Français
Le 14 septembre dernier a eu lieu la 3ème édition de la journée régionale CAPSI (Cellule d’Appui à la Protection des Systèmes d’Informations). À travers l’intervention de professionnels du secteur, cette journée a proposé des conférences sur les nouveautés dans le secteur de la cybersécurité en santé. L’occasion pour l’ensemble des communautés de la santé PACA, d’échanger et de partager autour de la cybersécurité.
Portée par le GRADeS Innovation e-Santé SUD (ieSS), CAPSI a pour mission de renforcer la sécurité numérique et de former les utilisateurs à la protection des données. Le but : atteindre un niveau de sécurité adapté et se mettre en conformité RGPD.
En proposant une journée dédiée le 14 septembre dernier, l’idée était de sensibiliser et d'informer pour mieux gérer les situations de crise en cas de cyberattaques. Diverses tables-rondes ont eu lieu dont nous vous proposons ici un tour d’horizon.
LE PROGRAMME CARE
Le programme CaRE (pour Cybersécurité accélération et Résilience des Établissements) vise à donner une réponse collective, déterminée et ordonnée, pour faire face à la cyber menace. Impulsé par le Ségur du numérique en Santé, il est porté par l’Agence du numérique en santé (ANS), représentée par Elodie Chaudron, sa directrice de programmes. « Lors des attaques, les établissements peinent durant de long mois avant de retrouver un système fonctionnel d’avant crise. Ce constat se caractérise par le besoin de sensibiliser tous les acteurs à la cybersécurité et à l'hygiène informatique quels que soient leurs rôles et leurs modalités d’exercice. » Pour ce faire, le programme vise à activer tous les leviers possibles, qu’ils soient réglementaires, incitatifs ou coercitifs. Référencement, programmes de financement, logiciels... Le panel d’outils mis à disposition est large.
Première étape : structurer la gouvernance de la cybersécurité en impliquant tous les acteurs (DSI, RSSI, tissu industriel,...). En élargissant le spectre, CaRE garantit d’apporter une « réponse homogène et unifiée à cette menace qui est hexogène ». C’est à ce prix que les acteurs pourront s’approprier, décliner et déployer le programme au cœur de leurs projets et le rendre visible au travers de leurs choix stratégiques et budgétaires.
L’ACCOMPAGNEMENT DE L’ANSSI
L’Agence Nationale de la Sécurité des Systèmes d’Information participe justement au programme CaRE, dans le but de partager des retours d’expériences. Laure Duhesme, spécialiste sécurité, cybersécurité, défense et relations internationales à l’ANSSI a dressé devant les professionnels de la cybersécurité en santé un bilan des missions de l’agence et des obligations des établissements. « Pour résumer, nous avons 4 missions. Une mission de connaissance, une mission de partage, une mission d’accompagnement et une mission de défense. »
Dans le secteur de la santé, bon nombre d’acteurs sont désormais des OSE (Opérateurs de Services Essentiels). « Aujourd’hui, dans le secteur de la santé, il y a 142 OSE. C’est le secteur avec le plus d’OSE. » L’attribution des ces statuts s’est faite en deux temps. Une première vague à la sortie de la directive NIS. En 2019, 40 établissements de santé ont ainsi été désignés OSE suite notamment à l’attaque du CHU de Rouen. Puis, en 2021, avec les attaques de Dax et de Villefranche, a été décidé l’élargissement de l’appellation aux établissements supports de GHT. Les établissements supports de l’ensemble des GHT sont donc aujourd’hui considérés comme OSE.
Ces opérateurs sont des opérateurs régulés. Plusieurs accompagnements leur sont proposés par l’ANSSI. Tout d’abord, un accompagnement réglementaire qui passe par le suivi de conformité réglementaire NIS (Network and Information Security). « Ces suivis consistent à voir où en sont les établissements dans l’application des règles NIS et à donner des réponses à des questions sur ces règles, sur l’interprétation et l’application qui peuvent en être faites dans les établissements. » Il y a également une assistance technique et des audits pour ces opérateurs régulés. Le but est de renforcer la sécurité des entités régulées notamment par des accompagnements pour de la remédiation suite à des incidents. « Pour l’ensemble des hôpitaux nous avons des offres, notamment l’offre d’audits automatisés ADS, qui est un outil automatisé d’audits sur les AD et Syllem qui est un outil d’audit d’exposition sur internet. » L’agence vient également en appui aux initiatives du Ministère de la Santé. La coordination de base est une coordination avec les RSSI qui sont les référents cybersécurité et de gouvernance auprès du Ministère de la Santé.
L’intervenante a enfin fait un point sur la directive européenne NIS 2. Si elle ne s’applique pas encore, les piliers fondateurs de cette directive, qui seront traduits prochainement dans le droit national de chaque pays membre de l’Union Européenne, sont dores et déjà délimités. « Les 4 objectifs de NIS 1 étaient d’avoir une gouvernance nationale et européenne de la cybersécurité. NIS 2 a pour but d’élargir cette coopération et surtout cette résilience commune. Les OSE auront l’obligation d’avoir un point de contact NIS (souvent le RSSI), une identification des Systèmes d’Informations Essentiels et la mise en application des 23 règles de sécurité de la directive. »
RÉGLEMENTATION NIS 2
Et pour être complète, la journée a également dédié une table- ronde à cette nouvelle directive européenne. William SAMPIETRO, RSSI chez UNITEL, est intervenu pour la présenter. La première directive NIS est sortie en 2016 et a été transposée en 2018. L’objectif était alors d’avoir un niveau commun sur la sécurité des réseaux et des informations en Europe et de partager un certain nombre d’obligations et d’objectifs. « Le problème de NIS 1 c’est que les Etats pouvaient choisir leurs OSE librement. On avait une disparité complète dans chaque pays. Par exemple, la Finlande avait considéré qu’ils avaient 10 000 OSE alors que la France en avait identifié 300. »
Sans référentiel d’application, chaque Etat pouvait appliquer la directive comme il le voulait. L’actualité a alors imposé d’aller plus loin. « Aujourd'hui on fait le deuil de ce qu’était un OSE au sens de NIS 1. Il est maintenant question d’entités essentielles et d’entités importantes. » Pour cela, la directive pose des critères afin de définir qui est une entité essentielle et qui est une entité importante. Des critères que ne manqueront pas d’étudier attentivement les participants des journées CAPSI.
Marion BOIS avec Romane LAFERTÉ
[pdf-embedder url="https://www.sih-solutions.fr/wp-content/uploads/2023/12/014SIHMAG_v20p34-35.pdf"]
