La révision de la directive Network and Information System Security (NIS) s’inscrit-elle dans cette logique ?

« La directive NIS adoptée en 2016 visait à renforcer et élever le niveau de cybersécurité des opérateurs de services essentiels (OSE) afin de les protéger d’attaques informatiques qui auraient des conséquences majeures sur le fonctionnement de l’économie et de la société. Comme ce sujet touche à des questions sensibles de souveraineté, la directive n’a pas voulu brusquer les étapes, d’autant plus que les marges de manœuvre nationales sont assez importantes. A titre d’exemple, il faut savoir que suivant les états membres, les hôpitaux ne sont pas tous des OSE, cette qualification dépendant parfois de la taille de l’établissement de santé. Face à de telles disparités, il parait difficile d’obtenir une protection totalement suffisante.

La révision NIS vise aussi à renforcer les obligations faite aux OSE de notifier les incidents cyber. Pour y parvenir, il est nécessaire que tous les pays de l’Union européenne parlent le même langage et s’entendent sur la définition, les origines (malveillance, défaillance du système, panne technique, phénomène naturel) et le niveau d’impact d’un incident cyber.

Quantifier, nommer et faire remonter, la commission européenne a constaté quelques dysfonctionnements et un manque de partage de la part de certains OSE qui perçoivent ces signalements comme contre intuitifs, préférant, le plus souvent, agir de manière discrète, afin de ne pas perdre la confiance de leurs usagers et de leurs fournisseurs. Si une culture commune de la cybersécurité a encore pour l’instant du mal à s’établir, c’est pourtant par elle que l’Europe parviendra à augmenter son niveau de cyber résilience face aux menaces d’attaques informatiques. »

 

Comment la réglementation européenne tient-elle compte de l’évolution de l’Internet des objets et de l’utilisation croissante de l’IA à l’hôpital, pour renforcer le niveau général de sécurité ?

« Aujourd’hui, avec l’Internet des objets et le passage du cloud computing vers le l’edge computing, la surface d’attaque des données stockées en périphérie est multipliée, augmentant leur vulnérabilité face aux cyberattaques. Tout dispositif médical, tout objet et jouet connectés deviennent un point d’entrée pour les hackers, ce qui impose de repenser complètement leur protection et d’avoir une approche de la cybersécurité qui intègre leurs spécificités. C’est l’un des objectifs du Cyber resilience act, un texte très important annoncé il y a quelques jours, qui vise à établir une nouvelle norme pour l’ensemble des produits contenant des éléments numériques. L’idée est d’appréhender leur sécurité tout au long de leur cycle de vie, avec des exigences de sécurité régulières au niveau des mises à jour et pas seulement au moment de leur mise sur le marché. Pour être efficace, cette exigence s’accompagne d’une extension dans le temps de la responsabilité des fabricants.

Quant à l’utilisation croissante de l’IA et de la robotique dans le domaine de la santé, elle interroge forcément les professionnels et les praticiens. En termes de cybersécurité, les enjeux du suivi de pathologies à distance se posent presque à un niveau individuel, avec des conséquences directes sur la santé des patients. Un projet de règlement européen pour réguler l’IA à haut risque est d’ailleurs sur le point d’être adopté, avec des exigences de robustesse, de solidité des données et de contrôle humain pour limiter la vulnérabilité liée à l’utilisation de ce type d’aide à la décision ou au diagnostique. »

 

L’application de la législation s’accompagne-t-elle d’une acculturation des établissements de santé ?

« Les points de vulnérabilité à l’hôpital se multipliant, les établissements se doivent d’acquérir une culture d’anticipation et d’adaptation au risque cyber, car toutes les professions médicales peuvent être impactées. Les petites structures ont parfois tendance, à tord, à ne pas se sentir directement concernées par la menace. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait à cet égard un travail considérable d’aide, de pédagogie et d’accompagnement. »

 

Pourquoi avez-vous accepté de participer à la troisième édition du CyberCamp Santé et qu’en attendez-vous ?

« Dans le cadre de mes recherches sur la valeur juridique, l’utilisation et la protection des données de santé, j’ai travaillé avec des spécialistes d’informatique médicale et des équipes du CHU de Rennes. Je me suis alors rendue compte que croiser les approches permettait de mieux appréhender ces questions dont l’intérêt est aujourd’hui crucial. C’est exactement ce que propose le CyberCamp Santé et je trouve que c’est formidable de réunir des représentants du monde juridique, des professionnels de santé, des spécialistes des systèmes d’information autour d’un événement qui laisse à chacun l’opportunité de s’exprimer et de se comprendre ! Ce projet, très bien pensé, représente le lancement d’une dynamique collective qui me parait pertinente et essentielle. Je suis donc très honorée et heureuse d’y participer. »

Toute entité publique ou privée sera un jour ou l’autre, si ce n’est pas déjà fait, exposée à un risque de piratage informatique. C’est la raison pour laquelle il est important d’avoir non seulement des capacités de police judiciaire permettant d’identifier les auteurs de ces infractions, mais surtout une approche proactive de prévention, contribuant à limiter la survenue d’une cyberattaque. Elle passe notamment par la formation, la mise en place de politiques de sécurité des SI et l’élaboration de fiches réflexes. »

 

En complément de cette approche proactive, de quel accompagnement les établissements de santé peuvent-ils bénéficier une fois la cyberattaque détectée ?

