Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Charlotte Drapeau, ANSSI : les acteurs de la santé peuvent bénéficier d’un audit de sécurité et d’un accompagnement de l’ANSSI

octobre 2021 par Emmanuelle Lamandé

Charlotte Drapeau est responsable du bureau Santé et Société de la division coordination sectorielle de l’ANSSI. A l’occasion des Assises de la Sécurité, elle fait le point sur les différentes actions initiées par l’Agence pour renforcer le niveau de cybersécurité des établissements de santé en France, et les mobiliser sur ces sujets. Dans le cadre du plan France Relance, bon nombre d’entre eux peuvent par exemple bénéficier d’un audit de sécurité et d’un accompagnement de l’ANSSI. Il serait donc dommage de s’en priver…

Global Security Mag : En tant que cheffe du bureau Santé et Société de la division coordination sectorielle de l’ANSSI, pouvez-vous nous présenter votre rôle et vos missions ?

Charlotte Drapeau : Au sein de la division de la coordination sectorielle de l’ANSSI, j’assure le pilotage et le management des différents coordinateurs sectoriels dans les domaines dont le bureau Santé et Société a la charge, tels que la santé, la culture, l’alimentation, l’agriculture, ainsi que la gestion des grands évènements sportifs. Je représente en ce sens le point de contact privilégié pour les différents acteurs de ces écosystèmes, et les accompagne dans leur mise en conformité, en lien avec les ministères de tutelle sur les enjeux de cybersécurité.

GS Mag : Quels sont les risques et les principales menaces cyber qui pèsent aujourd’hui sur le secteur de la santé en France ? Ont-ils évolué depuis le début de la crise sanitaire ?

Charlotte Drapeau : A l’heure actuelle, on recense en moyenne un incident de sécurité par semaine touchant le secteur de la santé. Le plus souvent, ces établissements sont victimes d’attaques par rançongiciels à des fins lucratives. Et ce phénomène ne touche pas uniquement le domaine de la santé. Entre 2019 et 2020, l’ANSSI a pu observer quatre fois plus d’attaques de ce type.

Toutefois, il est important de garder à l’esprit que les menaces cyber existaient d’ores et déjà avant la pandémie, que ce soit dans le secteur de la santé ou autre, et perdureront également après. L’incident ayant touché le CHU de Rouen en 2019 en témoigne. Le centre hospitalier universitaire avait vu ses activités paralysées suite à une attaque par rançongiciel. La crise sanitaire peut cependant dans certains cas être un facteur d’aggravation de la menace. Les cybercriminels ont, en effet, toujours surfé sur l’actualité, et la pandémie a particulièrement mis en lumière les établissements de santé depuis près de deux ans maintenant.

Évidemment, les risques inhérents au secteur de la santé sont plus prégnants que dans certains autres domaines d’activité, dans la mesure où les conséquences peuvent être dramatiques. Une attaque visant un établissement de santé peut par exemple impacter la disponibilité des systèmes d’informations hospitaliers, des appareils biomédicaux, scanners, IRM…, altérer la confidentialité et l’intégrité des données, désorganiser les métiers, voire paralyser un ou plusieurs services, pouvant entraîner dans certains cas des pertes de chance et le décès de patients, ou un retard dans leur prise en charge…

De plus, la surface d’exposition d’un hôpital est vaste, du fait du nombre d’interconnexions avec l’extérieur, ce qui démultiplie les possibilités d’attaques et facilite le travail d’un cybercriminel. L’objectif sera donc de sécuriser autant que faire se peut cette surface, et de réduire a mini sa vulnérabilité.

GS Mag : Quel état faites-vous à l’heure actuelle du niveau de sécurité des établissements de santé en France ?

Charlotte Drapeau : Il est difficile aujourd’hui de dresser un état des lieux général du niveau de sécurisation des établissements de santé en France, tant celui-ci est hétérogène. La plupart des établissements sont à des stades d’avancée différents, en fonction du contexte de chacun, de ses ressources et de ses équipes, de son niveau de maturité…

GS Mag : Quels sont les champs d’actions de l’ANSSI pour renforcer le niveau de sécurité des établissements de santé, mais aussi les accompagner en cas d’incident ?

Charlotte Drapeau : Pour faire face à cette menace, l’ANSSI accompagne en effet les établissements de santé dans leurs démarches de sécurisation, mais aussi de remédiation en cas d’incident.
Depuis juillet 2016, 135 groupements hospitaliers de territoire (GHT) ont été constitués pour favoriser le travail en réseau des hôpitaux français. Dans le cadre de la Directive européenne NIS, ces 135 GHT ont été désignés comme OSE (Opérateurs de Service Essentiel) et sont donc soumis à des obligations de sécurité renforcées. Tous les établissements ne partent évidemment pas du même niveau de sécurité, mais cela va permettre d’homogénéiser le niveau de protection des différents acteurs de la santé. Nous les accompagnons bien entendu dans leurs démarches de mise en conformité.

