Rechercher
Se connecter
Adhérer
Actualités de l'Urgence - APM
Retour
SÉCURITÉ INFORMATIQUE: "EMPÊCHER LES ATTAQUES" PLUTÔT QU’"ÉTEINDRE LES INCENDIES" (DG DE L'ANSSI)
"Bien évidemment, quand les hôpitaux ont de très gros problèmes, [l'Anssi] va les aider", a assuré Guillaume Poupard. "Eteindre les incendies oui, mais le mal est déjà fait, il faut se placer en amont et empêcher les attaques."
Pour l'agence, cela signifie "aider les établissements de santé à comprendre leurs difficultés, évaluer le niveau de sécurité global et la manière de le faire progresser, prioriser tout ça car on ne peut pas tout faire, et ensuite durcir les systèmes [d'information] sans les empêcher de fonctionner", a-t-il ajouté.
Les établissements de santé "n'ont pas le choix" et "doivent impérativement se protéger face à des attaquants qui sont de bon niveau". La situation globale de la sécurité des systèmes d'information (SI) n'est "pas bonne", a-t-il souligné.
L'Anssi a pris en charge 14 incidents de sécurité des SI en 2020 dont 10 signalés par des établissements de santé publics, dont 4 opérateurs de services essentiels (OSE), et 2 par des établissements d'hébergement pour personnes âgées dépendantes (Ehpad), rappelle-t-on (cf dépêche du 04/05/2021 à 10:00). Elle a brossé un portrait sévère des vulnérabilités des SI des établissements de santé début 2021 (cf dépêche du 02/03/2021 à 19:19).
L'agence "vient de désigner une centaine d'établissements de santé comme OSE", a fait savoir Guillaume Poupard.
Les OSE "fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société", et sont réglementés par la directive européenne NIS (Network and Information Security), peut-on lire sur le site de l'agence.
Parmi les CHU, "une grosse dizaine" étaient déjà classés opérateur d'importance vitale (OIV), et "20 à 30 établissements de santé OSE", a-t-il précisé.
Les critères des OIV sont définis par la loi et non par une directive européenne. Il s'agit d'opérateurs "dont le dommage ou l'indisponibilité ou la destruction […] risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation; ou de mettre gravement en cause la santé ou la vie de la population", selon l'article R1332-1 du code de la défense. La liste des OIV est plus restreinte que celle des OSE.
La liste exacte est classée secret-défense, mais "il s'agit d'établissements un peu plus petits" que ceux qui étaient déjà OIV ou OSE, a noté le DG de l'Anssi. "Ce sont généralement les têtes de pont des groupements hospitaliers de territoire" (GHT).
"Une priorité a été mise sur l'outre-mer" du fait de l'éloignement géographique des établissements, a-t-il précisé.
"Le but [de la désignation OSE] n'est pas d'embêter les établissements mais de les aider. Être opérateur régulé, c'est une chance, on leur tend la main en la désignant", a-t-il souligné.
Le gouvernement avait annoncé en février son intention de désigner "d’ici trois mois" les 135 GHT comme OSE, rappelle-t-on (cf dépêche du 22/02/2021 à 14:57).
L'Anssi a rappelé que 25 millions d'euros (M€) seraient destinés aux établissements de santé sur les 136 M€ consacrés à la cybersécurité dans le plan de relance (cf dépêche du 22/02/2021 à 14:57).
"Il y a urgence à aider les établissements de santé, la menace est extrêmement importante", a souligné Gwenaëlle Martinet, cheffe de projet de France Relance à l'Anssi.
Des "parcours de cybersécurité" sont proposés aux établissements de santé afin de les accompagner dans l'amélioration de leur niveau de sécurité des SI, avait annoncé l'agence en avril (cf dépêche du 09/04/2021 à 11:06).
Dans ce cadre, le centre de lutte contre le cancer (CLCC) Léon-Bérard de Lyon a été retenu pour un parcours de sécurisation, a annoncé son responsable de la sécurité des SI (RSSI), Franck Mestre, également présent lors de la conférence de presse.
Le CLCC a participé "pour gagner en cybermaturité et car la menace est de plus en plus délétère", a-t-il déclaré.
La démarche s'est faite en trois grandes étapes: un état des lieux, un plan de sécurisation et une sensibilisation des personnels critiques.
A la fin, l'établissement a obtenu entre autres "un cyberscore [de sécurité], un cyberscore atteignable, et une synthèse avec ses points forts et faibles", ce qui "a permis de confirmer que la feuille de route du CLCC n'était pas si mauvaise et de faire un retour détaillé à la direction".
L'origine de l'incident des numéros d'urgence "identifiée"L'incident des numéros d'urgence survenu la semaine dernière est bien dû à une "panne", "c'est sûr à 99,9%", a déclaré Guillaume Poupard lors de la conférence de presse. Son origine a été "identifiée".Un rapport sera remis ce jeudi soir au secrétaire d'Etat chargé de la transition numérique et des communications électroniques, Cédric O, a-t-il indiqué sans plus de détails. L'Anssi a été chargée de conduire "un audit formel de contrôle de la sécurité et de l’intégrité du réseau et des services d’Orange" à la suite de cet incident, rappelle-t-on (cf dépêche du 04/06/2021 à 18:29). |
lc/nc/APMnews
Informations professionnelles
- AFMU
- Agenda
- Annonces de postes
- Annuaire de l'urgence
- Audits
- Calculateurs
- Cas cliniques
- Cochrane PEC
- Consensus
- Consensus SFMU
- COVID-19
- DynaMed
- E-learning
- Géodes
- Grand public
- Librairie
- Médecine factuelle
- Outils professionnels
- Portail de l'urgence
- Recherche avancée
- Référentiels SFMU
- Textes réglementaires
- UrgencesDPC
- Webinaire
- Weblettre
Adhérer à la SFMU
Alerte sanitaire
Inscription newsletter Retour
SÉCURITÉ INFORMATIQUE: "EMPÊCHER LES ATTAQUES" PLUTÔT QU’"ÉTEINDRE LES INCENDIES" (DG DE L'ANSSI)
"Bien évidemment, quand les hôpitaux ont de très gros problèmes, [l'Anssi] va les aider", a assuré Guillaume Poupard. "Eteindre les incendies oui, mais le mal est déjà fait, il faut se placer en amont et empêcher les attaques."
