À l’occasion d’un déplacement à l’hôpital de Villefranche-sur-Saône, dernière victime d’une cyberattaque, les ministres de la Santé et de la Transition numérique ont annoncé une série de mesures pour renforcer la sécurité informatique des établissements de santé. La plus symbolique – et celle qui devrait le plus faire grincer des dents, relève Acteurs Publics – n’est pas une mesure de soutien, mais plutôt de pression.
« Même si le secteur de la santé et du médico-social ne représente que 11 % des attaques, on est sur le cœur du système, qui plus est au moment d’une pandémie, et on est donc confronté à un risque vital », avait insisté Emmanuel Macron vendredi dernier, lors de la présentation d’une stratégie nationale en matière de cybersécurité dotée d'un milliard d'euros.
« Face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé », ont alerté les deux ministres dans un communiqué. Le gouvernement a dès lors décidé de n’accorder le soutien de l’État qu’aux projets informatiques des établissements de santé dont le budget informatique consacré à la cybersécurité est de l’ordre de 5 à 10 %.
135 groupements hospitaliers français seront par ailleurs catégorisés d’ici trois mois en tant qu’« opérateurs de service essentiels ». Une catégorie élargie des « opérateurs d’importance vitale » auxquels s’appliquent des règles strictes en matière de cybersécurité, en raison du caractère critique de leurs activités pour la société ou l’économie.
En contrepartie, les établissements de santé pourront bénéficier de nouveaux coups de pouce financiers de l’État, de l'ordre d'environ 25 millions d’euros.
Commentaires (13)
#1
Du coup, on y vient ! C’est une bonne chose.
#2
C’est un comble que ces hôpitaux n’étaient pas OIV quand même … jusqu’ici.
#2.1
Les CHU sont considérés comme étant des “OIV”. Jusqu’à présent, les hôpitaux plus locaux ne l’étaient pas : ni OIV ni OIE.
La Directive 2008/114/CE a été rédigée entre les deux premières pandémies potentielles: H5N1 et H1N1.
La plupart des agences de cybersécurité des états membres de l’Union Européenne ont un département dédié aux services de santé : hôpitaux, entreprises pharmaceutiques “vitales”, etc.
Néanmoins, je crains fort que la plupart des hôpitaux - y compris les CHU - ne soient pas particulièrement robustes et résilient du point de vue de la cybersécurité ; cf. CHU de Rouen, mais également le CHU de Düsseldorf en Septembre 2020.
#3
J’adore le “coup de pouce” de 25 milions d’euros. Il y’a 1356 établissement de santé public en France cela fait donc environ 18 500 euros par établissement.
Il vont faire quoi avec ça?
#3.1
Il y a 135 groupements, ça fait 10 fois plus, surtout si c’est mutualisé entre groupement.
#4
Il ne faudrait pas auditer, plutôt que forcer une partie du budget ?
#4.1
Ces 5-10% du budget peuvent très bien servir à payer des pentests ;-)
#5
Un groupement ça reste plusieurs établissements avec chacun sa sécurité et son réseau propre. Donc on en revient au même : contraintes importantes et pas de fric. Ils vont faire comment les hôpitaux ?
Je ne dis pas que c’est pas important mais à un moment il faut aussi apporter les moyens… Soit financier soit en apportant la solution gratuitement.
#5.1
Avec un peu de logique une solution suffisamment robuste peut être mise au point et généralisée à tous les établissements. Il est hors de question que chaque établissement fasse sa tambouille dans son coin, ça n’aurait aucun sens.
#5.2
bah comme d’hab, ils vont raboter sur la paye
des esclavesdu personnel soignant…#6
Il y a beaucoup de fric dans les hôpitaux français, mais il ne va pas là où il faut.
On peut lire ici : Il y a donc à la fois trop de postes administratifs, déclarés ou non en tant que tels et trop de tâches administratives déléguées au personnel soignant et coûtant trop cher.
La partie que j’ai mise ne gras est affligeante ! On dit manquer de soignants et on les utilise mal alors qu’ils coûtent cher.
Donc, on rationalise tout ça et on pourra payer ce su’il faut pour la sécurité informatique.
#7
Sauf que chaque établissement a ses propres logiciels métiers et yen a une flopée entre le dossier médical, la radiologie, la pharmacie…
Tout ça coûte déjà une blinde. Certains logiciels sont très vieux ambiance Minitel… Certains établissement sont en partie connecté d’autre pas.
Chacun à ses contraintes de locaux parfois très vieux et pas toujours fonctionnels…
Bref la solution uniform j’y crois pas. En prime faut pas croire que les informaticiens soient mieux payés que le reste et donc des carrières pas des plus attractives.
#8
Ça ne touche malheureusement pas que la santé. C’est comme ça pour à peu près tous les services publics. Surtout qu’on leur laisse souvent une certaine latitude pour faire de la sur-réglementation interne : dans un établissement du supérieur, on a par exemple réduit tous les seuils déclenchant des procédures lourdes concernant le financier (25000€ pour déclencher un appel d’offre au lieu de 133k ou 200k selon les cas, toute dépense supérieure à 300€ est un invest au lieu de 800€, qql soit le prix, un PC ou un téléphone est en invest, le moindre achat de 3 stylos a besoin de 10 signatures).
Pour les missions, il y a 15 ans, c’était du per diem, cet établissement est passé aux frais réels avec montant max. Résultat : il faut plusieurs ETP pour faire les retours de mission (ça va faire dans les 100k€ de masse salariale annuelle pour recouvrir quoi, 10000 balles par an ?) Et tout est de cet acabit : les procédures qui traînent tellement qu’il faut les refaire 2 ou 3 fois (on n’a que ça à faire, c’est connu).
Le pompon a été le confinement et ses formulaires à la zouave à remplir régulièrement pour le suivi des enseignements à distance…