Vous êtes dans : Accueil > Actualités > Sécurité >

Le système de santé français brutalement attaqué ! Et si faible…

DSIH, MARDI 07 JANVIER 2014 Soyez le premier à réagir1 réactions

Par Vincent TRELY, Président de l’APSSIS Depuis le 2 janvier 2014, les sites des Agences Régionales de Santé (ARS), bras armés du Ministère de la Santé pour le pilotage opérationnel du système de santé français, sont indisponibles. Les plates-formes électroniques, applications et espaces numériques associés sont également out. C’est encore le cas ce matin, mardi 7 janvier 2014, soit 5 jours cumulés de blackout.

 

Comme l’indique le site www.zataz.com l’ensemble du système a été mis à mal par un jeune activiste algérien, Over-X, qui a réussi l’exploit de rendre inopérants plus de 40 sous-domaines du Ministère de la Santé, entre autres. Son interview et ses motivations sont détaillées sur zataz.

 

L’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé (APSSIS) est atterrée par cette attaque, première du genre, massive, à motivations politiques revendiquées. C’est très grave, bien plus que quelques dossiers médicaux en ligne...

 

L’ANSSI et le Ministère de la Santé sont très certainement actifs tant dans la remise en service des systèmes que dans l’investigation et les suites juridiques à donner.

L’ASIP Santé (Agence des Systèmes d’Information Partagés de Santé), actuellement vivement mise en cause dans les médias, sur le fond et sur la forme de ses actions, est le Maître d’œuvre de la sécurité des systèmes d’information de santé, depuis 5 ans…

 

Cet événement vient poser la cerise sur le gâteau d’une année 2013 où les premiers problèmes liés à la sécurité des informations de santé ont créé de vifs remous dans la presse et dans l’opinion publique. Fuites d’informations personnelles à caractère médical sur Internet, intrusions sur des SI d’Etablissements de Santé, piratages de comptes donnant accès à des données médicales font partie des réjouissances 2013 et l’on peut constater ce jour que 2014 commence plutôt bien !

 

Conscient des difficultés à sécuriser un ensemble complexe de systèmes critiques, conscient également du travail considérable de sensibilisation aux principes de sécurité des SI des acteurs en responsabilité, et en particulier des Directeurs Généraux d’Etablissements de Santé et des Médecins, l’APSSIS adopte une démarche consensuelle et proactive, préférant travailler à l’élaboration de solutions concertées et à la réflexion sur les causes et sur les conséquences. Il nous semble trop simple de régler chaque problème par la recherche de responsables…

 

Malheureusement, et comme souvent, notre réaction arrive « après coup ». Constat, dépit, réparation, prises de nouvelles mesures et apparition de budgets vont certainement constituer le fil conducteur de la suite des opérations.

Ce n’est plus suffisant. Nous sommes ridicules. Espionnés par la NSA, piratés massivement par de jeunes « hacktivistes » ou par des organisations spécialisées (Dossiers du G20, site de l’Elysée, fleurons industriels), nous n’avons pas encore pris la mesure des enjeux de l’économie numérique et subissons.

 

Il est grand temps de se doter des forces compétentes et organisées pour « tout simplement » protéger nos systèmes et assurer notre développement numérique de manière sérieuse. L’ANSSI est à ce jour à la recherche de 69 professionnels ! Le système de Santé en aurait besoin de 300 !

Il est grand temps de prendre conscience que le numérique, irréversible et source de grandes avancées dans tous les domaines, celui de la Santé en particulier, nous oblige à mettre en œuvre les moyens nécessaires à son bon usage.

Il est grand temps que les trop nombreux acteurs se fédèrent et donnent un sérieux coup de collier dans la sécurisation des systèmes d’information de santé, peut-être par plus de contraintes sur leurs « propriétaires » ou exploitants.

 

L’Europe que nous avons souhaitée pourrait permettre de créer une vraie force de frappe numérique, tant dans ses axes de développement que dans la sécurisation de ses processus clés (disponibilité, intégrité, confidentialité maîtrisée, traçabilité), plutôt que de laisser chaque Etat membre gérer ses petites faiblesses.

 

Le Congrès National de la Sécurité des SI de Santé, qui se tiendra au Mans, les 1er, 2 et 3 avril 2014, reviendra forcément sur cet événement et proposera de l’analyser finement, la première étape de la riposte étant de comprendre l’attaque.

http://www.apssis.com/

 

 

 

 

 

vincent trely, ars, sécurité, numérique, apssis


1 réaction(s) à l'article Le système de santé français brutalement attaqué ! Et si faible…

#2

Les sites informatiques des ARS attaqués : soyons clairs, ce ne sont que des systèmes administratifs qui n'ont aucune contrainte majeure de disponibilité. Aucun patient ne mourra de cette attaque et c'est heureux.
Par contre, c'est clairement un pavé dans la mare des pouvoirs publics, qui depuis des années militent pour augmenter fortement la confidentialité des systèmes de santé, et qui semblent découvrir - un peu tard et sans dégâts majeurs il faut encore le souligner - que la qualité principale d'un système informatique est de FONCTIONNER.

A quand un "décret disponibilité" ? A quand un système de certification des logiciels sensibles (prescription connectée, dossier de soins, etc.) pour en garantir la résilience - capacité à résister aux aléas.
A quand des critères de certifications HAS qui incluent des audits réguliers de vulnérabilité des systèmes de santé ?

De cette attaque majeure des ARS on peut rire ou pleurer.
Rire parce quand l'incident touche le voisin nos caractères latins ont tendance à trouver cela drôle.
Pleurer parce que, très honnêtement, combien d'hôpitaux auraient été impactés si l'attaque les avait ciblés, eux plutôt que les ARS ?


Message posté par wilbur (Déconnecté) le jeudi 09 janvier 2014 à 10:03:58 en réponse au message n°#1 REPONDRE