Cybersécurité et établissement de santé : le gouvernement adopte les mesures idoines pour combler le déficit sécuritaire
Depuis le début de cette année, le gouvernement français a exprimé sa volonté d’améliorer au mieux la sécurité informatique des établissements de santé qui sont de plus en plus ciblés et affectés par la vague de cybercriminalité que connaît le secteur du numérique.
Au cours de l’année 2020 et durant le début de l’année 2021, plusieurs dizaines d’hôpitaux et de laboratoires d’analyses ont été la cible des cyberattaques plus ou moins sophistiquées généralement basées sur des rançongiciels.
L’objectif du gouvernement et de faire une priorité la défense des systèmes informatiques de ces établissements. Pour cela plusieurs, propositions et projets ont été développés. Pour cela, l’organisme public chargé de la Défense en matière de sécurité informatique, l’autorité administrative indépendante qu’est l’agence nationale de sécurité informatique décide de déployer les grands moyens. L’objectif ? « Élever le niveau de sécurité de système d’information […] via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations », explique l’autorité administrative sur son site Web.
À titre de rappel il faudrait signifier qu’il y a bien longtemps, que les autorités ont été interpellé sur le fait que les systèmes informatiques des établissements de santé étaient particulièrement vulnérables. L’Agence nationale de sécurité des systèmes d’information elle même avec plusieurs fois dresser un portrait de cet aspect. Surtout en mettant en évidence la « menace la plus immédiate […] en terme de volume, de fréquence des attaques et de conséquences » qu’est le rançongiciel.
Le gouvernement français tient à cœur de prendre en priorité Cet aspect très important. Il a d’ailleurs annoncé un déblocage de plusieurs mesures budgétaire à cet effet. « La stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’État. Sur cette enveloppe […], 25 M€ seront spécifiquement consacrés à la sécurisation des établissements de santé », expliquait le ministre de la santé, Olivier Veran, et le secrétaire d’État chargé du numérique, Cédric O.
On constate que les mots sont suivis par les actes de mois après.
« L’accompagnement des bénéficiaires est le maître-mot de cette offre de service via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations », déclare l’Agence nationale de sécurité des systèmes d’information. Mais ces précisions pour les établissements ne peuvent malheureusement pas être bénéficiaire de ce programme. Pour être en mesure de solliciter l’expertise de l’agence, il faudrait remplir certaines conditions : « L’ensemble des bénéficiaires doit disposer d’un système d’information existant ;
Chaque organisation candidate doit être soutenue par son décideur, détenteur de la responsabilité juridique et administrative, afin de garantir la pleine implication des équipes et le bon déroulement des actions menées », souligne l’autorité administrative.
Par ces critères on peut détailler 4 circuits de sécurité informatique. Qui commence par le parcours fondation et se termine par le parcours renforcé. « Le point de passage des organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital. Une fois le plan d’action sélectionné, il s’agit de mettre en œuvre le parcours. ». Ledit circuit se divise en trois étapes :
« Étape 1, lancement : mise en œuvre du pack initial ». Un prestataire dit de « terrain » assure les actions de sensibilisation, formation et d’audit auprès du bénéficiaire. Ensemble, ils élaborent un plan de sécurisation listant les mesures concrètes à mettre en œuvre. » explique l’agence de sécurité des systèmes d’information sur son site web.
La seconde étape se fonde essentiellement sur l’approfondissement. On parle de la mise en œuvre des packs relais. « La démarche se poursuit par la mise en œuvre des mesures du plan de sécurisation. De nouveaux chantiers peuvent être lancés en fonction de l’évolution du niveau de cybersécurité du bénéficiaire. ».
Quant à la dernière étape, on parlera ici de suivi itératif. En effet, il sera fait en sorte que le prestataire qui est censé accompagner le bénéficiaire du programme doit guider ce dernier pour valider ses objectifs.
Avec ses premiers pas initié par le gouvernement français, il est espéré une certaine amélioration du cadre sécuritaire délai de santé face à la montée en puissance des opérateurs d’actes de cybermalveillance toujours aussi prompts à agir.
Accédez maintenant à un nombre illimité de mot de passe :