Le système de santé français brutalement attaqué ! Et si faible…

Comme l’indique le site www.zataz.com l’ensemble du système a été mis à mal par un jeune activiste algérien, Over-X, qui a réussi l’exploit de rendre inopérants plus de 40 sous-domaines du Ministère de la Santé, entre autres. Son interview et ses motivations sont détaillées sur zataz.

L’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé (APSSIS) est atterrée par cette attaque, première du genre, massive, à motivations politiques revendiquées. C’est très grave, bien plus que quelques dossiers médicaux en ligne...

L’ANSSI et le Ministère de la Santé sont très certainement actifs tant dans la remise en service des systèmes que dans l’investigation et les suites juridiques à donner.

L’ASIP Santé (Agence des Systèmes d’Information Partagés de Santé), actuellement vivement mise en cause dans les médias, sur le fond et sur la forme de ses actions, est le Maître d’œuvre de la sécurité des systèmes d’information de santé, depuis 5 ans…

Cet événement vient poser la cerise sur le gâteau d’une année 2013 où les premiers problèmes liés à la sécurité des informations de santé ont créé de vifs remous dans la presse et dans l’opinion publique. Fuites d’informations personnelles à caractère médical sur Internet, intrusions sur des SI d’Etablissements de Santé, piratages de comptes donnant accès à des données médicales font partie des réjouissances 2013 et l’on peut constater ce jour que 2014 commence plutôt bien !

Conscient des difficultés à sécuriser un ensemble complexe de systèmes critiques, conscient également du travail considérable de sensibilisation aux principes de sécurité des SI des acteurs en responsabilité, et en particulier des Directeurs Généraux d’Etablissements de Santé et des Médecins, l’APSSIS adopte une démarche consensuelle et proactive, préférant travailler à l’élaboration de solutions concertées et à la réflexion sur les causes et sur les conséquences. Il nous semble trop simple de régler chaque problème par la recherche de responsables…

Malheureusement, et comme souvent, notre réaction arrive « après coup ». Constat, dépit, réparation, prises de nouvelles mesures et apparition de budgets vont certainement constituer le fil conducteur de la suite des opérations.

Ce n’est plus suffisant. Nous sommes ridicules. Espionnés par la NSA, piratés massivement par de jeunes « hacktivistes » ou par des organisations spécialisées (Dossiers du G20, site de l’Elysée, fleurons industriels), nous n’avons pas encore pris la mesure des enjeux de l’économie numérique et subissons.

Il est grand temps de se doter des forces compétentes et organisées pour « tout simplement » protéger nos systèmes et assurer notre développement numérique de manière sérieuse. L’ANSSI est à ce jour à la recherche de 69 professionnels ! Le système de Santé en aurait besoin de 300 !

Il est grand temps de prendre conscience que le numérique, irréversible et source de grandes avancées dans tous les domaines, celui de la Santé en particulier, nous oblige à mettre en œuvre les moyens nécessaires à son bon usage.

Il est grand temps que les trop nombreux acteurs se fédèrent et donnent un sérieux coup de collier dans la sécurisation des systèmes d’information de santé, peut-être par plus de contraintes sur leurs « propriétaires » ou exploitants.

L’Europe que nous avons souhaitée pourrait permettre de créer une vraie force de frappe numérique, tant dans ses axes de développement que dans la sécurisation de ses processus clés (disponibilité, intégrité, confidentialité maîtrisée, traçabilité), plutôt que de laisser chaque Etat membre gérer ses petites faiblesses.

Le Congrès National de la Sécurité des SI de Santé, qui se tiendra au Mans, les 1^er, 2 et 3 avril 2014, reviendra forcément sur cet événement et proposera de l’analyser finement, la première étape de la riposte étant de comprendre l’attaque.

http://www.apssis.com/