Face à des cyberattaques de plus en plus fréquentes, les établissements de santé n’ont d’autres choix que de se mobiliser. Pour éviter d’altérer la prise en charge des patients, ces structures doivent élever leur niveau de sécurité au maximum. Antonin Hily, le directeur général de Sesame it revient sur les conseils à donner aux RSSI pour mieux se protéger et les premières mesures à mettre en place, malgré des ressources parfois limitées.
Category
🗞
NewsTranscription
00:00 Alors des cyberattaques dans le domaine de la santé, on en croise malheureusement de plus en plus.
00:08 Encore tout récemment dans le Lot-et-Garonne, c'est un data center qui est tombé.
00:13 Il était certifié HDS, c'est-à-dire capable d'héberger des données de santé.
00:16 Donc on imagine qu'il y en avait.
00:18 On va parler de cette question de la cyber, la cybersécurité avec mon invité
00:21 qui conseille les responsables des systèmes d'information, il les conseille sur la sécurité.
00:27 Il va nous dire quelles sont ces mesures à prendre, à mettre en place pour se protéger des attaques
00:31 malgré des ressources limitées parce que c'est un peu le problème que rencontrent ces établissements de santé.
00:37 C'est la difficulté sur les moyens disponibles.
00:40 Bonjour Anthony Hilly.
00:41 Bonjour.
00:41 Merci d'être dans Smartech pour délivrer tous ces conseils.
00:43 Vous êtes expert en cybersécurité, vous êtes un spécialiste de renseignement sur les cybermenaces.
00:48 Le directeur général de SESAM-IT ou IT vous dites ?
00:52 SESAM-IT.
00:53 Très bien.
00:54 Donc société française, on le précise, qui accompagne les organisations françaises mais aussi européennes
00:59 dans le déploiement de leur stratégie de cyber défense.
01:02 Alors parmi ces conseils, dites-nous déjà comment est-ce qu'on doit bâtir sa stratégie de cybersécurité
01:10 quand on est un établissement de santé ?
01:12 Alors en fait, je pense que la stratégie elle va passer par des choses qui sont assez simples.
01:20 Il faut retourner aux fondamentaux.
01:21 Les établissements de santé aujourd'hui, leur métier, ce n'est pas de faire de l'informatique,
01:24 ce n'est pas de faire de la cybersécurité, c'est de soigner des gens, d'accompagner des malades, peu importe.
01:30 Il faut leur trouver une solution simple à mettre en œuvre qui va leur permettre d'anticiper la menace
01:36 mais surtout d'y répondre le plus rapidement possible avec des moyens qui vont être limités,
01:40 des moyens financiers mais aussi humains.
01:42 Donc structurellement, un établissement de santé, il n'a pas été conçu pour répondre à une cyberattaque,
01:49 pour déployer des mécanismes de cybersécurité.
01:52 Donc la première chose à faire...
01:53 Donc ça veut dire qu'il faudrait repartir de zéro sur les systèmes d'information ?
01:58 Pas forcément, mais à minima se dire "ok, quel est le risque ?"
02:01 On va piloter la stratégie par le risque.
02:04 On va se poser la question de "qu'est-ce que j'expose et qu'est-ce que je risque si je le perds ?"
02:09 Et de quelle façon, à partir de là, je vais pouvoir faire pour le protéger
02:13 ou à minima pour le surveiller parce qu'il y a des choses qu'on ne pourra pas protéger.
02:16 Un établissement de santé...
02:17 C'est-à-dire qu'il faut décider des priorités et parfois faire l'impasse sur certaines choses ?
02:21 Exactement, je pense que c'est ça la gestion du risque.
02:24 En fait, c'est à un moment donné dire "à quel moment j'accepte ce risque-là et jusqu'où je l'accepte
02:29 et à partir de quand je...
02:31 Mais est-ce que tout n'est pas sensible dans un établissement de santé ?
02:33 Parce que finalement, la matière c'est de la donnée personnelle.
02:37 Exactement, et donc peut-être que la donnée personnelle en elle-même est extrêmement sensible,
02:42 mais il y a peut-être pire que ça.
02:43 On parlera peut-être des nouvelles menaces,
02:45 mais les équipements qui sont directement reliés à des patients
02:49 sont eux-mêmes connectés à un système informatique.
02:51 Donc, quelle est la priorité là ?