De plus, sur les 136 millions d’euros du plan France Relance confiés à l’ANSSI pour renforcer la cybersécurité dans notre pays, 25 millions d’euros ont été alloués au secteur de la santé, et sont destinés à la sécurisation des établissements de santé, du ministère et des organismes qui en dépendent. Ces ressources vont permettre à ces différents établissements d’initier ou de renforcer leurs démarches de cybersécurité au travers de parcours dédiés.

Les parcours de cybersécurité permettent aux établissements de santé qui le souhaitent de bénéficier de l’accompagnement d’un prestataire sélectionné par l’ANSSI dans le diagnostic de leur niveau de sécurité, la mise en œuvre d’une feuille de route et d’un plan d’actions visant à renforcer leur niveau de protection. Le plan France Relance finance la première phase d’accompagnement et cofinance les phases complémentaires d’approfondissement. Outre les moyens financiers, ce plan offre aux établissements de santé les compétences et les bras nécessaires à la réalisation d’audits, à la mise en place d’actions de sensibilisation, de formation et de mesures de sécurité.

Chaque parcours permet d’atteindre un objectif de cybersécurité de façon progressive, mesurable et adaptée à chaque établissement. La mise en œuvre se décline en 3 étapes :
- Un pré-diagnostic, pour orienter le bénéficiaire vers le parcours le plus adapté en fonction de son niveau de maturité SSI et des mesures déjà mises en place ;
- A l’issue du pré-diagnostic, une phase vise à élaborer une feuille de route permettant de renforcer le niveau global de cybersécurité ;
- Enfin, un ou plusieurs accompagnements, afin de mettre en œuvre ces actions de sécurisation et déployer des solutions de sécurité.

Près de 1 000 établissements de santé peuvent également bénéficier d’un audit ADS (Active Directory Security) et de l’exposition de services sur internet proposé par les experts de l’ANSSI. L’AD est, en effet, un élément critique permettant la gestion centralisée de l’ensemble des permissions sur les différents domaines qui composent un système d’information Microsoft. L’obtention de privilèges élevés sur l’AD entraîne par conséquent une prise de contrôle instantanée et complète de tout le SI. L’objectif de l’audit ADS est de leur donner de la visibilité sur le niveau de sécurité de leurs annuaires Active Directory et de les accompagner dans le durcissement de ces derniers par l’application progressive de mesures adéquates, avec un suivi dans le temps.
De son côté, l’outil SILENE permet d’évaluer la surface d’attaque de l’organisation en listant les services disponibles sur internet susceptibles d’être exploités par un attaquant.

En outre, un portail du Club SSI est dédié à la santé et regroupe les différents services pouvant les accompagner dans leurs démarches de sécurisation.

L’objectif global de l’ensemble de ces mesures d’accompagnement est de donner une impulsion aux établissements de santé afin qu’ils se mobilisent sur ces sujets et de créer une dynamique.

GS Mag : Quelle sera votre stratégie en la matière dans les mois à venir ?

Charlotte Drapeau : Dans les mois à venir, nous allons continuer à accompagner les établissements de santé dans leur mise en conformité, et les aider à monter en maturité dans le cadre du plan France Relance 2021/2022. Nous collaborons d’ailleurs avec l’ensemble des acteurs sur ces sujets (Ministère de la Santé, RSSI de tutelle, établissements…). Cette coopération est la clé du succès pour améliorer le niveau de cybersécurité de l’écosystème.

Nous allons également poursuivre, de manière générale, la sensibilisation et la diffusion des bonnes pratiques en matière de SSI. L’ANSSI met l’accent ce mois-ci, dans le cadre du Cybermoi/s, sur la sécurité des mots de passe. Les mesures de base d’hygiène informatique permettent, en effet, déjà de se prémunir d’un certain nombre d’attaques de masse.

GS Mag : Enfin, quelles recommandations et quel message souhaitez-vous faire passer aux acteurs de la santé, et plus largement à nos lecteurs ?

Charlotte Drapeau : Aux acteurs de la santé, je leur dirais de ne surtout pas hésiter à postuler au plan France Relance pour bénéficier d’un audit de sécurité et d’un accompagnement de l’ANSSI.
Et à toutes les organisations, je leur recommanderais de ne pas oublier de mettre en œuvre les bonnes pratiques d’hygiène informatique : renforcer la sécurité de ses mots de passe, effectuer des sauvegardes, testées et hors-ligne, s’exercer à la gestion de crise, et bien sûr sensibiliser les directions générales et l’ensemble des collaborateurs à la cybersécurité.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants