Cybersécurité : la santé muscle sa défense

L'Agence nationale de sécurité des systèmes d'information (Anssi) s'apprête à publier, dans les jours qui viennent, un texte définissant les mesures que les entreprises de santé vont devoir adopter, à partir du 1er juillet, pour se protéger des cybermenaces. Sont concernés les laboratoires pharmaceutiques, les centres de traitement et de stockage de produits sanguins, d'organes, tissus et cellules destinés à la transplantation sur l'homme. Mais aussi les sociétés développant ou commercialisant des dispositifs médicaux... Autant d'opérateurs qualifiés d'« opérateurs d'importance vitale » par cette agence créée en 2009 pour renforcer la sécurité numérique de l'État.

Inscrite dans la loi de programmation militaire de décembre 2013, la nécessité pour ces opérateurs (qu'il s'agisse d'administrations, de grands groupes publics ou de sociétés de droit privé) de se prémunir contre d'éventuelles intrusions de leurs systèmes informatiques doit être détaillée dans des arrêtés sectoriels embrassant la douzaine de domaines stratégiques où une défaillance des services serait critique pour le pays. La santé en fait partie, au même titre que la défense, les télécommunications, le transport aérien ou le secteur nucléaire.

Douze secteurs stratégiques concernés

L'Agence nationale de la sécurité des systèmes d'information (Anssi) a animé pendant près d'un an 18 groupes de travail qui ont émis, en partenariat avec les ministères concernés, des préconisations : règles à suivre avant, pendant et après d'éventuelles attaques, équipements à adopter pour s'en protéger, cryptage à mettre en place pour éviter que des individus mal intentionnés ne s'emparent de datas sensibles dans les administrations, mais aussi les entreprises assurant des missions d'intérêt général.

Est-ce parce que de plus en plus d'hôpitaux et d'établissements de santé se trouvent ciblés par des pirates informatiques ? Le secteur de la Santé sera le premier à connaître les mesures qu'il doit adopter pour se conformer à ces préconisations. L'ANSSI insiste sur le fait que "l'ordre de publication des arrêtés ne relève pas d'un ordre de priorité donné aux secteurs d'activités ou aux Ministères. Il correspond à la fin des groupes de travail et à l'entrée des textes dans le circuit législatif".

Une liste classée confidentiel-défense

Au total, 230 établissements (publics comme privés) ont été qualifiés d'opérateurs d'importance vitale. La liste est classée confidentiel-défense pour des raisons de sécurités nationale. L'Anssi veillera au fait que ces OIV se conforment à ses instructions. En cas de manquement, une amende pourra être infligée aux opérateurs qui n'auraient pas respecté la règle du jeu décrites dans chaque arrêté. « Si nous nous immisçons ainsi dans le contrôle des dispositifs de sécurité de ces opérateurs économiques, c'est parce que leur exposition au risque numérique impliquerait des conséquences pour la sécurité nationale », argue-t-on dans l'entourage du Premier ministre, sous l'autorité de qui a été placée l'Anssi.

« Tous les acteurs que nous rencontrons ont conscience de la nécessité de se protéger. Et ce, même si cela implique des coûts non productifs », indique Guillaume Poupard, directeur général de l'Anssi. En moyenne, les efforts demandés devraient avoisiner 5 % des budgets informatiques existants. Des audits seront menés pour s'assurer que ces dépenses ont conduit à l'adoption de dispositifs de protection et de détection d'intrusion efficaces.

Protection renforcée

L'Anssi, consciente que la mise en place obligatoire de mesures de sécurité accrues pouvait être l'occasion pour des sociétés informatiques indélicates d'introduire des logiciels d'espionnage au sein d'entreprises ou d'administrations parfois sensibles, a édicté une liste de « partenaires de confiance ». Une vingtaine de prestataires de service qualifiés ont ainsi été labellisés.

La France est le premier pays européen à avoir adopté un tel dispositif contraignant. Avec l'adoption de la directive "Network and Information Security" (NIS) en janvier 2016 par l'Union européenne, ses 28 États membres devraient faire de même. « L'enjeu, c'est que ne se développe pas en Europe un foyer d'infection de virus informatiques susceptibles de se propager dans le continent », justifie Guillaume Poupard.