En marge du salon SantExpo, qui se tient du 23 au 25 mai 2023, nous avons réuni trois acteurs de la cybersécurité qui exposeront sur le pavillon Bretagne. Témoins du dynamisme et de la complémentarité de l’écosystème breton, Yves Duchesne, expert en cybersécurité chez ACCEIS, Cathy Lesage, présidente de RubyCat, et Frédéric Grelot, cofondateur de GLIMPS, livrent leurs points de vue sur la cybersécurité appliquée au domaine de la santé.
Que proposez-vous comme solutions pour le domaine de la santé ?
Yves Duchesne : La cybersécurité repose sur au moins trois piliers : la technique, l’organisation et l’humain. ACCEIS accompagne ses clients pour les aider à s’organiser sur le plan stratégique, comme la production de documents, la mise en place de stratégie de cybersécurité et d’organisation pour sécuriser les systèmes d’information. Nous les accompagnons aussi sur l’expertise technique. Ce que nous allons mettre en place auprès d’un centre hospitalier ressemble, beaucoup, à la méthode que l’on applique pour un industriel, une collectivité ou une entreprise numérique.
Cathy Lesage : RUBYCAT depuis près de 10 ans développe un outil de traçabilité renforcée des accès sensibles au SIH qui est certifié par l’ANSSI. Notre solution logicielle de bastion / PAM, portail fédérateur pour les accès sensibles aux ressources critiques, adressait au début le domaine de la santé pour un premier besoin identifié dans le Plan Hôpital Numérique de renforcer la sécurité des accès à privilèges tels que les accès des télémainteneurs et prestataires externes qui interviennent sur le SIH. Désormais les accès d’administration internes sont aussi concernés (administrateurs en interne qui ont accès à des ressources critiques).
Frédéric Grelot : Nous n’intervenons pas uniquement quand il y a des problèmes. Nous intervenons beaucoup en complément des EDR (Endpoint detection and response – détection et réponse des terminaux) afin d’accélérer la détection. Nous sommes aussi régulièrement contactés par des prestataires de réponse à incidents qui, eux, sont appelés par des hôpitaux à la suite d’une attaque. Souvent, il y a des enjeux assez forts, notamment concernant les données personnelles. La phase d’investigation doit aller assez vite afin de déterminer l’ampleur de la fuite et de savoir ce qu’il s’est passé sur le système d’information pendant l’attaque.
La santé, un domaine « particulier sans l’être »
Par rapport à d’autres secteurs d’activité, la santé, et plus particulièrement le milieu hospitalier, sont-ils confrontés à des contraintes différentes ?
Y.D. : Le domaine de la santé est particulier sans l’être. Il concentre des données critiques et stratégiques, sur lesquelles des contraintes fortes reposent. Malheureusement, ce domaine manque souvent de moyens pour sécuriser. Les secteurs ont tous leurs particularités, mais sont tous confrontés, finalement, à des menaces similaires. La spécificité de la santé est liée aux contraintes réglementaires et les différents programmes comme les SEGUR qui font qu’il y a des spécificités.
C.L. : Pour nous, le domaine de la santé regroupe des contraintes fortes que l’on retrouve dans les OIV (Opérateurs d’Importance Vitale) et OSE (Opérateurs de Services Essentiels) que l’on retrouve dans tous secteurs. Les noms des contraintes changent, mais elles se ressemblent beaucoup. Notre solution s’applique de la même manière. La vraie problématique actuelle du milieu hospitalier, c’est la question des moyens humains. Les équipes de systèmes d’information comptent de moins en moins de monde. Le temps leur manque ; le MCO (Le maintien en condition opérationnelle) est important et notre solution est particulièrement adaptée à leur problématique puisqu’elle ne nécessite qu’une heure par mois de maintenance ; ils ont besoin d’un outil simple, efficace et qui leur facilite le quotidien et non pas d’un outil trop sophistiqué qu’ils ne maîtriseront pas.
F.G. : Le domaine de la santé, notamment dans le public, est confronté à a un énorme décalage, faute de moyens, par rapport aux secteurs de la défense ou bancaire par exemple, qui ont des budgets très importants du fait de l’impact pour l’activité d’une fuite de données..
Les attaques de centres hospitaliers se multiplient, notamment à Dax ou à Corbeil-Essonnes. Avez-vous ressenti un impact sur vos activités ou une prise de conscience des structures de santé ?
