Le CyberCamp Santé #3  sur les bons rails

La raison d’être du CyberCamp Santé est l’échange, les témoignages et la réflexion entre acteurs de l’écosystème pour améliorer la défense des établissements de santé face aux attaques informatiques, diligentées par des hackers internationaux.

La troisième édition était très attendue avec des sujets inédits comme

  • les premiers retours d’expériences sur les exercices de crise cyber (dont l’obligation pour les établissements d’en réaliser un annuellement devrait très prochainement être officialisée) ;
  • la publication récente du Code de la cybersécurité ;
  • les enjeux du concept d’« assurabilité » du risque cyber.

Tous les voyants étaient au vert. Aucune mesure sanitaire pour contraindre la tenue d’ateliers en petits groupes, des inscriptions ayant atteint un chiffre record et l’envie des intervenants de poursuivre l’action, en constatant la portée des efforts menés collectivement sur la prévention et la sécurisation des données.

C’était sans compter sur le mouvement de grève du mardi 18 octobre et la cascade d’annulations de titres de transport qui nous ont contraints à reporter l’événement prévu ce jour là…

Reporté et pas annulé, puisque bonne nouvelle le CyberCamp Santé aura bien lieu jeudi 2 février 2023, à PariSanté Campus !

Didier Ambroise
Associé fondateur Doshas Consulting
Fondateur du CyberCamp Santé


Dans l’attente de ces retrouvailles qui n’en seront que meilleures, nous vous tiendrons informés par une newsletter mensuelle de l’actualité de la cybersécurité en santé.

Restons d’ici là tous cybervigilants et à très bientôt !

Speakers

DAVID BIGOT

Délégué général de ROAM

À la tête d’une association regroupant 70 assureurs et mutuelles, David Bigot livrera son analyse sur l’impact assurantiel de la cybercriminalité dans le secteur de la santé, et les meilleures solutions.

BRUNESSEN BERTRAND

Professeur de droit à l’Université de Rennes 1

Spécialisée en Intelligence Artificielle, Cyber, Droit européen et Droit digital, ainsi qu’en Gouvernance de la donnée.

Découvrez son témoignage

BBertrand

MATTHIEU AUDIBERT

Chef d’Escadron, Commandant de la Gendarmerie dans le cyberespace

Juriste de formation, Matthieu Audibert est officier de gendarmerie spécialisé dans la cybercriminalité. Il dirige le département des coopérations et des partenariats cyber au sein de la division de la stratégie et de la gestion de crise cyber.

Découvrez son témoignage

ELODIE CHAUDRON

Responsable du Développement Territorial à l’Agence du numérique en santé

Depuis le CERT-Santé, Elodie Chaudron a une vision à 360° des crises cyber, et des exercices à pratiquer pour pouvoir y faire face.

STEVEN GARNIER

Référent technique eSanté à l’Agence Régionale de Santé Bourgogne-Franche-Comté.

À la pointe des problématiques territoriales de cybercrise, et des réponses à y apporter.

Vers une culture commune de la cybersécurité en Europe ?

Confrontés à des questions de souveraineté et de particularismes nationaux, comment les différents textes et règlements européens parviendront-ils à augmenter le niveau de cybersécurité et de cyber résilience des états membres ? Eléments de réponse avec Brunessen Bertrand, enseignante, chercheure et spécialiste en politique européenne du numérique.

Quel est, selon vous, l’enjeu de l’approche européenne en matière de cybersécurité ?

« Il est à la fois de plus en plus important et à double tranchant. Pour des raisons de souveraineté, certains états membres de l’Union européenne sont un peu réticents à l’idée de partager des informations sur cette question. Dans le même temps, ils perçoivent aussi leur vulnérabilité et la nécessité de se protéger dans un cadre plus large que le cadre national. L’adoption de différents textes, comme celui du Cybersecurity Act en juin 2019, reflète une avancée significative dans la volonté européenne d’harmoniser les méthodes d’évaluation et les niveaux de certification, afin de renforcer la sécurité du marché unique du numérique et la libre circulation des produits et des services. »

BBertrand

Brunessen Bertrand

Professeure agrégée de droit et chercheure à l’Université de Rennes 1

 

La révision de la directive Network and Information System Security (NIS) s’inscrit-elle dans cette logique ?