« Par delà cette prévention que l’on peut qualifier de situationnelle, nous travaillons, avec d’autres acteurs de l’État comme cybermalveillance.gouv.fr, à la diffusion d’une culture de la cybersécurité de réaction auprès des victimes et potentielles victimes de cyberattaques. Nous essayons de leur donner les moyens d’identifier la situation rencontrée, de connaître les actes réflexes à mobiliser et surtout de savoir qui prévenir afin de provoquer l’intervention des forces de l’ordre. Notre rôle d’enquêteurs consiste, d’une part, à mettre en œuvre des mesures de police judiciaire et d’autre part, en lien avec des services partenaires comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI), à faciliter la mise en œuvre de de mesures de remédiation afin de limiter l’exposition de la structure à des attaques et des fuites de données de santé, de manière à circonscrire au maximum le préjudice subi tout en préservant les éléments de preuve permettant d’enquêter. »

 

D’où l’importance de la présence de gendarmes spécialisés en technologies numériques sur l’ensemble du territoire français ?

« Face à la menace cyber, les structures publiques et privées de la santé ne sont pas seules. Autour d’elles, existe tout un écosystème d’agences et de services de l’État, capable de les appuyer au niveau national mais aussi local, que les responsables, qu’ils soient directeurs d’établissements ou DSI, ont parfois du mal à identifier. Il faut donc savoir que dans chaque département français, la gendarmerie possède des enquêteurs spécialisés en technologie numérique (NTECH) ainsi que des  spécialistes des problématiques de sûreté, en mesure de réaliser un diagnostique, en partenariat avec la structure, ou d’intervenir pour prendre les premières mesures conservatoires.  Si une cyberattaque survient, la question essentielle est celle de l’alerte puis de prendre les premières mesures afin de limiter l’impact de cette cyberattaque . Effectivement, il est primordial de prévenir au plus tôt les services de police ou de gendarmerie, pour qu’en fonction de la compétence territoriale, les experts en technologies numériques interviennent afin de « geler », le plus rapidement, la scène d’infraction numérique. »

Avez-vous l’impression que la parole se libère ?

« On constate un double phénomène. D’une part, le risque cyber est de plus en plus pris en compte dans les politiques des différentes organisations, par rapport à une époque pas si lointaine, où la question de la SSI (sécurité des systèmes d’informations) apparaissait comme un peu secondaire, voire une dépense financière superflue. D’autre part, la connectivité de la population et des organisations qui explose et continuera d’exploser, fait que la problématique de la protection et de la fuite des données personnelles devient une légitime préoccupation à tous les niveaux. »

 

Vous avez participé à l’élaboration du Code de la cybersécurité, publié récemment. Quelle est sa raison d’être ?

« Ce Code de la cybersécurité a pour ambition de réunir, dans un seul et même ouvrage, tous les volets législatifs et réglementaires ayant trait à la cybersécurité. Il s’articule autour de trois grandes parties. Un livre premier orienté cybersécurité, contenant toutes les règles de base que doivent avoir en tête les responsables de la sécurité des SI et les personnes chargées de la protection des données personnelles ; un deuxième consacré à la lutte contre la cybercriminalité, à destination des professionnels du monde de la police judiciaire et de la justice ; un troisième qui porte sur toutes les règles juridiques relatives à la cyberdéfense, notamment par rapport à la protection d’opérateurs d’importance vitale que peuvent constituer les hôpitaux.

Sorti et présenté en juin dernier* lors du dernier Forum International de la Cybersécurité (FIC), il constitue un panorama complet des cadres juridiques et réglementaires, relatifs au milieu cyber en France et rassemble également de nombreux commentaires des différents auteurs, illustrant avec des exemples opérationnels comment ces règles trouvent à s’appliquer. »

 

Qu’attendez-vous de la troisième édition du CyberCamp Santé ?

« Cet événement va nous permettre d’être identifiés auprès des populations et des professionnels qui pourraient avoir besoin de nos services. C’est une belle opportunité pour renforcer les liens entre les professionnels de la sécurité informatique dans le milieu de la santé et les représentants des structures susceptibles d’intervenir à leur profit, ainsi que d’intensifier la diffusion d’une culture de la cybersécurité. Ce sera également l’occasion de mettre des visages sur des noms… »

 

*Publié chez Dalloz, il est accessible en format papier et numérique.

Parmi elles, l’amélioration de la continuité d’activité a fait l’objet de premières réunions collégiales qui ont tout de suite fléché le besoin de mettre, à la disposition des établissements sanitaires, sociaux et médico-sociaux, des kits d’exercices de crise cyber.

