En direct du congrès APSSIS 2025 : Ouverture et table ronde institutionnelle

Côté ANS : une amélioration globale

• Le risque cyber est désormais en 3ᵉ position des risques anticipés et en 7ᵉ position des incidents déclarés, ce qui le place dans le top 10, même si on note une amélioration globale du côté des déclarations.
• Amélioration de la chaîne d’alerte.
• Beaucoup moins d’incidents très impactants sur la délivrance des soins.

Une phrase à retenir : À impact technique constant d’un incident cyber, les impacts métiers sont moindres, d’où l’importance des exercices de crise.

Côté ANSSI : vers la NIS 2 et une meilleure lisibilité

• Prochaine entrée en vigueur de la directive NIS 2.
• Simplification du processus de déclaration des incidents de SSI pour les entités à la fois sectorielles santé et soumises à NIS.

La multiplication des réglementations opposables soulève des questions, avec en ligne de mire la nécessité de matrices de correspondance.
L’ANSSI confirme son rôle de cyber-aidant, cyber-pompier et de producteur de références documentaires.

Enfin il est question du fort taux de participation au Domaine 1 de CaRa, du Domaine 2 qui concerne le PCRA, et du futur Domaine 3 qui concernera les accès distants et qui sera accessible en début 2026.

Les protagonistes sont tous parfaitement en phase (le public aussi, d’ailleurs) sur le risque fournisseur, mais soulignent à juste titre que l’écosystème est particulièrement hétérogène. À côté des « gros » acteurs, qui pour la plupart ont pris la mesure des enjeux, coexistent une multitude d’entreprises de plus petite taille, parfois dans des situations quelquefois irrattrapables.

Lors de la session de questions-réponses, un participant fait remarquer que si la directive NIS 2 constitue un vecteur important d’amélioration de cet écosystème, certaines structures associatives — notamment des registres — échappent totalement à toute cartographie. Une alerte à ce sujet a d’ailleurs été remontée au Ministère le mois dernier, concernant un registre situé dans le Nord de la France.

L’impression qui se dégage de cette table ronde est la même depuis deux ans : la stratégie est claire et affichée. Certes, on peut toujours débattre pour savoir si tel élément du Domaine 3 n’aurait pas eu sa place dans le Domaine 1, ou inversement. Mais globalement, il est difficile de reprocher aux pouvoirs publics un manque de vision stratégique. Cette vision est d’ailleurs confirmée par les retours du terrain, si l’on observe le recul du nombre d’incidents cyber graves constaté depuis environ 24 mois.