Publicité en cours de chargement...
Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »
Lors de son intervention, Patrice Bigeard s’est d’abord voulu rassurant. « Il n’y a pas d’attaques majeures ciblées sur le secteur de la santé : les attaques restent proportionnelles à la surface qu’il représente. » Pour le FSSI, « si le secteur de la santé était vraiment ciblé, on aurait un nombre d’incidents bien plus important ».
À lire aussi : Sécuriser les données de santé : une méthode d’analyse de risque innovante
Il a salué le fait que « certains grands établissements se sont mis à l’abri de la plupart des attaques triviales », tout en rappelant que « sur les 3 000 établissements de santé et les 35 000 établissements sociaux et médico-sociaux, il y a encore énormément de travail à faire ».
Preuve de ce nécessaire travail, le doublement des incidents de sécurité entre 2020 et 2021. Une augmentation, à ses yeux, « liée aussi au fait que les établissements signalent beaucoup mieux : la plate-forme de signalement gérée par le CERT Santé est maintenant entrée dans les habitudes ».
La hausse des incidents est aussi corrélée avec « l’augmentation de la surface d’attaque : on externalise de plus en plus, on développe de moins en moins dans nos établissements, la surface d’attaque est donc de plus en plus complexe à défendre ». Patrice Bigeard a noté la concordance entre le nombre de vulnérabilités qui touchent les éditeurs ou les hébergeurs et le nombre d’incidents qui suivent rapidement la publication de ces vulnérabilités. Il a cité notamment les vulnérabilités liées à Exchange, Zimbra et Fortinet, qui ont pu toucher « 30, 40 ou 50 établissements cette année ».
Si, la plupart du temps, les mises à jour des solutions ont permis de régler le problème, Patrice Bigeard en a profité pour lancer un pavé dans la mare : la sécurisation insuffisante d’une large partie des solutions d’éditeurs retenues dans le secteur de la santé. « L’industrie du logiciel est l’une des rares qui peut se permettre de vendre des produits bugués, qui ont des failles, des vulnérabilités, en sachant que c’est vous qui ferez les mises à jour, les patchs, et qui allez assurer une partie de la sécurité des solutions », a-t-il souligné.
Dans le numérique, « on peut vendre un produit pas du tout sécurisé. Dans le monde du transport ferroviaire, automobile ou aérien, ça ne passe pas comme ça : aucune voiture ne se vendrait si elle avait des failles dès sa conception ; et si parfois c’est le cas, le constructeur procède à un rappel ».
« Il faudra à un moment ou à un autre intervenir en amont, soit par du réglementaire, soit avec des actions menées directement auprès des éditeurs pour les amener à un niveau de sécurisation plus conforme à ce que nous attendons », a précisé le FSSI.
Mais les insuffisances ne sont pas seulement à trouver du côté des éditeurs. Après être revenu sur plusieurs incidents récents (cyberattaque au Centre hospitalier Sud francilien en août, chiffrement des SI des Éhpad de Beuzeville en août et d’Argelès-Gazost en septembre, détection d’une compromission lors d’une mise à jour Zimbra au CH de Cahors en septembre, chiffrement du réseau de la maternité des Bluets à Paris, etc.), il a dressé un constat alarmant : si les équipes SSI sont souvent sous-dimensionnées, la grande hétérogénéité des applications à administrer et à sécuriser (parfois plus de 200 applications au sein d’un GHT) rend impossible le suivi de toutes les vulnérabilités. À ce titre, la convergence IT dans les GHT est une urgence, a-t-il déclaré.
Avez-vous apprécié ce contenu ?
A lire également.

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
23 juin 2025 - 18:14,
Tribune
-Ça fait deux fois.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.