Le Président de la République va présenter aujourd’hui « la stratégie cyber » lors d’un échange en visioconférence avec les hôpitaux de Dax et de Villefranche, deux centres touchés par des rançongiciels.
Hier, lors d’un briefing presse relatif à la stratégie nationale pour la cybersécurité, Matthieu Landon, conseiller technique industrie, recherche et innovation de l’Élysée, a déjà indiqué que 500 millions seront alloués à « l'offre technologique », afin d’ « investir pour rester en pointe ».
Sur ce montant, « 300 millions seront des financements publics, le reste venant des acteurs privés ». En tout, Emmanuel Macron devrait annoncer une enveloppe d'un milliard d'euros « pour essayer d'accélérer et de renforcer le déploiement du secteur ». Un peu plus de 70 millions d’euros seront réservés au campus Cyber, qui doit s’installer à la Défense.
« Le modèle, quelque part, est vraiment un peu celui de Station F : vous avez à la fois des étudiants, des entreprises. Il sera localisé dans la tour Eria à La Défense et il devrait ouvrir au second semestre 2021 » a soutenu Matthieu Landon. L’ouverture est programmée pour la rentrée 2021.
L’ANSSI devrait profiter de 136 millions d’euros. « Le but c'est d’élever de manière durable le niveau de sécurité d'acteurs publics au sens large pour profiter de cet effet de relance » a commenté Guillaume Poupard, numéro un de l’Agence.
« Pour illustrer ça de manière très concrète, il y a toute une partie qui concerne le financement de diagnostics de sécurité. L'idée étant de permettre de financer des audits, réalisés par des acteurs locaux la plupart du temps, auprès d'acteurs, notamment des collectivités territoriales, auprès des hôpitaux, mais également dans l'administration centrale ».
Dans cette enveloppe, « on a le projet de créer des CERT régionaux. Les CERT sont des structures d'urgence qui permettent une action rapide en cas d'attaque. Ça crée une sorte de numéro d'urgence localisé, des pompiers locaux si vous voulez, plutôt que de reposer uniquement sur des structures parisiennes qui sont parfois trop loin du point d’attaque ».
Commentaires (35)
#1
Et donner de l’argent aux hopitaux pour renouveler leur parc informatique et recruter plusieurs ingé réseaux & sécurité par centres, c’est trop futuriste ?
#1.1
Oui, mais non, c’est pas Startup Nation les hôpitaux. On va donner de l’argent à Cap et consort pour qu’ils créent une division Cyber que les hôpitaux ne pourront pas se payer…
#1.2
C’est marrant, c’est les blagues qu’on faisait il y 3-4 ans… C’était drôle quand c’était pas si vrai…
#1.3
Et encore, pourquoi on laisse encore les établissements publics s’emmerder avec leur infra et leur matos informatique ? Y’aurait pas de gigantesques économies d’échelles à faire si l’informatique des hopitaux publics était gérée par un organisme dédié et compétent plutôt que de laisser les hopitaux se démerder eux même avec les moyens du bord ?
C’est étonnant que les hopitaux de Plouvadrouille-sur-Flotte aient du mal à assurer leur cybersécurité quand on sait qu’ils croulent sous l’argent à ne plus savoir qu’en faire, et que les experts en cybersécurité vivent tous à la campagne.
(je suis pas en train de dire qu’il ne faut plus personne sur site hein, mais simplement que ça ne devrait pas être géré par la direction de l’hôpital).
#1.4
Le problème dans tout ça c’est qu’on se rend compte (mais est-ce étonnant) qu’un pépin informatique peut mettre à mal tous les services de soin. Et c’est inquiétant non pas dans le sens sécurité (quoique) mais plutôt dans le sens qu’on se base à 100% sur un outil potentiellement vulnérable électroniquement parlant (impulsions électro-magnétiques, éruptions solaires qui peuvent aussi mettre à mal tout un réseau et les équipements associés).
A mon sens on devrait avoir une solution de repli simple et rapide à mettre en œuvre (même si on a déjà le papier et le stylo), permettant de pallier à une défaillance de l’informatique.
#1.6
À ma connaissance, les professionnels de santé ont une procédure dégradée pour travailler sans informatique (exigence du code de la santé publique???).
Mais es-ce que les hôpitaux se font des journées sans ordi pour tester cette procédure??
#1.7
Pas sûr vu que celui de Dax était quasiment à l’arrêt à cause de ça…
#1.5
Pas assez disruptif peut-être ?
#2
Futuriste, non, mais pas réaliste non plus.
