Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
À l’UECC d’Hexatrust, la table ronde « Professionnels de santé et cyber » a fixé l’angle business du moment : achats standardisés, identité numérique sécurisée, résilience opérationnelle. Objectif affiché à l’hôpital comme chez les mutuelles : protéger le soin sans casser l’activité.
Stop aux euphémismes, la santé est devenue une cible rentable. Les bases patients se monnayent, les systèmes d’information hospitaliers vacillent et l’onde de choc se lit au bloc, dans les pharmacies internes, dans les services d’imagerie. « Les attaquants savent qu’une base de données médicales se revend plus cher qu’un numéro de carte bancaire”, affirme Christophe Mattler, directeur de projets à la délégation au Numérique en Santé pour le Ministère de la santé. Lors de la table ronde, “Professionnels de santé et cyber Vous reprendrez bien une piqûre de rappel ?” de l’UECC (université d’été cybersécurité et cloud de confiance), les intervenants ont décrit un triptyque explosif fait de dettes techniques, d’écosystèmes d’éditeurs fragmentés et d’usages cliniques qui contournent, par nécessité, des contrôles trop raides. Les bases d’imagerie et les accès distants mal maîtrisés restent des portes d’entrée privilégiées, surtout quand des systèmes marqués CE (attestation qu’un produit respecte les exigences réglementaires au sein de l’Union Européenne) servent d’alibi à l’obsolescence. Le fil directeur est clair, protéger la donnée n’a de sens que si le soin continue. Les arbitrages ne se décident pas au feeling mais à l’aune de l’impact patient et du risque de propagation.
Achats groupés, levier de sécurité
Sortir du tête-à-tête stérile avec chaque éditeur passera donc par des achats collectifs exigeants. Dans plusieurs groupements hospitaliers de territoires (GHT), les établissements mutualisent des clausiers cyber co-écrits avec les métiers et conditionnent la signature à des mises à jour vérifiables. Résultat, l’argument “vous êtes les seuls à demander ça” s’évapore quand Brest, Dijon ou Strasbourg exigent la même chose et les correctifs sortent. Le bénéfice dépasse la conformité, il réduit l’asymétrie d’information et accélère l’exécution projet côté intégrateurs comme côté biomédical, où les dispositifs connectés traînent encore des vulnérabilités durables. Cette standardisation n’écrase pas l’innovation, elle crée un plancher de sécurité opposable et un langage commun entre RSSI, achats et praticiens. Auriane Lemesle, référente régionale sécurité des systèmes d’information et secrétaire générale Apssis (Association pour la sécurité des systèmes d’information de santé), insiste sur “des exigences homogènes qui suivent l’objet jusqu’au bloc” quand Christophe Mattler, lui, plaide pour attacher des obligations de mise à jour aux financements comme aux marchés afin d’éviter des parcs hétéroclites ingouvernables et coûteux.
Couvrir l’identité…mais à 100%
Mais le premier risque n’est pas une faille 0-day, c’est l’identité. Un CHU, centre hospitalier universitaire, encaisse chaque année des milliers de mouvements de comptes entre titulaires, internes, vacataires, prestataires et éditeurs en télé-maintenance. Sans IAM (Identity and Access Management), la gestion des accès et des identités, qui suit le cycle RH, applique le moindre privilège et coupe automatiquement les droits à la sortie, l’authentification multifacteur (MFA) reste un pansement. La segmentation ne peut plus se limiter au réseau, elle doit découper par identités pour bloquer les rebonds silencieux entre au sein des forêts d’Active Directory, l’annuaire Microsoft qui structure les droits. L’enjeu est clinique autant que cyber : un profil mal cadré peut ouvrir un accès large à un PACS (Picture archiving and communication system), système d’archivage d’images médicales, ou à des listes de patients alors que l’utilisateur n’en a pas besoin. D’où l’importance d’une gestion des accès et des identités couvrant 100 % des usages, y compris les applications de niche et les équipements biomédicaux. Jean-Sylvain Chavanne parle d’“hygiène vitale” en rappelant qu’“un compte mal profilé devient vite un événement indésirable côté soins”. Christophe Mattler ajoute que “l’authentification forte est déjà disponible dans bien des systèmes, il faut l’activer et l’organiser” pour que la règle devienne l’usage.
Résilience sans naïveté… avec du personnel
S’entraîner aux pannes longues change la donne. Les établissements qui testent le scénario “semaine sans SI” avancent plus vite : circuits papier ciblés, filières de soins reconfigurées, reprise de données traçables. Les volets récents du programme national CARE (Cooperative for American Remittances to Europe) financent d’abord les sauvegardes et continuité d’activité puis authentification et l’IAM. En revanche, ils ne créent pas les ETP (équivalent temps plein) nécessaires pour tenir la barre au quotidien. Or, voir pour agir suppose un SIEM (Security Information and Event Management) exploité avec méthode pour corréler massivement les journaux, exhumer vingt ans d’empilements devenus dette technique, décommissionner ce qui n’a plus d’usage et éviter les réflexes ruineux comme la coupure totale qui casse le soin sans neutraliser l’attaquant. L’équation est double : outiller mieux et staffer pour documenter les flux, conduire les exercices, piloter les reprises. « Avec une baguette magique je mettrais des bras dans chaque établissement », concède Christophe Mattler, rappel qu’un plan sans équipes n’est qu’un PDF rassurant. Auriane Lemesle enfonce le clou, en précisant qu’ »un exercice par an et des procédures de secours prêtes, sinon la reprise se paie comptant” et la facture se lit en jours d’interruption autant qu’en coûts.
L’hôpital sous rançongiciel : le crash-test
Clap de fin à l’UECC avec un exercice de crise « hôpital sous attaque », animé par Younes Benzagmout (Secdojo). Le scénario, un compte admin de domaine d’un centre hospitalier est mis en vente sur le Dark Web. Les dilemmes tombent en rafale : couper tout de suite ? communiquer ? Isoler quoi, où, comment ? La plupart des participants n’ont pas tenu la ligne de crête. L’adrénaline pousse à tout couper, alors que la bonne séquence commence profil bas (bloquer les flux sortants, confirmer les IoC (indicateur de compromission), protéger l’AD, préparer la bascule vers de nouveaux contrôleurs de domaine, changer tous les secrets critiques, superviser en parano). Deux phrases s’élèvent dans l’assemblée comme une leçon simple et rude, « comme quoi on ne peut pas s’inventer expert de la cyber » ou encore « il faut un professionnel pour gérer les cybermenaces ». Cet atelier a montré la priorité de segmenter aussi par identités (forêts/AD) et d’organiser la crise en trois cellules : investigation, remédiation, continuité métier. C’est ce niveau de granularité qui évite de casser l’hôpital en croyant le sauver. Le business case est limpide quand on compte en lits ouverts, pas en slides. “Sauver des vies passe aussi par protéger des systèmes”, conclut Mme Lemesle.
