Un plan d’accompagnement précisé par le ministère en vue de renforcer la sécurité informatique des établissements de santé
Le ministère des solidarités et de la santé avant son programme de mettre en place un plan d’accompagnement censé aider les établissements de santé dans le renforcement de leur cybersécurité.
Ces derniers, il faut le noter sont en voie d’intégrer le groupe des opérateurs de services essentiels (OSE).
Selon ce nouveau plan, les structures de santé sont dans l’obligation de consacrer 5 à 10 % de leur budget informatique à la sécurité, s’ils veulent bénéficier d’un quelconque soutien de la part du gouvernement français. C’est ce qui a été annoncé par Monsieur Cédric O et Olivier Véran le 22 février dernier. Des déclarations qui ont été faite lors de leur déplacement pour s’enquérir des nouvelles des hôpitaux de Dax et de Villefranche-sur-Saône, établissements touchés par des attaques au rançongiciel en l’occurrence le célébrissime Ryuk.
Cet article va aussi vous intéresser : Attaque informatique contre un hôpital : d’où vient exactement la faille
Dans le cadre du renforcement de la cybersécurité des établissements de santé, il y aura une intégration de près de 135 groupement Hospitaliers de territoire dans la fameuse liste des opérateurs de services essentiels.
Bien sûr c’est un statut qui exige plusieurs règles de cybersécurité très stricte, sans oublier la contrainte appliquée aux systèmes d’information des pratiques à la hauteur des exigences énoncées.
« L’Agence nationale de la sécurité des systèmes d’information (Anssi) sera chargée de contrôler le bon respect de ces règles. Les agences régionales de santé (ARS) accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations », déclarent les deux hommes du gouvernement dans leur communiqué.
À titre de rappel, il faut préciser que la loi du 26 février 2018 qui transpose une directive européenne 2016/1148 du 6 juillet 2016 dispose d’une liste des « services essentiels au fonctionnement de la société ou de l’économie » doivent être encadré sur l’aspect de la sécurité informatique de manière beaucoup plus exigeante. On peut consulter dans le décret du mai 2018 que les services « concourant aux activités de prévention, de diagnostic ou de soins », « la réception et la régulation des appels » et « le service mobile d’urgence et de réanimation » dans le cadre de l’aide médicale d’urgence, ainsi que la « distribution pharmaceutique ».
« Concernant l’attribution de 5 à 10% des budgets IT [informatique] à la cybersécurité, cela va être un engagement fort. Nous allons concevoir un plan d’accompagnement pour nous assurer que ce volet cybersécurité est bien intégré par les établissements de santé, au quotidien, et notamment pour faire face à la menace qui se multiplie par rançongiciels » explique Caroline Le Gloan, la cheffe de bureau « systèmes d’information des acteurs de l’offre de soins » à la DGOS
« Nous sommes en train de concevoir ce plan d’accompagnement au ministère, avec l’Agence nationale de sécurité des systèmes d’information et l’objectif est de relancer le plan de cybersécurité, mis en œuvre depuis 2019 et de le renforcer », a-t-elle annoncé. Par ailleurs, elle ajoute « Les budgets informatiques ne sont pas extensibles, ils sont contraints et nous prenons cela en compte dans le plan d’accompagnement. ».
Pour ce qui concerne en la désignation des groupements hospitalier de territoire, Caroline Le Gloan affirme : « là aussi, nous y travaillons ». « Il y a déjà un certain nombre d’établissements de santé désignés OSE, notamment les CHU, c’est un modèle que nous allons répliquer pour les 135 GHT. ».
Selon la responsable de bureau de la DGOS, il y aura durant cette semaine plusieurs réunions dans le but de déterminer quels seront les modalités à appliquer à ce plan d’accompagnement.
Emmanuel Le Bohec, le directeur commercial Europe – Moyen-Orient et Afrique (EMEA) de Claroty, société spécialisée dans la sécurité des environnements OT (Operational Technology) et des systèmes industriels, déclare : « La cybersécurité doit aller au-delà de la bureautique ». Il ajoute que « Il ne faut pas penser qu’à la bureautique. En matière de cybersécurité, la sécurité des infrastructures, des bâtiments est également importante. Au-delà de la bureautique, on peut prendre le contrôle des ascenseurs, des défibrillateurs, des pompes à insuline connectées, etc., lors d’une cyberattaque et l’environnement hospitalier n’est pas pensé pour la cybersécurité à l’origine. ». « Quand la bureautique est bloquée, on peut encore accéder au papier et les médecins peuvent encore soigner, même si c’est plus compliqué, mais quand les équipements de radiothérapie sont inaccessibles, par exemple, l’impact est beaucoup plus important » détaille ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :