Plan Blanc Numérique, est-ce vraiment ce dont nos hôpitaux ont besoin ?

Le Plan Blanc Numérique annoncé par le gouvernement en décembre avait pour but de doter tous les établissements de soins français de « réflexes et pratiques à adopter si un incident cyber survient ». En dépit d’une feuille de route bien définie, la question du nécessaire renforcement de la sécurité des systèmes d’information, porte d’entrée de toutes cyberattaques, reste à aborder.

Fabien Rech Headshot Colour (1)
Par Fabien Rech Publié le 28 juin 2023 à 5h30
Plan Blanc Numerique Hopitaux France Securite Informatique Rech
Plan Blanc Numérique, est-ce vraiment ce dont nos hôpitaux ont besoin ? - © Economie Matin
1000 MILLIARDS $La valeur des données personnelles des Européens est estimée 1.000 milliards de dollars.

Qu’ont en commun l'hôpital de Saint-Dizier et Vitry-le-François, le centre hospitalier de Corbeil-Essonnes ou encore l’hôpital André-Mignot de Versailles ? Ils font partie de la liste des 11 hôpitaux visés par une cyberattaque en 2022. Parmi elles, seules deux ont pu être déjouées. Pris pour cible par des cyberattaquants qui ignorent pour la plupart les réalités économiques du système de santé français, ils restent plus exposés que peuvent l’être d’autres industries1 à des cyberattaques pouvant entraîner pertes de données, interruptions de services et vol d'informations sensibles, en plus de se voir régulièrement réclamer des rançons.

Gérer la crise plutôt que d’agir en préventif

En fournissant des lignes directrices pour la gestion des incidents cyber dans son Plan Blanc Numérique, le gouvernement aspire à ce que les professionnels de santé soient mieux préparés en cas de cyberattaques. L’idée est simple : renforcer la cohérence et l'efficacité de la réponse des établissements de soins afin de réduire perturbations et coûts en cas d’attaque. Rien à opposer à cette idée sur le fond si ce n’est qu’elle ne prend pas forcément en compte la réalité du terrain : les ressources humaines et financières du secteur sont limitées et quand on est occupé à soigner ou sauver des vies, la cybersécurité n’est pas toujours une priorité.

L’enveloppe de 10 millions d’euros que le gouvernement se propose d’engager concerne actuellement la réalisation d’un exercice de crise cyber par ailleurs annuel dans les établissements de santé. Chaque établissement se voyant alloué une enveloppe allant de 4 000 à 10 000 euros conditionnée à son niveau de maturité en termes de cybersécurité. On est en droit de demander si cette enveloppe peut raisonnablement suffire préparer un hôpital comme la Pitié Salpétrière qui emploie plus 95 000 personnes en cas de cyberattaque. Il va sans dire que l’homme, aussi bien formé qu’il soit, reste par ailleurs faillible. Tout particulièrement dans un contexte où d’autres priorités – réelles ou perçues – prennent le dessus. Que dire également du fait que le paysage des menaces n’a jamais été aussi complexe et évolué aussi rapidement qu’aujourd’hui. Sans ressources humaines et matérielles supplémentaires dédiées à la cybersécurité au quotidien, comment peut-on envisager protéger optimalement tout un secteur ?

Faire de la cybersécurité une priorité absolue

Une importante déconnexion entre les professionnels de la cybersécurité et les cadres dirigeants existe aujourd’hui dans nos organisations. Près de quatre cyber-professionnels sur 102 affirment que leur direction n'accorde pas suffisamment d'attention à la sécurité informatique et que celle-ci est traitée comme une simple "case à cocher". Pour assurer une cybersécurité efficace, il est pourtant fondamental que cette dernière soit perçue comme centrale au bon fonctionnement des organisations. Il est également important que les entreprises investissent efficacement dans la prévention, en mettant en place des mesures de sécurité proactives pour réduire les risques d’attaques, et pas seulement dans la résolution d’incident ou la gestion de crise. Ces investissements doivent bien sûr inclure la mise en place d’interfaces de protection des données et de surveillance en temps réel des systèmes d'information et ne pas oublier la formation en continu des ressources à la sécurité informatique.

Un autre problème de taille auquel font face nos organisations en matière de cybersécurité est celui des systèmes d’information souvent vieillissants et dont les mises à jour système se font rares. Nombre de cyberattaquants opèrent en utilisant des failles de sécurité datant pour certaines de 2018 sur des logiciels d’usage parfois courant. La mise à niveau régulière des systèmes reste une façon efficace de d’améliorer la cyber protection des organisations. En attendant que ce geste devienne un réflexe pour tous, le besoin d’un certain leadership pour en forcer l’adoption continue de se faire sentir.

1 Au quatrième trimestre 2022, la santé fut l’industrie le plus touchée par des attaques de ransomwares.
Source: The Threat Report, February 2023, Trellix Advanced Research Center

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Fabien Rech Headshot Colour (1)

Après un début de carrière en tant que chef de projet dans des structures informatiques, Fabien Rech crée sa société à 25 ans. Durant dix années, il noue des partenariats stratégiques au sein de l’écosystème de la cybersécurité. En 2008, il rejoint McAfee. Il dirigera l’activité commerciale de la filiale française puis occupera successivement les postes de Senior Directeur Europe du Sud en 2018 et de Vice-Président en 2020. En 2021, alors que l’entreprise réoriente sa stratégie, il est nommé Vice-President EMEA Grands Comptes et, plus récemment, Senior Vice-President EMEA de Trellix.

Aucun commentaire à «Plan Blanc Numérique, est-ce vraiment ce dont nos hôpitaux ont besoin ?»

Laisser un commentaire

* Champs requis