Comme il existe plusieurs degrés de maturité dans les établissements, nous avons lancé des ateliers pour produire trois niveaux de kits : débutant, intermédiaire et confirmé. Nous avons ensuite mis en place des pilotes pour les tester et revoir les contenus, en fonction des premiers retours. »

Steven Garnier : « Disposer d’une vision régionale était une demande forte de notre part. En tant qu’agence, nous voulions aussi sortir un peu de notre rôle habituel d’organismes de contrôle auprès des établissements de santé. La conception de ces kits d’exercices était l’occasion de les accompagner dans la mise en place de prestations qualitatives. »

 

Quel est le contenu de ces kits ?

S.G. : « Les membres les plus actifs du groupe de travail territorial ont été sollicités pour apporter leur vue du terrain et leur expertise du fonctionnement des structures, afin de rendre les exercices les plus réalistes possibles. Comme le disait Elodie, il est apparu le besoin de décliner plusieurs niveaux de difficulté, parce les établissements de santé, qui ont la possibilité de s’auto-évaluer via une grille d’éligibilité, n’évoluent pas tous dans le même contexte en matière de cybersécurité et de continuité d’activité. Pour faciliter l’organisation d’exercices au sein des structures, ces kits d’exercices de crise cyber sont prêts à l’emploi et autoporteurs. Ils contiennent un document central qui est le déroulé simulé de l’attaque, composé de stimuli qu’on a essayé de rendre les plus réalistes possibles. Naturellement, on ne demande pas aux établissements de débrancher leur SI !  Il s’agit d’un exercice sur table, dont l’ambition première est de faire prendre conscience des enjeux aux directions des établissements. Il s’accompagne d’un certain nombre de documents à vocation plus pédagogique, pour amener les membres des cellules de crise à comprendre ce qu’est réellement une cyberattaque, les sensibiliser aux bonnes pratiques et faire passer quelques messages sur les aspects, un peu plus techniques, de sécurisation des SI. »

E.C. : « Même s’ils ont été conçus pour être les plus autoporteurs possibles, il a été jugé indispensable que, pour la première réalisation de chaque exercice, les établissements soient accompagnés par des professionnels. L’ambition du FSSI étant qu’ils réalisent un exercice par an. »

 

Cette ambition passe-t-elle par une obligation légale ?

E.C. : « Le sujet est aujourd’hui pris au sérieux par les directions d’établissements qui sont souvent confrontés à des problématiques de ressources dédiées. J’espère que l’obligation de réaliser ces exercices de crise aidera à faire bouger les consciences et peut-être à mobiliser un peu plus de budget sur la cybersécurité dans les établissements.

Les premiers retours d’expérience montrent que les exercices sont très appréciés, notamment par leur dimension métier et la mise en place rapide de solutions et procédures en faveur de l’hygiène informatique, mobilisant l’ensemble des Comités de Direction (CoDir). Ils apparaissent comme un bon outil de sensibilisation pour parvenir à une acculturation assez naturelle. »

S.G. : « C’était une demande en parallèle de notre part. Au niveau régional, on voulait bien se faire les porte-parole pour inciter les directions, mais il fallait que l’on s’appuie sur quelque chose qui les oblige légalement à le faire, comme la publication d’une instruction, composée d’un ensemble de mesures dites prioritaires, dont celle de la réalisation annuelle d’un exercice de crise cyber. D’autant plus qu’un établissement de santé n’est jamais à l’abri de se faire cyberattaquer plusieurs fois ! »

 

Est-ce que vous constatez un changement au sein des établissements de santé vis-à-vis de la cybersécurité ?

S.G. : «  Ce qui change, c’est une avancée dans la prise de conscience qui doit être collective et malheureusement chaque cyberattaque concourt à cette prise de conscience. Plus elles sont médiatisées, plus cela nous aide en termes de mobilisation et de sensibilisation des utilisateurs sur les risques encourus. C’est fondamental. »

E.C. : « La médiatisation est à double tranchant. Elle est à la fois positive et contraignante pour les projets de e-santé par la peur qu’elle peut susciter dans l’opinion publique. D’où la nécessité de rassurer les patients sur le cadre régalien et très sécuritaire du partage de leurs données de santé. Il existe encore beaucoup de craintes qui démobilisent l’ensemble des citoyens et ont un impact sur leur propre santé, surtout en matière de prévention. »

 

Quels messages souhaitez-vous faire passer le 2 février pour ce troisième CyberCamp Santé ?

S.G. : « L’écosystème de la santé a besoin de travailler avec les industriels du secteur, qui sont bien mobilisés lors de cet événement, pour continuer à faire bouger les lignes et à lutter contre la menace cyber. Il me parait aussi nécessaire d’échanger sur le sujet avec d’autres secteurs pour partager nos pratiques. »

E.C. : « Faites vos exercices de crise et, si possible, pas tous en même temps… »