« La directive NIS adoptée en 2016 visait à renforcer et élever le niveau de cybersécurité des opérateurs de services essentiels (OSE) afin de les protéger d’attaques informatiques qui auraient des conséquences majeures sur le fonctionnement de l’économie et de la société. Comme ce sujet touche à des questions sensibles de souveraineté, la directive n’a pas voulu brusquer les étapes, d’autant plus que les marges de manœuvre nationales sont assez importantes. A titre d’exemple, il faut savoir que suivant les états membres, les hôpitaux ne sont pas tous des OSE, cette qualification dépendant parfois de la taille de l’établissement de santé. Face à de telles disparités, il parait difficile d’obtenir une protection totalement suffisante.

La révision NIS vise aussi à renforcer les obligations faite aux OSE de notifier les incidents cyber. Pour y parvenir, il est nécessaire que tous les pays de l’Union européenne parlent le même langage et s’entendent sur la définition, les origines (malveillance, défaillance du système, panne technique, phénomène naturel) et le niveau d’impact d’un incident cyber.

Quantifier, nommer et faire remonter, la commission européenne a constaté quelques dysfonctionnements et un manque de partage de la part de certains OSE qui perçoivent ces signalements comme contre intuitifs, préférant, le plus souvent, agir de manière discrète, afin de ne pas perdre la confiance de leurs usagers et de leurs fournisseurs. Si une culture commune de la cybersécurité a encore pour l’instant du mal à s’établir, c’est pourtant par elle que l’Europe parviendra à augmenter son niveau de cyber résilience face aux menaces d’attaques informatiques. »

 

Comment la réglementation européenne tient-elle compte de l’évolution de l’Internet des objets et de l’utilisation croissante de l’IA à l’hôpital, pour renforcer le niveau général de sécurité ?

« Aujourd’hui, avec l’Internet des objets et le passage du cloud computing vers le l’edge computing, la surface d’attaque des données stockées en périphérie est multipliée, augmentant leur vulnérabilité face aux cyberattaques. Tout dispositif médical, tout objet et jouet connectés deviennent un point d’entrée pour les hackers, ce qui impose de repenser complètement leur protection et d’avoir une approche de la cybersécurité qui intègre leurs spécificités. C’est l’un des objectifs du Cyber resilience act, un texte très important annoncé il y a quelques jours, qui vise à établir une nouvelle norme pour l’ensemble des produits contenant des éléments numériques. L’idée est d’appréhender leur sécurité tout au long de leur cycle de vie, avec des exigences de sécurité régulières au niveau des mises à jour et pas seulement au moment de leur mise sur le marché. Pour être efficace, cette exigence s’accompagne d’une extension dans le temps de la responsabilité des fabricants.

Quant à l’utilisation croissante de l’IA et de la robotique dans le domaine de la santé, elle interroge forcément les professionnels et les praticiens. En termes de cybersécurité, les enjeux du suivi de pathologies à distance se posent presque à un niveau individuel, avec des conséquences directes sur la santé des patients. Un projet de règlement européen pour réguler l’IA à haut risque est d’ailleurs sur le point d’être adopté, avec des exigences de robustesse, de solidité des données et de contrôle humain pour limiter la vulnérabilité liée à l’utilisation de ce type d’aide à la décision ou au diagnostique. »

 

L’application de la législation s’accompagne-t-elle d’une acculturation des établissements de santé ?

« Les points de vulnérabilité à l’hôpital se multipliant, les établissements se doivent d’acquérir une culture d’anticipation et d’adaptation au risque cyber, car toutes les professions médicales peuvent être impactées. Les petites structures ont parfois tendance, à tord, à ne pas se sentir directement concernées par la menace. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait à cet égard un travail considérable d’aide, de pédagogie et d’accompagnement. »

 

Pourquoi avez-vous accepté de participer à la troisième édition du CyberCamp Santé et qu’en attendez-vous ?