#3
Ca sert a rien, on a déjà le hopitaux parmis les plus financés d’Europe
https://www.lefigaro.fr/conjoncture/la-france-depense-plus-pour-l-hopital-que-ses-voisins-europeens-20191128
La vrai question c’est “ou va le pognon”
Pour revenir au sujet, après le plan calcule, on a eu le plan quantique & le plan cyber
C’est à se demander comment font les grandes puisances mondial sans tous leur plans a c
Dans les ARS & des armées de personnel non soignant :)
#4
Personnellement, je pense que ca doit être géré par la direction de l’hôpital et que les hôpitaux restent autonome. Par contre, qu’il y ait des appels d’offres et achats groupés en matériel et logiciel.
Exemple : tout le monde sous HP avec de l’achat en volume après appels d’offre, tout le monde chez Fortinet, avec des achats en volume, tout le monde chez etc… Et les contrats de support sont mutualisés. Ca ferait de grosses économies pour les DSI de chaque hôpitaux.
Après, donner la gestion national a une boite privée, je ne pense pas que ce soit des plus judicieux, d’ailleurs, je ne pense même pas que ce soit vraiment réalisable.
#5
A ce prix là, j’espère bien qu’on aura aussi le droit à un numéro vert.
#6
Question : Est-ce que ça va servir à créer un VRAI organe de lutte contre la cybercriminalité avec des gens compétents aux manettes et à l’exécution ou juste un organe bidon piloté par ses potes, et une flopée d’énarques incompétents à sa tête qui ne feront que semblant, se mettant juste ces milliards d’euros dans les poches au passage ?
#6.1
Ni l’un ni l’autre, là il s’agit surtout du côté économie et ecosystème de la chose.
Pour ce qui est d’une lutte contre la cybercriminalité, c’est plutôt du domaine de la justice et de la défense.
#7
Ce qui me sidère dans ce truc, c’est qu’il y a 8 ans la LPM (loi de programmation militaire) est passée. Elle a désigné l’ANSSI comme garante et a initié toute une série de procédures dédiées aux OIV et au PIV (Opérateurs et Points d’importance vitale).
Ça emportait des audits des SI sensibles, une cartographie de ceux-ci, avec une catégorisation basée sur les recommandations publiques que l’ANSII. Des mesures en fonction de 3 niveaux de sensibilité, et surtout des notions de « diodes » (en pratique irréalisables d’ailleurs, avec aucune référence du marché communiquée, car inexistante).
Que conclure ? Que les hôpitaux n’ont pas été désignés OIV ? Que toutes ces procédures ont accouché à « mettez un mot de passe plus complexe » (spoiler : OUI à certains endroits); … ?
Bref, pour moi ici c’est surtout un problème de compétences (la SSI est un vrai métier, un DSI ne peut pas, avec les moyens limités qu’on attribue à ce genre de fonctions « coûteuses et inutiles », à lui seul gérer ça.
Bref, tout ça pour se demander où va l’argent quoi :(
#8
Ca existe et c’est déployé dans des groupes de défense Français.
#8.1
en 2014, contexte de mon commentaire, l’ANSII n’avais pas de références à communiquer.
Cela ne résous pas le problème que mettre des diodes c’est bien, mais faut il encore que les applis n’ai pas besoin de communiquer à l’extérieur.
Et c’est peut être déployé dans la défense, mais pas ailleurs…
#8.2
Mouai, il n’avait sûrement pas envie de t’en parler, car ça existe bien, et même en France (Thales au moins)
Par contre, exemple parmi d’autres emmerdes apportées par ces équipements réseau, les seuls capables de faire une isolation physique: tu peux faire une croix sur le protocole TCP, comme tous les autres connectés, fonctionnant avec des accusés de réception…
#9
Un peu des deux : Mutualiser les achats pour obtenir les meilleurs prix possibles, standardiser les installations pour pouvoir mutualiser les compétences et plus facilement sécuriser le tout, et biensur déployer des RSSI dans chaque hôpital ou au moins à un niveau régional.
Donc oui, il faut de l’organisation et des financements.
Là le truc de macron c’est pas un plan mais de l’opportunisme. L’aspect école de formation Cyber et équipes régionales est une bonne chose, le reste avec juste les subventions pour les audits donnés aux grosses boites c’est du n’importe quoi néolibéral et une espèce de trafic d’influence aux yeux de tous.
#10
“Cyber”, brigitte découvre les années 2000 c’est ça ? ça fait quand même plus ou moins 10 ans que le minitel à été débrancher.