02:53 Quand on est un établissement de santé, et je n'ai pas la réponse forcément,
02:56 mais quelle est la priorité ?
02:57 Est-ce que je sauve la vie parce que potentiellement cet appareil va être piraté
03:00 ou est-ce que je préserve le numéro de sécurité sociale de ce patient ?
03:05 Et puis un établissement de santé ne ressemble pas à un autre.
03:06 Exactement.
03:07 On peut parler des hôpitaux, des cliniques, des laboratoires de biologie...
03:11 Donc d'abord, vous nous dites qu'il faut déjà prioriser ce qu'on doit absolument sécuriser,
03:18 mais après on fait quoi pour vraiment élever son niveau de protection ?
03:21 Alors, une fois qu'on a cartographié ces risques,
03:23 on va identifier les actions majeures qu'il va falloir prendre
03:26 et je pense qu'elles sont de deux ordres.
03:28 Le premier, il est extrêmement simple à mettre en oeuvre.
03:31 On en parle souvent, on le fait rarement, c'est la sensibilisation et la formation.
03:35 Encore une fois, le personnel, cette fois-ci, des établissements de santé,
03:38 il est formé pour soigner, pour sauver, mais il va aller à l'efficacité.
03:43 On le sait tous, ça va être très bateau ce que je vais dire,
03:46 mais le post-it collé dans la guitoune du milieu où il y a tous les patients qui passent...
03:50 Avec les mots de passe.
03:51 Il ne faut pas passer cinq minutes à le chercher parce qu'on n'a pas cinq minutes en cas d'urgence.
03:56 On va l'afficher là.
03:57 Ça, c'est une pratique qu'il ne faut pas continuer.
04:00 Et c'est des choses comme ça où...
04:01 Et donc il faut trouver un autre moyen pour que ce soit quand même facile.
04:03 Il faut leur simplifier la vie.
04:04 En fait, il va falloir leur simplifier la vie tout en les formant, en les sensibilisant à ça.
04:07 Et puis après, quand on a fait cette partie-là, le deuxième axe qui peut être très intéressant,
04:12 c'est des stratégies très simples, technologiques, qui vont permettre de surveiller et de détecter.
04:18 Pas forcément de répondre.
04:19 L'hôpital, il n'a pas la capacité de répondre.
04:21 Il faut qu'il soit accompagné pour ça.
04:22 Il y a l'ANSI qui fait ça merveilleusement bien,
04:24 mais il y a aussi des prestataires de services de tous types, ce qu'on appelle des MSSP,
04:29 qui sont aussi en capacité de les accompagner pour leur fournir...
04:32 Donc des prestataires qui sont vraiment spécialisés.
04:34 Exactement.
04:34 De la même manière qu'on a les HDS qui sont certifiés pour les déplacateurs et l'hébergement,
04:39 il y a des prestataires qui sont aussi certifiés pour l'établissement de santé.
04:42 Exactement.
04:43 C'est les prestataires de détection des incidents de sécurité qui ont été qualifiés par l'ANSI,
04:47 qui ont la capacité à œuvrer selon un certain référentiel très précis avec le secret de la donnée, etc.
04:55 J'avais quand même une dernière question, mais on n'a pas beaucoup de temps,
04:57 donc il faut répondre très vite.
04:58 Cloud ou pas cloud ?
05:00 On met ces données dans le cloud quand on est un établissement de santé ?
05:03 C'est plus ou moins sécurisé de le faire ?
05:05 En fait, je ne vais pas répondre à ça parce que c'est très polémique.
05:08 Surtout si vous n'avez pas le temps de répondre dans l'enveloppement.
05:10 Pourquoi pas ?
05:11 Pourquoi pas ?
05:12 Pourquoi pas ? En fait, ce n'est pas le cloud ou pas le cloud,
05:14 c'est comment on a sécurisé le cloud ou comment on ne l'a pas sécurisé.
05:17 Si on peut éviter qu'il soit américain, c'est tant mieux, mais après il y a d'autres façons de faire.
05:21 Merci beaucoup, Antonin Elie. Merci pour vos éclairages très intéressants.
05:24 Directeur général de SESAM-IT, donc vous faites j'imagine partie de ces prestataires
05:28 qu'on peut contacter si on est un établissement de santé.
05:31 OK. Allez, c'est l'heure de répondre à vos questions sur l'identité numérique régalienne française.