La cybersécurité des hôpitaux laisse à désirer

Lors du forum international de la cybersécurité, monsieur Guillaume Poupard le directeur de l’Agence nationale de sécurité des systèmes d’information, l’organisme en public chargé de veiller à la cybersécurité sur le territoire français, à exposer le plan du gouvernement français visant à améliorer la cybersécurité des établissements hospitaliers de la France.

Mais avant tout propos, il avait déclaré ceci devant toute une assemblée deux professionnels de la sécurité de l’informatique : « Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle ».

Cet article va aussi vous intéresser : Attaque informatique contre un hôpital : d’où vient exactement la faille

Cette intervention de Monsieur Poupard s’explique par une réalité qui a pris de l’ampleur à partir de l’an 2020. Les établissements de santé que ce soient des hôpitaux ou encore des laboratoires de recherche, se faisaient constamment attaquer par des pirates informatiques. Il a été observé un nombre d’attaque informatique assez impressionnant. Le taux de croissance de ses actes de cybermalveillance est totalement inédit. Ce qui pourrait expliquer cette raison, c’est que la multiplication de ces attaques correspond à une expansion des actes basés sur des logiciels de rançons qui a été observé sur le plan international.

Par ailleurs, dans un contexte dominé par l’actualité de la pandémie à coronavirus, les hôpitaux étaient devenues les cibles privilégiées des pirates informatiques. Car les raisons de payer les sommes exigées dans un contexte où les systèmes informatiques sont inaccessibles deviennent littéralement une obligation pour ces derniers cars cela il va de la vie de leurs patients. Et bien sûr de ce côté il avait vu juste parti.

« Avant 2020, nos hôpitaux ne croyaient pas trop à la menace, ils pensaient qu’ils avaient mieux à faire avec leur argent », note avec regret Poupard, « maintenant, ils ont compris que ce n’est pas seulement un délire de l’Anssi », ajoute ce dernier.

À ce niveau, il a rappelé à quel point il est important le niveau de cybersécurité des organismes publics en particulier les hôpitaux et la collectivité territoriale

En février 2021, le président français Emmanuel Macron, faisait l’annonce de la mise en place d’un plan de redressement de la sécurité informatique des établissements hospitaliers. Ce qui démontre honnêtement que le sujet est quelque chose qui est pris au sérieux et même au plus haut des grades du pouvoir politique. Ce qui est quand même un point positif dans un contexte qui depuis quelques années et en train de sombrer.

En effet, il faut signifier qu’entre les années 2019 et 2020, l’Agence nationale de sécurité des systèmes d’information a augmenté le nombre de ses interventions auprès des victimes de cyberattaques basées sur des logiciels de rançon. L’autorité administrative en charge de la cyberdéfense parle d’une augmentation de 250 % avec une croissance par an de près de 60 % au niveau des interventions sur le premier trimestre de l’année 2021.

D’ailleurs en début de l’année 2021, les organismes publics observaient une attaque par semaine contre les établissements de santé.

Du côté des États-Unis, les autorités gouvernementales ont décidé d’opter pour l’offensive face à la multiplication des cyberattaques dirigées contre des entreprises importantes tel que JBS et Colonial Pipeline. Pourtant du côté de la France, l’Agence nationale de cybersécurité n’a pas pour objectif de se lancer dans une attitude offensive contre les cybercriminels.

« On continuera de dire que la meilleure défense, c’est la défense », souligne Guillaume Poupard.

Dans la réalisation de son projet de défense, l’organisme public français pour la cyberdéfense met en application une directive européenne en matière de sécurité d’un réseau informatique, une norme européenne en vigueur en France depuis 2018. Grâce à cela, l’agence peut octroyer la dénomination « d’opérateurs de services essentiels » (OSE), qui vient soutenir de la qualité d « opérateur d’importance vitale » (OIV) qui lui a été institué à travers la loi de programmation militaire de 2013.

Pour les opérateurs de services essentiels, la contrainte de se soumettre à des exigences en matière de sécurité renforcée s’imposent naturellement. Ce qui les obligera dorénavant à notifier à l’Agence nationale de sécurité de système d’information,

tous types d’incidents pouvant avoir un impact sur la sécurité. Ces organisations sont contraintes aussi à accepter des audits et des contrôles que jugerait nécessaire l’organisme de cyberdéfense ou un partenaire certifié à cet effet. En d’autres termes, c’est un moyen qui permet d’augmenter la sécurité des organismes visés même contre leur gré.

Plus de 100 hôpitaux ont été catégorisés comme étant opérateurs de services essentiels. 13 Centres hospitaliers universitaires ont reçu la qualification d’opérateurs d’importance vitale.

 « On a fait ce qu’on n’avait jamais fait jusque là : on a pris les établissements tous ensemble et on leur a expliqué. On a fait témoigner des établissements qui ont été victimes, et d’autres qui s’étaient déjà engagés dans une logique d’OSE », souligne Monsieur Poupard. « Nous allons peut-être avoir 20 % de ces OSE qui ne vont rien faire, qui vont se planquer et ne pas appliquer la directive NIS. Mais je m’en moque, car on fait de la médecine d’urgence : l’important, c’est les 80 % qui grâce à la désignation OSE vont utiliser la réglementation pour progresser », ajoute-il.

Accédez maintenant à un nombre illimité de mot de passe :