#11
Le préfixe cyber est très utilisé dans le contexte de la sécurité informatique. C’est même plutôt la norme dans ce contexte. Du coup je comprend ce que tu veux exprimer mais perso quand ça parle de cyber sécurité, ça ne me choque plus les oreilles.
#12
Si, c’est un plan, qu’il profite de lancer avec les soucis qu’ont eu les hopitaux (donc opportunisme également). Mais le sujet principal en soit n’est pas les Hôpitaux. C’est nous qui sommes hors sujet ;)
Après, bien, pas bie… Je pense que tout ce qui peut se faire sur le Cyber est bon à prendre à l’époque actuelle. Et de toute façon si tu entres dans ce domaine, tu es obligé de faire avec les acteurs privés..
#13
Les SHIREN de la renommée vont s’empresser d’engloutir tout ce fric en pure perte…
https://www.capital.fr/economie-politique/apres-avoir-englouti-320-millions-deuros-le-logiciel-rh-de-leducation-nationale-est-abandonne-1299102
#14
Pour les informaticiens qui chercheraient un boulot (en CDD renouvelable et avec des astreintes contraignantes) : un hôpital public d’une grande ville du Limousin recherche des bac +3 ou plus (licence pro minimale). Le salaire proposé est SMIG + 10%. C’est motivant non ?
#14.1
AMHA c’est moyen, sympa pour des jeunes, un peu moins pour ceux qui on déjà commencé a se sédentariser ailleurs.
Mais je crois que le problème du public ce n’est pas forcement le salaire c’est beaucoup le cadre : travailler avec du matos hétérogène/obsolète, des titulaires indisciplinés a qui on ne peu rien dire, une hiérarchie qui ne s’accorde pas, c’est compliqué.
Ça serait pas mal parfois que la question “comment faire venir des nouveaux ?” soit remplacé par “ou ça a merdé avec les anciens ?”.
Par ailleurs , les économies réalisées “grâce” à l’outil numérique n’ont jamais tenus compte de ce que coûtait réellement la sécurité, penser un peu plus redondant/offline/humain n’est peut-être pas si déconnant en terme de coût car il est évident qu’après l’équipe de sécurité du réseau hospitalier il faudra une équipe de sécurité des outils de l’équipe de sécurité…
#14.2
Le problème (et c’est ma situation actuelle) c’est qu’on veut nous (les “jeunes”) former à la Cybersécurité avec des écoles ou des formations qui ouvrent un peu partout MAIS en alternance, et impossible de trouver une entreprise là dedans à part dans les métropoles… même pour les administrations publiques, soit ils ne recrutent pas, soit pour la plupart le service est déporté sur de grandes villes (par exemple, dans mon département, seule 2 administrations sur la dizaine sollicitée a un service dans le même département, et à peine la moitié en ont dans la région -région post-regroupement, qu’on soit d’accord-).
L’ironie de l’histoire est que j’ai postulé pour le SI d’un CHU ; le jour où j’ai remis mon dossier, celui de Dax s’est fait ransom. Le jour où je reçoit la réponse négative, au tour de celui de Villefranche…
EDIT: Je précise que je poste rarement dans les commentaires, mais pour une fois que je peux contribuer un minimum au schmilblick…
#14.3
Du coup, sers-toi en dans ta lettre de motivation / entretien :)
«Yo les gars, vous serrez les fesses parce que vos potes de Dax et Villefranche se sont fait enfoncer bien comme il faut et qu’il va leur falloir quelques semaines/mois de chirurgie réparatrice pour pouvoir s’assoir à nouveau devant un écran? Vous n’avez pas les moyens de recruter un plein temps avec au moins une appétence et un background “cyber”? Ben regardez bien ma candidature: je suis un jeune qui en veut. qui aime ça jusqu’à en faire son métier, et avec un contrat super pas cher. Vous voulez péter la quadrature du cercle en lançant quelques travaux sérieusement sur votre SI pour quasi gratos? Coucou, je suis là!»
Bon, évidemment, en adaptant un chouilla le phrasé
(tu fais quoi / cherche quoi comme alternance?)
#14.4
Ah? Moi je verrais bien ça tel quel
Je vais intégrer une licence en Cybersécurité l’an prochain, actuellement en BTS.
