Sécurité des SI de santé : une rentrée chaude bouillante

    30 août 2022 - 11:00,
    Tribune - Cédric Cartau
    SécuritéE-santé
    Même pas eu le temps de ranger les tongs et de sortir le sable d’entre les doigts de pied que cela démarre à fond avec l’attaque cyber de l’hôpital de Corbeil-Essonnes (CHSF). À l’heure où ces lignes sont écrites, très peu d’informations ont fuité, notamment sur le mode d’attaque (le vecteur), le mode de propagation et l’étendue des dégâts. Certaines sauvegardes semblent également avoir été chiffrées (mais apparemment pas toutes), et nous n’en savons pas plus sur les systèmes touchés, en partie ou totalement.Par contre, nous avons confirmation que, comme à chaque sinistre de ce genre dans un domaine aussi complexe que celui de la santé, moult consultants en tout genre qui n’ont jamais mis les pieds de leur vie dans un SI de santé (si tant est qu’ils aient d’ailleurs mis les pieds dans un SI tout court) ont un avis bien tranché sur la question, du genre « il faut tout mettre dans le Claaouuud ». Ça fait plaisir de rencontrer des gens hyperintelligents, ils vont pouvoir nous expliquer comment faire ce que nous n’avons jamais réussi à construire, nous autres les crétins hospitaliers, par exemple mettre les automates de laboratoire dans le Claaouuud, ou l’informatique de la chaîne de stérilisation, ou les enceintes réfrigérées des banques de tissus, ou les terminaux multifonctions en chambre… Bon, OK, j’arrête.

    Ah ! j’allais oublier : il y a bientôt un an, à la sortie d’une conférence aux Assises de Monaco, je faisais un pari avec Gérôme Billois, expert cyber chez Wavestone : Gérôme soutenait la position de l’Anssi qui prétendait que d’ici à cinq ans la situation de la menace cyber serait réglée (comme l’a été la piraterie maritime aux xviiie siècle), et moi la position exactement inverse, à savoir que la chienlit ne faisait que démarrer. Comme je l’écrivais dans un billet de décembre dernier, j’espérais vraiment, vraiment, vraiment, perdre… sauf que rien ne semble en prendre le chemin.

    Et aussi la plateforme de messagerie sécurisée Signal qui subit une attaque, c’est une première. Plus précisément, c’est un serveur chargé de vérifier les numéros de téléphone qui s’est fait attaquer. Bon, comme quoi, même chez les très bons, on peut se faire avoir, ce qui me remonte un tantinet le moral après la news ci-dessus.

    Sinon, c’est Corilus (l’éditeur de Softalmo) qui a affolé les RSSI de tous les CH/CHU clients, en contactant le mercredi 24 août au soir les équipes informatiques d’astreinte pour demander de verrouiller dare-dare les comptes de connexion VPN de télémaintenance. Gros buzz sur le canal Tchap des RSSI, en lien avec la cellule de cyberveille. Et, à l’heure où ce billet est rédigé, aucune explication ni justification. Quand Corilus aura réglé ses problèmes techniques, on lui conseille de réviser ses procédures de com : standard injoignable, aucune communication sur le site Web, bref de l’amateurisme quasi professionnel !

    À lire aussi : Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »

    Bon, sinon, à la suite de l’attaque du CHSF, les pouvoirs publics ont annoncé en grande pompe le déblocage de 20 millions d’euros pour la cybersécurité des établissements de santé. Une telle somme ne parle que pas ou peu à l’individu lambda. Elle paraît énorme, tout le monde la ramène au prix de sa voiture ou de sa maison et se dit qu’avec une telle somme on peut en faire des trucs. Petite explication avec la calculette : il y a 135 GHT, ce qui donne 148 148 euros par GHT. Tout de suite, c’est moins sexy, d’autant que l’on ne parle pas des centaines d’établissements (Éhpad entre autres) qui ne sont rattachés à aucun GHT, mais passons. Avec cette somme fabuleuse, que va-t-on pouvoir faire ? Déjà, c’est de l’investissement et pas de l’exploitation, il va donc falloir ventiler cette somme sur l’achat de solutions dont la métrique de tarif est souvent de trois ans (abonnement aux mises à jour d’un AV, d’un scanner, d’un IDS, etc.). On en arrive alors à 49 382 euros par an sur trois ans : pas de quoi payer un SIEM, même à prix cassé, ni un module AV en analyse d’un LAN biomed, ni une sonde en mirroring. Et encore je ne parle même pas des bonshommes qu’il va falloir pour installer le bazar (eh oui, tout ne se sous-traite pas) ni pour l’exploiter (eh oui, les consoles de supervision ne se surveillent pas par l’opération du Saint-Esprit).

