Connectez-vous S'inscrire
Le magazine de l'innovation hospitalière
SIS

Rencontre : Jean-François Parguet, FSSI des ministères sociaux


Rédigé par Aurélie Pasquelin le Mercredi 8 Décembre 2021 à 09:13 | Lu 657 fois


Aujourd’hui plus que jamais, la cybersécurité représente un enjeu primordial pour les établissements de santé et les structures associées, eu égard à l’augmentation significative des tentatives de cyberpiratage. Les pouvoirs publics ont ici un rôle indéniable à jouer, comme nous l’explique Jean-François Parguet récemment nommé au poste de Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des ministères sociaux.



Jean-François Parguet, FSSI des ministères. ©DR
Jean-François Parguet, FSSI des ministères. ©DR
Comment les établissements de santé sont-ils accompagnés au quotidien par les pouvoirs publics ?
Jean-François Parguet : Le ministère des Solidarités et de la Santé porte une stratégie de cybersécurité globale notamment déclinée à travers les instructions transmises aux établissements et aux tutelles, dont les Agences Régionales de Santé (ARS). En parallèle, les pouvoirs publics disposent d’outils opérationnels comme le CERT santé, qui décline l’action et les recommandations du CERT-FR dans le secteur sanitaire, mais aussi le Centre Opérationnel de Régulation et de Réponse aux Urgences Sanitaires et Sociales (CORRUSS) qui coordonne les réponses quand les incidents de sécurité ont un impact sanitaire. Le CERT santé, porté par l’Agence du Numérique en Santé, fournit une veille sectorielle et de nombreux outils de sensibilisation et formation à la cybersécurité.

Quel est alors le rôle du FSSI ?
Je suis pour ma part responsable du pôle cyber, et suis à ce titre chargé d’animer la stratégie sécurité de l’ensemble des structures concernées au sein des ministères sociaux : les directions centrales, les différents opérateurs, les échelons déconcentrés et les établissements sanitaires. Suite aux incidents de la fin 2020, et plus encore depuis l’allocution du Président le 18 février dernier, dans laquelle il a présenté la stratégie française de lutte contre les cyberattaques, une attention particulière est aujourd’hui portée aux menaces contre ces établissements.

Justement, les attaques ciblant spécifiquement les hôpitaux continuent-elles d’augmenter ?
Les établissements de santé subissent des attaques de façon cyclique, essentiellement via des rançongiciels mais aussi par des fuites de données. Toutefois, je ne pense pas qu’ils soient spécifiquement ciblés, du moins pas plus que d’autres secteurs d’activité. Ces attaques font plutôt partie d’un tout, d’une tendance globale. De grandes campagnes de rançongiciels, portées par des structures mafieuses et avec un intérêt financier évident, sont lancées de façon ponctuelle, et même éventuellement sous-traitées. Le marché du rançongiciel s’est d’ailleurs aujourd’hui structuré : ceux qui conçoivent ces logiciels malveillants ne sont pas les seuls attaquants, ils peuvent aussi louer ou vendre leurs outils. Cela dit, une constante demeure : à chaque fois qu’une nouvelle vulnérabilité est détectée dans un composant de système d’information, on assiste à une recrudescence des attaques. Tous doivent donc être particulièrement vigilants pour prévenir les risques d’incidents et assurer un niveau de cybersécurité à même de garantir la permanence des soins et la continuité des prises en charge.

Quels conseils donneriez-vous ici aux établissements de santé ?
Des plans d’actions simples leur ont été transférés et se déclinent en plusieurs actions. Les établissements identifiés comme Opérateurs de Services Essentiels (OSE) doivent réaliser deux audits de sécurité, portés respectivement par l’ANSSI et le CERT santé, concernant la sécurité de leurs infrastructures et donc corriger les vulnérabilités identifiées. La sécurisation des sauvegardes est également un élément de prévention essentiel. Après une attaque par rançongiciel, pouvoir récupérer ses sauvegardes assure un retour à la normale généralement en trois à quatre semaines. Dans le cas contraire, l’établissement met des mois à s’en remettre. Limiter les conséquences des cyberattaques par rançongiciel passe donc d’abord par ce travail sur les sauvegardes mais aussi, plus globalement, par une préparation à la disparition éventuelle de tout ou une partie de l’information. Les exercices de crise sont essentiels, ils permettent aux acteurs de santé d’anticiper les difficultés de fonctionnement avec un système d’information indisponible ou défaillant.

À l’échelon local, plusieurs acteurs ont un rôle à jouer dans la sécurisation des systèmes d’information de santé. Des réflexions sont en cours pour les faire évoluer. Où en sommes-nous ?
Une répartition claire du rôle de chacun – Agences Régionales de Santé (ARS), Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS), Groupements Hospitaliers de Territoire (GHT) – est nécessaire pour porter l’ambition du plan de renforcement cyber. Des réunions ont donc eu lieu pour clarifier les différents champs d’intervention. Ces travaux entérinent pour la plupart l’existant, tout en intégrant de nouvelles missions, notamment en matière d’audit, de contrôle et de sensibilisation. Les tâches ont donc été revues sans pour autant modifier la logique de l’écosystème. La volonté actuelle reste bien celle d’une plus forte mutualisation des compétences et des ressources autour des GHT, qui en cas d’incident sont à même d’aider les structures les plus fragiles.

« C’est la première fois qu’un plan de renforcement de la sécurité des systèmes d’information de santé est porté au plus haut niveau de l’État », avez-vous déclaré en juin dernier. Comment « ne pas rater cette opportunité » ?
Se préparer – via des exercices de crise en vraie grandeur –, mieux se répartir les tâches, comme cela vient d’être effectué, est à mon sens la première étape, le socle essentiel qui permettra à chacun de se concentrer sur un objectif clair : les établissements de santé sur l’élaboration d’un plan d’action cyber local ; les ARS et les Grades sur les actions de contrôle, d’animation et de sensibilisation ; et les GHT sur la mutualisation des ressources et leur rôle de référents territoriaux. Nous avons aujourd’hui la chance d’avoir un Président qui évoque le renforcement de la cybersécurité comme un objectif stratégique national, ce qui s’est traduit par une mobilisation générale, y compris sur le plan financier via le plan France Relance, le volet numérique du Ségur de la Santé et le programme Hop’en. Tout cela aura un impact fort. Le Ségur et Hop’en ambitionnent en effet de fournir des applications métier de haut niveau. Mais ces outils métier interopérables et sécurisés doivent pouvoir s’appuyer sur des infrastructures bureautiques – ou techniques comme les systèmes biomédicaux ou la gestion technique des bâtiments – qui doivent aussi être sûres. Or elles comportent parfois quelques composants obsolètes, ce qui augmente leur vulnérabilité. Les grands programmes nationaux et le Ségur de la santé en particulier vont donc intégrer ces enjeux relatifs à la sécurisation des infrastructures.

Article publié dans l'édition de septembre 2021 d'Hospitalia à lire ici.






Nouveau commentaire :
Facebook Twitter