Article
Face à l’augmentation des cyberattaques visant les établissements de santé, le gouvernement a décidé de frapper un grand coup. Depuis peu, l’Agence Nationale de Sécurité Informatique propose de mettre en place des « parcours de cybersécurité » dans les établissements de santé. L’objectif ? « Élever le niveau de sécurité de système d’information […] via la mise en oeuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations », détaille l’ANSSI sur son site internet.
Pour rappel, cela fait déjà de longues années que la vulnérabilité des systèmes d’information des établissements de santé est pointée du doigt. En février dernier, l’ANSSI, elle-même, dressait un constat accablant quant aux failles de sécurité de ces derniers, rappelant à cette occasion que les rançongiciels étaient la « menace la plus immédiate […] en terme de volume, de fréquence des attaques et de conséquences ».
Un problème que le gouvernement a d'ailleurs décidé de prendre à bras le corps en annonçant une ribambelle de mesures budgétaires. « La stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’État. Sur cette enveloppe […], 25 M€ seront spécifiquement consacrés à la sécurisation des établissements de santé », détaillait le ministre de la santé, Olivier Veran, et le secrétaire d’État chargé du numérique, Cédric O. Deux mois après, les actes suivent donc les mots au travers de la mise en place de ce programme.
« L’accompagnement des bénéficiaires est le maître-mot de cette offre de service via la mise en oeuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations », précise l’ANSSI sur son site internet. Bénéficiaire pourtant, tout le monde ne peut pas l’être. Pour solliciter l’expertise de l’ANSSI, deux conditions doivent être réunies :
- « L’ensemble des bénéficiaires doit disposer d’un système d’information existant ;
- chaque organisation candidate doit être soutenue par son décideur, détenteur de la responsabilité juridique et administrative, afin de garantir la pleine implication des équipes et le bon déroulement des actions menées », énumère l’organisation.
Des critères strictes qui ouvrent la voie à quatre circuits de cybersécurité, allant du parcours fondation au parcours renforcé. À noter que ce dernier désigne « le point de passage des organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital ». Une fois le plan d’action sélectionné, il s’agit de mettre en oeuvre le parcours. Ce circuit en marche forcée se divise en trois étapes détaillées par l’ANSSI :
- « Étape 1, lancement : mise en œuvre du pack initial ».Un prestataire dit de « terrain » assure les actions de sensibilisation, formation et d’audit auprès du bénéficiaire. Ensemble, ils élaborent un plan de sécurisation listant les mesures concrètes à mettre en œuvre.
- Étape 2, approfondissement : mise en œuvre des packs relais. La démarche se poursuit par la mise en œuvre des mesures du plan de sécurisation. De nouveaux chantiers peuvent être lancés en fonction de l’évolution du niveau de cybersécurité du bénéficiaire.
- Étape 3, suivi itératif : À chaque étape de mise en œuvre du plan de sécurisation, le prestataire accompagnateur guide le bénéficiaire dans la validation de ses objectifs ».
Un parcours de cybersécurité cadré qui, on l’espère, permettra aux établissements de santé de prendre (enfin) une longueur d’avance sur ces trop nombreux hackeurs malintentionnés.
Source:
ANSSI - Le parcours de cybersécurité