    Ah ! j’allais oublier : un petit test de phishing a été réalisé au Cern[1] (dont une bonne partie des personnels ont au minimum BAC + 18), avec faux mail issu d’une adresse mail bidon, invitant à cliquer sur un lien pour remplir un formulaire avec login et password, la totale. Résultat : 1 800 personnes ont religieusement saisi leurs ID + MDP. On parle du Cern, là, pas du club de tricot du quartier de ma grand-mère ! Débats sur les réseaux sociaux, mais si si si il faut former et sensibiliser, ce qui, paraît-il, ferait diminuer le risque ! Que dalle les amis, tant qu’il reste un seul gugusse qui clique, le risque est le même. La seule valeur ajoutée démontrée de la sensibilisation est de vendre des produits et des prestations de sensibilisation… à l’efficacité jamais démontrée, n’en déplaise à certains.

    Sinon, l’année scolaire n’a même pas commencé que je vois des collègues et confrères déjà fatigués et presque démotivés par l’ambiance générale de charge de travail et de moyens. L’attaque du CHSF est grave, mais, plus généralement, les alertes SSI pleuvent au quotidien à un rythme toujours plus soutenu, et les équipes ont du mal à faire face. Je ne suis pas très optimiste…

    Heureusement qu’il y a le Claaouuud.

    [1] https://www.nextinpact.com/lebrief/69831/cybersecurite-au-cern-plus-1-800-personnes-sont-tombees-dans-piege-dun-faux-email 

    # Sensibilisation à la sécurité informatique# Sécurité des si de santé# Cybersecurite# Phishing# Attaques informatiques

    Avez-vous apprécié ce contenu ?

    A lire également.

    Illustration Le futur de l’IA : Big Crunch, Big Freeze ou TVA ?

    Le futur de l’IA : Big Crunch, Big Freeze ou TVA ?

    12 mai 2026 - 06:50,

    Tribune

    -
    Cédric Cartau

    C’est un fait : nous finirons tous cramés comme des merguez ou gelés comme des ours polaires.

    Illustration Cyber-résilience hospitalière : renforcer détection et réponse sans surcharger ses ressources

    Cyber-résilience hospitalière : renforcer détection et réponse sans surcharger ses ressources

    11 mai 2026 - 11:24,

    Actualité

    - Fabrice Deblock, DSIH

    Le secteur de la santé n’est plus une cible secondaire, mais un objectif récurrent pour le cybercrime organisé. Entre les exigences de NIS2 et l’interconnexion croissante des systèmes, la seule détection ne suffit plus à contenir les risques. Les établissements doivent désormais renforcer leur capac...

    Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient

    05 mai 2026 - 07:15,

    Actualité

    - Fabrice Deblock, DSIH

    Plan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.

    Illustration Fuites de données en France : inquiétant, désabusé…ou espoir ?

    Fuites de données en France : inquiétant, désabusé…ou espoir ?

    28 avril 2026 - 08:10,

    Tribune

    -
    Cédric Cartau

    En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.

    Lettre d'information.

    Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

    Inscrivez-vous à notre lettre d’information hebdomadaire.

    A propos

    Nous suivre

    Contact

    Abonnement

    DSIH Magazine

    Nos marques

    Logo DSIHLogo Thema Radiologie