Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »

18 nov. 2022 - 15:00,
Actualité - DSIH
Le fonctionnaire de sécurité des systèmes d’information (FSSI) adjoint du ministère des Solidarités et de la Santé, Patrice Bigeard, a dressé un état des menaces cyber dans le secteur de la santé, lors du 7e Colloque sur la sécurité des SI organisé le 9 novembre par l’Agence du numérique en santé.

Lors de son intervention, Patrice Bigeard s’est d’abord voulu rassurant. « Il n’y a pas d’attaques majeures ciblées sur le secteur de la santé : les attaques restent proportionnelles à la surface qu’il représente. » Pour le FSSI, « si le secteur de la santé était vraiment ciblé, on aurait un nombre d’incidents bien plus important ».

À lire aussi : Sécuriser les données de santé : une méthode d’analyse de risque innovante

Il a salué le fait que « certains grands établissements se sont mis à l’abri de la plupart des attaques triviales », tout en rappelant que « sur les 3 000 établissements de santé et les 35 000 établissements sociaux et médico-sociaux, il y a encore énormément de travail à faire ».

Preuve de ce nécessaire travail, le doublement des incidents de sécurité entre 2020 et 2021. Une augmentation, à ses yeux, « liée aussi au fait que les établissements signalent beaucoup mieux : la plate-forme de signalement gérée par le CERT Santé est maintenant entrée dans les habitudes ».

La hausse des incidents est aussi corrélée avec « l’augmentation de la surface d’attaque : on externalise de plus en plus, on développe de moins en moins dans nos établissements, la surface d’attaque est donc de plus en plus complexe à défendre ». Patrice Bigeard a noté la concordance entre le nombre de vulnérabilités qui touchent les éditeurs ou les hébergeurs et le nombre d’incidents qui suivent rapidement la publication de ces vulnérabilités. Il a cité notamment les vulnérabilités liées à Exchange, Zimbra et Fortinet, qui ont pu toucher « 30, 40 ou 50 établissements cette année ».

Si, la plupart du temps, les mises à jour des solutions ont permis de régler le problème, Patrice Bigeard en a profité pour lancer un pavé dans la mare : la sécurisation insuffisante d’une large partie des solutions d’éditeurs retenues dans le secteur de la santé. « L’industrie du logiciel est l’une des rares qui peut se permettre de vendre des produits bugués, qui ont des failles, des vulnérabilités, en sachant que c’est vous qui ferez les mises à jour, les patchs, et qui allez assurer une partie de la sécurité des solutions », a-t-il souligné.

Dans le numérique, « on peut vendre un produit pas du tout sécurisé. Dans le monde du transport ferroviaire, automobile ou aérien, ça ne passe pas comme ça : aucune voiture ne se vendrait si elle avait des failles dès sa conception ; et si parfois c’est le cas, le constructeur procède à un rappel ».

« Il faudra à un moment ou à un autre intervenir en amont, soit par du réglementaire, soit avec des actions menées directement auprès des éditeurs pour les amener à un niveau de sécurisation plus conforme à ce que nous attendons », a précisé le FSSI.

Mais les insuffisances ne sont pas seulement à trouver du côté des éditeurs. Après être revenu sur plusieurs incidents récents (cyberattaque au Centre hospitalier Sud francilien en août, chiffrement des SI des Éhpad de Beuzeville en août et d’Argelès-Gazost en septembre, détection d’une compromission lors d’une mise à jour Zimbra au CH de Cahors en septembre, chiffrement du réseau de la maternité des Bluets à Paris, etc.), il a dressé un constat alarmant : si les équipes SSI sont souvent sous-dimensionnées, la grande hétérogénéité des applications à administrer et à sécuriser (parfois plus de 200 applications au sein d’un GHT) rend impossible le suivi de toutes les vulnérabilités. À ce titre, la convergence IT dans les GHT est une urgence, a-t-il déclaré.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite

L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite

06 oct. 2025 - 10:50,

Communiqué

- EHESP

Dans un contexte d’accélération de la transformation numérique du système de santé, l’École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite à destination des équipes dirigeantes d’établissements sanitaires, sociaux et médico-sociaux.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.