Guillaume Poupard : « Être un opérateur régulé, c’est une chance, pas une charge »

En 2020, les attaques de ransomware n’ont épargné personne et surtout pas les hôpitaux. Une tendance qui s’est « poursuivi en 2021, avec en moyenne une attaque par semaine » expliquait Matthieu Feuillet, chef de bureau management des risques à l’agence à l’occasion de la présentation du rapport d’activité 2020 de l’agence. Les multiples attaques ayant visé les établissements de santé français ont poussé le gouvernement à annoncer en février un plan de soutien au secteur de la cybersécurité, et l’Anssi s’est également mis en ordre de bataille pour accompagner le secteur.

Cela s’est notamment traduit par la désignation d’une centaine d’hôpitaux supplémentaire pour être encadré sous le régime des Operateurs de Services Essentiels, une catégorie d’acteurs régulés définis dans le cadre de la directive NIS. Cette directive européenne permet de définir des secteurs jugés essentiels et d’imposer certaines contraintes et obligations en matière de sécurité aux organisations concernées, une version plus large et moins lourde des réglementations encadrant les opérateurs d’importance vitale concernés par la loi de programmation militaire française de 2013.

« On avait déjà les grands CHU et les principaux hôpitaux qui étaient encadrés en temps qu’opérateur d’importance vitale, et nous avions désigné une vingtaine d’établissements de santé pour être considérés comme opérateurs de service essentiel » explique Guillaume Poupard, directeur de l’Anssi. « La nouveauté, c’est que l’on a ajouté une centaine d’établissements plus petits à cette liste d’opérateurs de services essentiels, en visant à couvrir le plus grand nombre d’établissements. » Cette extension avait été annoncée en février, et les désignations ont donc été faites : « On se concentre avant tout sur les établissements à la tête des groupements hospitaliers de territoire, ainsi que sur les établissements basés en outre mer : contrairement à ceux basés en métropole, on ne peut pas facilement rerouter des patients vers d’autres établissements en cas d’incident paralysant le système » explique Guillaume Poupard.

Mieux vaut prévenir que guérir

Le directeur de l’agence insiste sur le fait qu’il ne s’agit pas uniquement de faire peser de nouvelles obligations sur ces établissements, mais bien de renforcer le niveau de sécurité d’organisations qui n’ont pas toujours été en mesure de se tenir à l’état de l’art en matière de sécurité numérique. « Jusqu’alors, on avait tendance à penser que les hôpitaux n’étaient pas des cibles, mais on s’est bien rendus compte qu’il y avait des attaques sur les établissements de santé, même en période de crise sanitaire » explique le directeur de l’agence, qui insiste sur le fait qu’il s’agit « d’une chance et non d’une charge » pour les établissements.

« Quand certains hôpitaux sont attaqués, on va les aider. Mais il faut aussi qu’on intervienne en amont. Designer ces nouveaux établissements comme opérateurs de services essentiels, c’est avant tout un moyen pour nous de leur tendre la main et de pouvoir les aider » ajoute Guillaume Poupard. L’Anssi a bénéficié d’une enveloppe de 136 millions d’euros dans le cadre du plan France Relance, visant à financer à la fois des diagnostics et le déploiement de nouveaux équipements. Sur ces 136 millions d’euros, 25 sont à destination des établissements de santé et hôpitaux.

L’agence avait d’ailleurs invité à l’occasion de sa conférence de presse le RSSI du centre Leon Berard, spécialisé dans le traitement et la recherche sur le cancer, qui a bénéficié d’un de ses « parcours de cybersécurité » proposés par l’Anssi : au programme, un état des lieux complets de la posture de sécurité de l’établissement afin d’identifier les manques et les éventuelles faiblesses. « La procédure donne ensuite lieu à une synthese, qui est symbolisée par un « cyberscore » qui montre à la fois le niveau de sécurité de l’établissement et le niveau atteignable, et permet ensuite la mise en œuvre d’un plan de sécurisation. »

Outre les efforts de l’Anssi, le ministère de la Santé s’est également engagé à financer une partie de l’effort en débloquant 350 millions d’euros pour des projets cybersécurité dans le secteur de la santé. Le retard à rattraper en la matière était considérable : en février, l’Anssi avait rendu un rapport signalant les nombreux facteurs de vulnérabilités dans les systèmes informatiques des établissements de santé : large surface d’attaque, équipements et logiciels souvent obsolètes ou ne disposant pas d’une sécurité suffisante, manque de moyens alloués aux questions de sécurité informatique. Le sujet risque donc d’occuper l’Anssi pour encore quelque temps.