Pour l'agence, cela signifie "aider les établissements de santé à comprendre leurs difficultés, évaluer le niveau de sécurité global et la manière de le faire progresser, prioriser tout ça car on ne peut pas tout faire, et ensuite durcir les systèmes [d'information] sans les empêcher de fonctionner", a-t-il ajouté.
Les établissements de santé "n'ont pas le choix" et "doivent impérativement se protéger face à des attaquants qui sont de bon niveau". La situation globale de la sécurité des systèmes d'information (SI) n'est "pas bonne", a-t-il souligné.
L'Anssi a pris en charge 14 incidents de sécurité des SI en 2020 dont 10 signalés par des établissements de santé publics, dont 4 opérateurs de services essentiels (OSE), et 2 par des établissements d'hébergement pour personnes âgées dépendantes (Ehpad), rappelle-t-on (cf dépêche du 04/05/2021 à 10:00). Elle a brossé un portrait sévère des vulnérabilités des SI des établissements de santé début 2021 (cf dépêche du 02/03/2021 à 19:19).
L'agence "vient de désigner une centaine d'établissements de santé comme OSE", a fait savoir Guillaume Poupard.
Les OSE "fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société", et sont réglementés par la directive européenne NIS (Network and Information Security), peut-on lire sur le site de l'agence.
Parmi les CHU, "une grosse dizaine" étaient déjà classés opérateur d'importance vitale (OIV), et "20 à 30 établissements de santé OSE", a-t-il précisé.
Les critères des OIV sont définis par la loi et non par une directive européenne. Il s'agit d'opérateurs "dont le dommage ou l'indisponibilité ou la destruction […] risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation; ou de mettre gravement en cause la santé ou la vie de la population", selon l'article R1332-1 du code de la défense. La liste des OIV est plus restreinte que celle des OSE.
La liste exacte est classée secret-défense, mais "il s'agit d'établissements un peu plus petits" que ceux qui étaient déjà OIV ou OSE, a noté le DG de l'Anssi. "Ce sont généralement les têtes de pont des groupements hospitaliers de territoire" (GHT).
"Une priorité a été mise sur l'outre-mer" du fait de l'éloignement géographique des établissements, a-t-il précisé.
"Le but [de la désignation OSE] n'est pas d'embêter les établissements mais de les aider. Être opérateur régulé, c'est une chance, on leur tend la main en la désignant", a-t-il souligné.
Le gouvernement avait annoncé en février son intention de désigner "d’ici trois mois" les 135 GHT comme OSE, rappelle-t-on (cf dépêche du 22/02/2021 à 14:57).
L'Anssi a rappelé que 25 millions d'euros (M€) seraient destinés aux établissements de santé sur les 136 M€ consacrés à la cybersécurité dans le plan de relance (cf dépêche du 22/02/2021 à 14:57).
"Il y a urgence à aider les établissements de santé, la menace est extrêmement importante", a souligné Gwenaëlle Martinet, cheffe de projet de France Relance à l'Anssi.
Des "parcours de cybersécurité" sont proposés aux établissements de santé afin de les accompagner dans l'amélioration de leur niveau de sécurité des SI, avait annoncé l'agence en avril (cf dépêche du 09/04/2021 à 11:06).
Dans ce cadre, le centre de lutte contre le cancer (CLCC) Léon-Bérard de Lyon a été retenu pour un parcours de sécurisation, a annoncé son responsable de la sécurité des SI (RSSI), Franck Mestre, également présent lors de la conférence de presse.
Le CLCC a participé "pour gagner en cybermaturité et car la menace est de plus en plus délétère", a-t-il déclaré.
La démarche s'est faite en trois grandes étapes: un état des lieux, un plan de sécurisation et une sensibilisation des personnels critiques.
A la fin, l'établissement a obtenu entre autres "un cyberscore [de sécurité], un cyberscore atteignable, et une synthèse avec ses points forts et faibles", ce qui "a permis de confirmer que la feuille de route du CLCC n'était pas si mauvaise et de faire un retour détaillé à la direction".
L'origine de l'incident des numéros d'urgence "identifiée"L'incident des numéros d'urgence survenu la semaine dernière est bien dû à une "panne", "c'est sûr à 99,9%", a déclaré Guillaume Poupard lors de la conférence de presse. Son origine a été "identifiée".Un rapport sera remis ce jeudi soir au secrétaire d'Etat chargé de la transition numérique et des communications électroniques, Cédric O, a-t-il indiqué sans plus de détails. L'Anssi a été chargée de conduire "un audit formel de contrôle de la sécurité et de l’intégrité du réseau et des services d’Orange" à la suite de cet incident, rappelle-t-on (cf dépêche du 04/06/2021 à 18:29). |
lc/nc/APMnews