« Dans le cadre de mes recherches sur la valeur juridique, l’utilisation et la protection des données de santé, j’ai travaillé avec des spécialistes d’informatique médicale et des équipes du CHU de Rennes. Je me suis alors rendue compte que croiser les approches permettait de mieux appréhender ces questions dont l’intérêt est aujourd’hui crucial. C’est exactement ce que propose le CyberCamp Santé et je trouve que c’est formidable de réunir des représentants du monde juridique, des professionnels de santé, des spécialistes des systèmes d’information autour d’un événement qui laisse à chacun l’opportunité de s’exprimer et de se comprendre ! Ce projet, très bien pensé, représente le lancement d’une dynamique collective qui me parait pertinente et essentielle. Je suis donc très honorée et heureuse d’y participer. »

BIO EXPRESS

Professeure agrégée des facultés de droit, en poste à l’Université de Rennes 1, Brunessen Bertrand dirige le Centre de recherches européennes de Rennes (CEDRE) et le laboratoire de droit européen. Spécialisée depuis plusieurs années en politique européenne du numérique, elle mène des recherches sur la gouvernance des données, le marché unique numérique, l’intelligence artificielle et la santé ainsi que la cybersécurité au sein de l’IODE (Institut de l’Ouest Droit et Europe).

Elle est également en charge de la chaire Jean-Monnet sur la gouvernance des données (DataGouv) et secrétaire générale de la « Revue trimestrielle de droit européen » éditée par Dalloz.

« La cybercriminalité est devenue un risque systémique »

Spécialiste en droit pénal et procédure pénale appliqués à la cybercriminalité, Matthieu Audibert est officier supérieur de la gendarmerie nationale. A la tête du département des coopérations et des partenariats cyber, il revient sur l’importance d’informer les établissements de santé de la présence à leurs côtés, partout en France, d’experts et d’enquêteurs spécialisés, susceptibles d’intervenir en amont et lors de la gestion d’une cyberattaque.

Quelle évolution marquante constatez-vous en matière de cybercriminalité ?

« Il n’y a pas si longtemps, la cybercriminalité et plus généralement la menace cyber étaient un risque conjoncturel. C’est-à-dire qu’il était lié à des périodes, des temporalités plus ou moins courtes, pour lesquelles il était possible d’identifier une recrudescence, par exemple des tentatives d’escroqueries. Aujourd’hui, avec la massification de l’usage d’Internet et l’augmentation de la connectivité de la population par la téléphonie mobile, la cybercriminalité est devenue un risque systémique.

Matthieu Audibert,
Officier de gendarmerie, chef du département des coopérations et des partenariats cyber du commandement de la gendarmerie dans le cyberespace (ComCyberGend)

Toute entité publique ou privée sera un jour ou l’autre, si ce n’est pas déjà fait, exposée à un risque de piratage informatique. C’est la raison pour laquelle il est important d’avoir non seulement des capacités de police judiciaire permettant d’identifier les auteurs de ces infractions, mais surtout une approche proactive de prévention, contribuant à limiter la survenue d’une cyberattaque. Elle passe notamment par la formation, la mise en place de politiques de sécurité des SI et l’élaboration de fiches réflexes. »

 

En complément de cette approche proactive, de quel accompagnement les établissements de santé peuvent-ils bénéficier une fois la cyberattaque détectée ?

« Par delà cette prévention que l’on peut qualifier de situationnelle, nous travaillons, avec d’autres acteurs de l’État comme cybermalveillance.gouv.fr, à la diffusion d’une culture de la cybersécurité de réaction auprès des victimes et potentielles victimes de cyberattaques. Nous essayons de leur donner les moyens d’identifier la situation rencontrée, de connaître les actes réflexes à mobiliser et surtout de savoir qui prévenir afin de provoquer l’intervention des forces de l’ordre. Notre rôle d’enquêteurs consiste, d’une part, à mettre en œuvre des mesures de police judiciaire et d’autre part, en lien avec des services partenaires comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI), à faciliter la mise en œuvre de de mesures de remédiation afin de limiter l’exposition de la structure à des attaques et des fuites de données de santé, de manière à circonscrire au maximum le préjudice subi tout en préservant les éléments de preuve permettant d’enquêter. »

 

D’où l’importance de la présence de gendarmes spécialisés en technologies numériques sur l’ensemble du territoire français ?

