrée dans les habitudes ».
La hausse des incidents est aussi corrélée avec « l’augmentation de la surface d’attaque : on externalise de plus en plus, on développe de moins en moins dans nos établissements, la surface d’attaque est donc de plus en plus complexe à défendre ». Patrice Bigeard a noté la concordance entre le nombre de vulnérabilités qui touchent les éditeurs ou les hébergeurs et le nombre d’incidents qui suivent rapidement la publication de ces vulnérabilités. Il a cité notamment les vulnérabilités liées à Exchange, Zimbra et Fortinet, qui ont pu toucher « 30, 40 ou 50 établissements cette année ».
Si, la plupart du temps, les mises à jour des solutions ont permis de régler le problème, Patrice Bigeard en a profité pour lancer un pavé dans la mare : la sécurisation insuffisante d’une large partie des solutions d’éditeurs retenues dans le secteur de la santé. « L’industrie du logiciel est l’une des rares qui peut se permettre de vendre des produits bugués, qui ont des failles, des vulnérabilités, en sachant que c’est vous qui ferez les mises à jour, les patchs, et qui allez assurer une partie de la sécurité des solutions », a-t-il souligné.
Dans le numérique, « on peut vendre un produit pas du tout sécurisé. Dans le monde du transport ferroviaire, automobile ou aérien, ça ne passe pas comme ça : aucune voiture ne se vendrait si elle avait des failles dès sa conception ; et si parfois c’est le cas, le constructeur procède à un rappel ».
« Il faudra à un moment ou à un autre intervenir en amont, soit par du réglementaire, soit avec des actions menées directement auprès des éditeurs pour les amener à un niveau de sécurisation plus conforme à ce que nous attendons », a précisé le FSSI.
Mais les insuffisances ne sont pas seulement à trouver du côté des éditeurs. Après être revenu sur plusieurs incidents récents (cyberattaque au Centre hospitalier Sud francilien en août, chiffrement des SI des Éhpad de Beuzeville en août et d’Argelès-Gazost en septembre, détection d’une compromission lors d’une mise à jour Zimbra au CH de Cahors en septembre, chiffrement du réseau de la maternité des Bluets à Paris, etc.), il a dressé un constat alarmant : si les équipes SSI sont souvent sous-dimensionnées, la grande hétérogénéité des applications à administrer et à sécuriser (parfois plus de 200 applications au sein d’un GHT) rend impossible le suivi de toutes les vulnérabilités. À ce titre, la convergence IT dans les GHT est une urgence, a-t-il déclaré.
Avez-vous apprécié ce contenu ?
A lire également.

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...