Santé : le FSSI des ministères sociaux alerte sur les risques cyber

Le système de santé fait face à de nombreuses cyberattaques ciblant spécifiquement un établissement, une société ou une infrastructure. Mais il est également vulnérable à des risques cyber systémiques, comme l’a exposé le fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux, Jean-François Parguet, pendant une conférence donnée au salon Santexpo, le 19 mai 2022.

« On a vu récemment un incident chez un fournisseur toucher 300 établissements le même jour. Un incident qui va faire tomber des centaines d’établissements comme un château de cartes, c’est un risque systémique », expose-t-il.

Il a également évoqué « un pic d’incidents cyber et non cyber liés à des fournisseurs d’infrastructures et d’applications SaaS comme le dossier patient informatisé (DPI) ». En réaction, il a demandé aux agences régionales de santé un recensement des fournisseurs IaaS, PaaS et SaaS « pour identifier les dépendances ».

Le système de santé subit par ailleurs deux incidents déclarés par jour depuis début 2022, contre un seul par jour en 2020. Mais ce doublement n’est pas propre au secteur : « on subit des attaques génériques, comme dans l’industrie ou dans la banque, qui sont proportionnelles à l’exposition du secteur », précise-t-il.

Jean-François Parguet a également annoncé la publication, « à très court terme », du référentiel unique des mesures de sécurité (RUMS), mis au point par la direction générale de l’offre de soins (DGOS) et le FSSI. Il reprendra l’ensemble des mesures de cybersécurité de tous les référentiels applicables aux établissements de santé, et facilitera ainsi leur mise en conformité.