« Face à la menace cyber, les structures publiques et privées de la santé ne sont pas seules. Autour d’elles, existe tout un écosystème d’agences et de services de l’État, capable de les appuyer au niveau national mais aussi local, que les responsables, qu’ils soient directeurs d’établissements ou DSI, ont parfois du mal à identifier. Il faut donc savoir que dans chaque département français, la gendarmerie possède des enquêteurs spécialisés en technologie numérique (NTECH) ainsi que des  spécialistes des problématiques de sûreté, en mesure de réaliser un diagnostique, en partenariat avec la structure, ou d’intervenir pour prendre les premières mesures conservatoires.  Si une cyberattaque survient, la question essentielle est celle de l’alerte puis de prendre les premières mesures afin de limiter l’impact de cette cyberattaque . Effectivement, il est primordial de prévenir au plus tôt les services de police ou de gendarmerie, pour qu’en fonction de la compétence territoriale, les experts en technologies numériques interviennent afin de « geler », le plus rapidement, la scène d’infraction numérique. »

Avez-vous l’impression que la parole se libère ?

« On constate un double phénomène. D’une part, le risque cyber est de plus en plus pris en compte dans les politiques des différentes organisations, par rapport à une époque pas si lointaine, où la question de la SSI (sécurité des systèmes d’informations) apparaissait comme un peu secondaire, voire une dépense financière superflue. D’autre part, la connectivité de la population et des organisations qui explose et continuera d’exploser, fait que la problématique de la protection et de la fuite des données personnelles devient une légitime préoccupation à tous les niveaux. »

 

Vous avez participé à l’élaboration du Code de la cybersécurité, publié récemment. Quelle est sa raison d’être ?

« Ce Code de la cybersécurité a pour ambition de réunir, dans un seul et même ouvrage, tous les volets législatifs et réglementaires ayant trait à la cybersécurité. Il s’articule autour de trois grandes parties. Un livre premier orienté cybersécurité, contenant toutes les règles de base que doivent avoir en tête les responsables de la sécurité des SI et les personnes chargées de la protection des données personnelles ; un deuxième consacré à la lutte contre la cybercriminalité, à destination des professionnels du monde de la police judiciaire et de la justice ; un troisième qui porte sur toutes les règles juridiques relatives à la cyberdéfense, notamment par rapport à la protection d’opérateurs d’importance vitale que peuvent constituer les hôpitaux.

Sorti et présenté en juin dernier* lors du dernier Forum International de la Cybersécurité (FIC), il constitue un panorama complet des cadres juridiques et réglementaires, relatifs au milieu cyber en France et rassemble également de nombreux commentaires des différents auteurs, illustrant avec des exemples opérationnels comment ces règles trouvent à s’appliquer. »

 

Qu’attendez-vous de la troisième édition du CyberCamp Santé ?

« Cet événement va nous permettre d’être identifiés auprès des populations et des professionnels qui pourraient avoir besoin de nos services. C’est une belle opportunité pour renforcer les liens entre les professionnels de la sécurité informatique dans le milieu de la santé et les représentants des structures susceptibles d’intervenir à leur profit, ainsi que d’intensifier la diffusion d’une culture de la cybersécurité. Ce sera également l’occasion de mettre des visages sur des noms… »

 

*Publié chez Dalloz, il est accessible en format papier et numérique.

BIO EXPRESS

Officier de gendarmerie, le chef d’escadron, Matthieu Audibert est juriste de formation, spécialisé en droit pénal et en procédure pénale appliqués à la cybercriminalité.

Diplômé de l’université Paris Nanterre, de Sciences Po Aix en Provence, de l’université de Montpellier et de l’École des officiers de la gendarmerie nationale, il est affecté au commandement de la gendarmerie dans le cyberespace. Il dirige le département des coopérations et des partenariats cyber au sein de la division de la stratégie et de la gestion de crise cyber.

Il prépare une thèse de doctorat en droit privé et sciences criminelles portant sur le recueil de la preuve numérique en procédure pénale.