Publicité en cours de chargement...
Sécurité des SI de santé : une rentrée chaude bouillante
Ah ! j’allais oublier : il y a bientôt un an, à la sortie d’une conférence aux Assises de Monaco, je faisais un pari avec Gérôme Billois, expert cyber chez Wavestone : Gérôme soutenait la position de l’Anssi qui prétendait que d’ici à cinq ans la situation de la menace cyber serait réglée (comme l’a été la piraterie maritime aux xviiie siècle), et moi la position exactement inverse, à savoir que la chienlit ne faisait que démarrer. Comme je l’écrivais dans un billet de décembre dernier, j’espérais vraiment, vraiment, vraiment, perdre… sauf que rien ne semble en prendre le chemin.
Et aussi la plateforme de messagerie sécurisée Signal qui subit une attaque, c’est une première. Plus précisément, c’est un serveur chargé de vérifier les numéros de téléphone qui s’est fait attaquer. Bon, comme quoi, même chez les très bons, on peut se faire avoir, ce qui me remonte un tantinet le moral après la news ci-dessus.
Sinon, c’est Corilus (l’éditeur de Softalmo) qui a affolé les RSSI de tous les CH/CHU clients, en contactant le mercredi 24 août au soir les équipes informatiques d’astreinte pour demander de verrouiller dare-dare les comptes de connexion VPN de télémaintenance. Gros buzz sur le canal Tchap des RSSI, en lien avec la cellule de cyberveille. Et, à l’heure où ce billet est rédigé, aucune explication ni justification. Quand Corilus aura réglé ses problèmes techniques, on lui conseille de réviser ses procédures de com : standard injoignable, aucune communication sur le site Web, bref de l’amateurisme quasi professionnel !
À lire aussi : Cybersécurité : « Dans le monde du logiciel, on peut vendre un produit pas du tout sécurisé »
Bon, sinon, à la suite de l’attaque du CHSF, les pouvoirs publics ont annoncé en grande pompe le déblocage de 20 millions d’euros pour la cybersécurité des établissements de santé. Une telle somme ne parle que pas ou peu à l’individu lambda. Elle paraît énorme, tout le monde la ramène au prix de sa voiture ou de sa maison et se dit qu’avec une telle somme on peut en faire des trucs. Petite explication avec la calculette : il y a 135 GHT, ce qui donne 148 148 euros par GHT. Tout de suite, c’est moins sexy, d’autant que l’on ne parle pas des centaines d’établissements (Éhpad entre autres) qui ne sont rattachés à aucun GHT, mais passons. Avec cette somme fabuleuse, que va-t-on pouvoir faire ? Déjà, c’est de l’investissement et pas de l’exploitation, il va donc falloir ventiler cette somme sur l’achat de solutions dont la métrique de tarif est souvent de trois ans (abonnement aux mises à jour d’un AV, d’un scanner, d’un IDS, etc.). On en arrive alors à 49 382 euros par an sur trois ans : pas de quoi payer un SIEM, même à prix cassé, ni un module AV en analyse d’un LAN biomed, ni une sonde en mirroring. Et encore je ne parle même pas des bonshommes qu’il va falloir pour installer le bazar (eh oui, tout ne se sous-traite pas) ni pour l’exploiter (eh oui, les consoles de supervision ne se surveillent pas par l’opération du Saint-Esprit).
Ah ! j’allais oublier : un petit test de phishing a été réalisé au Cern[1] (dont une bonne partie des personnels ont au minimum BAC + 18), avec faux mail issu d’une adresse mail bidon, invitant à cliquer sur un lien pour remplir un formulaire avec login et password, la totale. Résultat : 1 800 personnes ont religieusement saisi leurs ID + MDP. On parle du Cern, là, pas du club de tricot du quartier de ma grand-mère ! Débats sur les réseaux sociaux, mais si si si il faut former et sensibiliser, ce qui, paraît-il, ferait diminuer le risque ! Que dalle les amis, tant qu’il reste un seul gugusse qui clique, le risque est le même. La seule valeur ajoutée démontrée de la sensibilisation est de vendre des produits et des prestations de sensibilisation… à l’efficacité jamais démontrée, n’en déplaise à certains.
Sinon, l’année scolaire n’a même pas commencé que je vois des collègues et confrères déjà fatigués et presque démotivés par l’ambiance générale de charge de travail et de moyens. L’attaque du CHSF est grave, mais, plus généralement, les alertes SSI pleuvent au quotidien à un rythme toujours plus soutenu, et les équipes ont du mal à faire face. Je ne suis pas très optimiste…
Heureusement qu’il y a le Claaouuud.
Avez-vous apprécié ce contenu ?
A lire également.
Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...
« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?
29 sept. 2025 - 20:33,
Tribune
-Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...
Domaine 2 du programme CaRE : une matinée pour se faire accompagner
29 sept. 2025 - 11:30,
Actualité
- Valentine Bellanger, DSIHDans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !
