Acteur incontournable de la cybersécurité en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) intervient notamment dans le monde de la santé pour des missions de prévention, de sensibilisation et de défense. Le point avec Charlotte Drapeau, cheffe du bureau Santé et Société.
Charlotte Drapeau : L’Agence, qui fait référence en France sur les champs de la cybersécurité et de la cyberdéfense, est chargée d’accompagner et de sécuriser le développement du numérique dans notre pays. Elle effectue donc uniquement des actions défensives, et est à ce titre rattachée au secrétaire général de la défense et de la sécurité nationale, un organisme placé sous l’autorité du Premier ministre. L’ANSSI s’adresse principalement à deux types de bénéficiaires : les opérateurs d’importance vitale (OIV) et les Opérateurs de Services Essentiels (OSE), qui sont soumis à la Loi de Programmation Militaire (LPM) et relèvent de la directive européenne Network and Information System Security (NIS). Nos équipes, qui fédèrent quelques 600 agents, se mobilisent ainsi autour de trois principales missions : la prévention des attaques informatiques ; la sensibilisation, en publiant par exemple des guides destinés aux bénéficiaires ; et la défense, qui se traduit par exemple par des interventions sur site en cas de cyberattaque contre l’un de nos bénéficiaires.
Quel est votre rôle au sein de l’Agence ?
En tant que cheffe du bureau Santé et Société – lui-même rattaché à la sous-direction Stratégie et intégré à la division Coordination sectorielle –, je suis chargée du pilotage des dossiers et du management des agents qui coordonnent, avec les ministères de tutelle, les activités portant sur les secteurs de la santé, de la culture, de l’agriculture, de l’alimentation et des grands évènements sportifs. Pour résumer, nous accompagnons ces écosystèmes sur les enjeux de cybersécurité.
Certaines mesures sont-elles spécifiques au monde de la santé ?
L’augmentation de la menace cyber est particulièrement inquiétante. Nous avons donc initié des travaux bien avant la crise sanitaire pour sécuriser le secteur, et un plan en ce sens avait été lancé fin 2019 par le ministère de la Santé. Nous sommes ensuite venus en appui du ministère en désignant les Opérateurs de Services Essentiels (OSE), c’est-à-dire les établissements de santé dont le service est tributaire d’un ou plusieurs systèmes informatiques essentiels au maintien de l’activité économique et sociétale. Par cette désignation, ils ont désormais quatre obligations à respecter : la nomination d’un représentant auprès de l’ANSSI ; l’identification des systèmes d’information essentiels, donc ceux qui permettent d’assurer les activités de soin ; l’application des 23 règles de sécurité édictées par la loi ; et enfin la déclaration de tout incident de sécurité qui interviendrait sur les SI essentiels. Tous les établissements support de GHT sont aujourd’hui désignés OSE, avec l’obligation de respecter ces obligations au 1er septembre 2021. Un délai compris entre deux mois et trois ans leur sera toutefois donné pour assurer leur mise en conformité avec ces nouvelles exigences.
Comment accompagnez-vous ces établissements OSE ?
Au-delà de rôle d’autorité nationale, nous les appuyons de plusieurs manières, avec une attention forte portée au volet pédagogique. Nous publions ainsi régulièrement des guides pratiques, nous intervenons auprès des acteurs de l’écosystème pour mener des actions de sensibilisation… Sans oublier le programme de financement prévu par le plan France Relance sur la période 2021-2022, qui réserve 25 millions d’euros au secteur de la santé. Concrètement, après avoir postulé sur le portail de démarches simplifiées, réalisé un pré-diagnostic de leur maturité cyber et défini une feuille de route, les établissements pourront bénéficier d’un soutien financier spécifiquement destiné à muscler leur cybersécurité. Je les incite d’ailleurs aujourd’hui à tous candidater le plus tôt possible pour pouvoir bénéficier rapidement de ces financements, d’autant que ceux-ci devraient s’arrêter fin 2022.
Quels conseils leur donneriez-vous en matière de cybersécurité ?
Le premier concernerait la nécessaire prise de conscience des décideurs hospitaliers et notamment des directions générales d’établissements. La cybersécurité n’est pas uniquement une question qui intéresse les experts informaticiens, c’est aussi, aujourd’hui plus que jamais, un enjeu métier au même titre que les autres risques identifiés par les unités de soins ou les services administratifs. Gérer ce risque spécifique au plus haut niveau est devenu indispensable. Une autre action essentielle pour la prévention des cybermenaces est sans conteste la réalisation d’audits de sécurité, véritables états des lieux des systèmes informatiques et qui permettent d’appuyer la mise en œuvre de correctifs concrets. Pour aller plus loin, je conseille également aux établissements de former les usagers des SI aux risques cyber, de consulter les guides publiés par l’ANSSI, de s’entraîner régulièrement à la gestion d’une cybercrise et, en cas de besoin, de faire appel à des prestataires ou des produits de confiance, c’est-à-dire possédant le visa de sécurité de l’ANSSI.
Vous évoquiez plus haut la menace importante à laquelle fait face le secteur sanitaire. Pourriez-vous nous en parler ?
Compte tenu de ses activités et ses enjeux – qui touchent à l’humain, – cette menace est tout à fait spécifique. En 2020, l’ANSSI a par exemple été informée de 24 cas d’attaque par rançongiciels dans le secteur de la santé, tous domaines confondus. Sur le territoire national, on recense actuellement une tentative d’attaque par semaine en moyenne, dirigée contre des entités ayant un lien avec des services de santé. C’est un chiffre important, d’autant que ces services sont déjà en tension compte tenu de la crise sanitaire. L’épidémie, qui mobilise fortement les défenseurs et les établissements de santé, est un facteur de légère aggravation des menaces. Cette menace était toutefois déjà perceptible auparavant, comme en témoignent nos actions sur le secteur ainsi que le plan du ministère des Solidarités et de la Santé, tous déployés avant l’année 2020. Il est important de décorréler ces deux sujets pour que tous aient bien conscience que la crise sanitaire s’arrêtera, mais que la crise cyber perdurera et nous préoccupera pendant longtemps encore.