Le hic c’est que quand je vois que 100km autour de chez moi, 3 écoles ouvriront cette formation l’an prochain, mais que 2 d’entre elles se font dans une ville “morte” en terme d’informatique… Ils devraient penser à rajouter un module “ASSEDIC” pour nous apprendre à faire ces demandes
#14.5
Ça, j’ai envie de te dire… c’est triste mais les boites qui ont besoin d’une SSI (sans second I, hein
) qui tienne la route, sont hélas, comme tu le dis, extrêmement rarement dans la diagonale du vide… va falloir que tu bouges…
(et si cela ne te fait pas peur de bouger du coté de l’IDF, j’ai peut-être quelque chose pour toi ^^)
#14.6
Oui je vais devoir bouger, mais c’est un peu loin l’IDF pour le coup ;-) Merci de la proposition néanmoins.
#15
Heuuuu… Il est où le milliard?
Parce que si je lis l’article, on parle de 500 millions dont seuls 300 millions seront donnés par l’état, dont la moitié pour l’Anssi et 70 millions pour faire une école.
En fait, c’est un plan à 100 millions qui est prévu, soit 10 fois moins que ce que Macron annonce.
De la com, encore de la com et uniquement de la com…
#16
On devrait apprendre les gestes barrières contre les cyber virus
Ne jamais cliquer sur un lien dans un courriel, même si celui-ci vous semble légitime.
Avoir un mot de passe suffisamment complexe
Ne pas insérer n’importe quelle clé usb dans le pc
Ne pas désactiver Microsoft update
#16.1
Bien et si après leur avoir appris, plusieurs fois (charte lu/signé, formation/information, test interne…), il reste des utilisateurs qui s’en foutent, on fait quoi ?
Je crois que l’un des problèmes du monde moderne c’est que plus une personne est jugé capable (diplôme, activités, QI, réputation) plus elle est responsabilisé (passage au tribunal etc…), l’abruti de base lui il a presque le droit d’aller aux prud’homme pour dénoncer du harcèlement dés qu’on lui rappel une charte.
Souvent dans une ambiance pareil il vaut mieux passer pour un con et ne prendre aucune responsabilité, arrive ce qui doit arriver.
#17
Revoyons la scene au ralenti. Cette brillante performance pourrait passer inaperçue mais il s’agit là d’un moment historique du sport.
Peut-être aurait-il fallu ne pas laisser partir les cerveaux en premier lieux. J’ai un ancien collègue qui s’est exporté jusqu’en chine. Il était né Allemand venu en France bosser et parti à l’autre bout du monde pour suivre le métier.
Ce n’est donc même pas un problème Franco-français. Mais européen. Comme quoi suivre des directives…
Ha ? Donc on renforce le déploiement du secteur en posant une boite à la Défense. Dans le genre macro-céphalique y’a pas mieux.
Ou comment recycler des étages de bureaux vides. En ce moment c’est peut être moins compliqué d’en trouver remarque.
Si je comprend bien on donne du pognon à l’ANSSI plutot qu’aux acteurs en première ligne pour finalement faire… une recommandation ? Ça coûte une recommandation dis donc!
A quoi bon faire des audits quand on sait déjà que certains hôpitaux se sont fait hacker? Sachant qu’ils calquent les modèles d’infra structure au moins par régions; on sait déjà que si une unité dans une région est touchée c’est toute la région qui pourrait en pâtir. Ça reste hypothétique car c’est souvent le mot de passe trop simple (quelqu’un l’a évoqué). Toutefois dans le cas d’un vrai problème la menace serait belle et bien concrète au moins au niveau régionale.
Le numéro vert qui sera sur un plateau “call center” à la Défense ? Bigre que c’est ambitieux.
Je pense qu’on peut tomber d’accord sur le fait que la supercherie est à la mesure de la fumisterie. Remarque on se demandait comment faire pire que la start-up nation… C’est le propre de la bêtise: “Toujours plus loin, et au delà”.
#18
« Selon le dernier baromètre du Cesin, l’association des responsables de la sécurité informatique, pour 80 % des entreprises ayant déclaré avoir connu une attaque en 2020, le vecteur d’entrée a été le phishing (un mail avec un lien malveillant sur lequel un collaborateur a cliqué). »
Je n’ai rien vu à ce sujet dans Thunderbird, mais je me demande s’il ne suffirait pas d’ajouter des fonctions dans les clients mails pour supprimer automatiquement tous les liens dans les mails reçus (avec la possibilité de mettre certains domaines en liste blanche) pour faire drastiquement diminuer ce type d’attaques.
Puisque de toute façon, quoi qu’on fasse, le problème surviendra toujours majoritairement entre la chaise et le clavier. Donc autant adapter les logiciels aux utilisateurs qui ne sont pas spécialistes en sécurité et qui feront tôt ou tard toujours une connerie, même si on leur inculque les gestes barrière.