C.L. : Les besoins n’ont pas changé. En revanche, ces attaques ont facilité l’obtention de budgets supplémentaires pour les RSSI et favorisé une meilleure prise de conscience des directions générales. Elles sont plus conscientes des remontées des RSSI. Auparavant, tant qu’il n’y avait pas de problème, cela ne bougeait pas trop. Les directions sont désormais dans l’obligation d’intégrer la cybersécurité dans leur budget.
Y.D. : Historiquement, la santé consomme de la cybersécurité. Ce sujet n’est pas nouveau. Je n’ai pas l’impression qu’il y ait eu un réveil. Des choses ont toujours été mises en place d’un point de vue réglementaire.
Lire aussi : Cybersécurité : “Il y a eu un avant et un après” la cyberattaque de l’hôpital de Dax
Le domaine de la santé est-il sujet à des spécificités d’un point de vue commercial ?
F.G. : Dans le secteur de la santé, il est difficile de se dire que l’on va prendre une heure d’un spécialiste de santé pour présenter une solution. J’ai l’impression qu’il faut être au bon endroit, au bon moment plutôt que de solliciter directement les personnes. Il y a un véritable enjeu autour du temps consacré par les équipes.
C.L. : Effectivement une attention sera portée sur des éléments comme le plan de reprise d’activité (PRA). Car en cas de problème, il faut remonter plus rapidement l’infrastructure. Contrairement au milieu industriel, où il y a une perte de temps et de rentabilité sur une ligne de production, il y a là un risque vital pour les patients.
F.G. : On en revient à la problématique du gain de temps donné par la solution cyber. Si elle fait perdre du temps, il va être difficile de la proposer. Si elle crée de l’indisponibilité, les structures préfèrent s’en passer pour se consacrer aux patients. Un industriel confronté à un arrêt de sa chaîne de montage ou de production sera plus enclin à mettre des moyens dans un produit pour s’assurer que l’outil ne tombe pas en panne.
SantExpo, un lieu de rassemblement des bonnes personnes disponibles
Être présent sur un salon comme SantExpo participe-t-il à faire évoluer les mentalités en matière de cyber ?
Y.D. : L’avantage du salon c’est que nous rencontrons les bonnes personnes et qu’elles sont disponibles. Il rassemble énormément d’acteurs différents, pas uniquement les RSSI (responsables de la sécurité des systèmes d’information) ou directeurs des systèmes d’information (DSI), en revanche, quand nous les rencontrons, ils sont là pour des problématiques précises et ont des questions à poser.
C.L. : Aussi, ce qui intéresse les RSSI et DSI c’est de pouvoir rencontrer leurs pairs et croiser leurs expériences et réflexions. Les clubs de DSI/RSSI ont une portée plutôt régionale, tandis que SantExpo est un rendez-vous national.
F.G. : Les personnes sont effectivement présentes avec des objectifs. Il n’est pas question de penser à contacter les acteurs cyber, mais de les rencontrer, concrètement, le temps d’une journée dédiée. Les RSSI et DSI vont enchaîner les rendez-vous, les démonstrations de solutions informatiques, les prises de conseils. Au final, ils auront une idée plus précise de ce qu’ils pourront implémenter.
Qu’attendez-vous d’un événement comme SantExpo, étant donné que la cyber représente une part minime du salon ?
F.G. : Rien que le type d’échanges que l’on a actuellement, dans le cadre de SantExpo, nous enrichit tous. Cela permet de mettre en commun nos forces en cybersécurité et de capter l’attention des personnes.
C.L. : Pour nous c’est le moyen de rencontrer nos clients sur place et le croisement des filières santé et cybersécurité est intéressant.
Y.D. : C’est l’opportunité de porter la bonne parole. La présence va permettre d’engager la discussion sur le sujet de la cybersécurité. C’est la philosophie du croisement des filières qui est très intéressante. Autant le FIC est très rentable pour les exposants car les les visiteurs sont qualifiés et viennent au salon pour les enjeux de cybersécurité. Autant un salon de filière différente comme SantExpo déclenche des réflexions auprès de personnes qui ne sont pas forcément pas présentes pour la cyber. Une personne intéressée par un outil de radiographie, par exemple, peut être interpellée par les questions de cybersécurité et s’y penchera sûrement après une discussion.
