Interview exclusive de Charlotte DRAPEAU - Cheffe du Bureau Santé et Société de l’ANSSI
Vous êtes Cheffe du Bureau Santé et Société. Quel est votre rôle au sein de l’ANSSI ?
Charlotte DRAPEAU : Au sein de la sous-direction Stratégie et de la division de la coordination sectorielle, j’ai en charge le pilotage des dossiers et le management des coordinateurs sectoriels. Le bureau Santé et Société coordonne les activités de l’ANSSI sur les secteurs d’activités santé, alimentation et culture avec les ministères de tutelle. Il représente l’ANSSI auprès de ces ministères et des entités publiques et privées de l’écosystème afin de les accompagner sur les enjeux de cybersécurité.
Les problèmes de cyber sécurité rencontrés par les structures de santé ont amené le Président de la République à se saisir du sujet et à annoncer une série de mesures sectorielles. Pouvez-vous nous les rappeler et nous expliquer comment l’ANSSI va s’inscrire dans le plan d’action ?
C.D. : Les établissements de santé sont aujourd’hui des cibles particulièrement vulnérables aux cyberattaques, comme l’illustre la multiplication des attaques par rançongiciel qui les ont récemment affectés. C’est pourquoi le Gouvernement a renforcé sa stratégie de cybersécurité à destination des établissements de santé en s’appuyant sur les compétences de l’ANSSI. En effet, en étroite collaboration avec le ministère des Solidarités et de la Santé, l’accompagnement de l’ANSSI se traduit à la fois par un appui dans la mise en œuvre de la réglementation ainsi qu’au travers d’assistances dédiées et par le soutien à la réponse à incident.
Tout d’abord, l’ANSSI est chargée de la mise en œuvre globale de la directive Network and Information Security (NIS) en France, qui aura un impact sur les 135 établissements supports de GHT en France.
Sur la base de la liste de trois services essentiels identifiés dans le décret du 23 mai 2018 : le service concourant aux activités de prévention, de diagnostic ou de soins ; le service de réception et de régulation des appels ; le service mobile d'urgence et de réanimation, l’ANSSI, en coordination avec le ministère des Solidarités et de la Santé, a proposé au Premier ministre une liste d’établissements supports de GHT pressentis pour être désignés Opérateurs de services essentiels (OSE). Les OSE veilleront à appliquer aux systèmes d’information essentiels (SIE) identifiés et déclarés, les 23 mesures de sécurité définis dans l'arrêté du 14 septembre 2018 dans les délais impartis, qui s'échelonnent entre 3 mois (règle relative au traitement des alertes) et 3 ans (règle relative à l'homologation). La désignation en tant qu’OSE offre l’opportunité de bénéficier d’un accompagnement de l’ANSSI ainsi que de services mis à disposition pour sécuriser les systèmes d’information. Par ailleurs, l’ANSSI met à disposition des OSE du secteur de la santé le service ADS de l’ANSSI : service d’audit de l’Active directory avec des préconisations. Ce service sera mis à disposition de l’ensemble des établissements de santé des GHT (pas uniquement les établissements supports de GHT) et accessible via un formulaire de souscription sur le portail dédié.
Enfin, dans le cadre du volet cyber de France Relance, l’ANSSI propose aux 135 GHT et aux établissements de santé ultra-marins une offre de « Parcours de cybersécurité ».
Dans le cadre du programme France Relance, 136 millions d’euros sont dédiés au renforcement de la sécurité des administrations, des collectivités et des organismes au service des citoyens. Quelle est la part de ce budget fléché vers le système de santé et comment les établissements vont en bénéficier ?
C.D. : Face à la forte augmentation des cyberattaques dans ce secteur, il devient indispensable et urgent d’accroître le niveau de sécurité des établissements de santé afin qu’ils continuent d’assurer pleinement leurs missions quotidiennes au service de nos concitoyens et protègent les données médicales.
Pour cela, l’État déploie via France Relance des moyens inédits dédiés à ce secteur pour financer des prestations et des produits de cybersécurité au profit des acteurs de la santé.
Le volet cybersécurité de France Relance se fonde sur l’implication et le volontariat de ses bénéficiaires. Il donne accès à un accompagnement adapté au niveau de maturité et aux enjeux de chaque établissement de santé.
Pour bénéficier au plus grand nombre d’établissements de santé, il cible en priorité les établissements principaux des groupements hospitaliers de territoire (GHT). L’objectif est de concentrer l’effort sur des systèmes d’information bénéficiant à plusieurs entités et permettre à chacun de ces groupements de capitaliser sur la démarche en diffusant auprès de l’ensemble de ses membres les bonnes pratiques de cybersécurité.
Sur l’enveloppe des 136 millions d’euros, 25 millions d’euros sont destinés au système de santé et plus particulièrement aux établissements de santé.
Concrètement, que doit faire un établissement de santé souhaitant être accompagné et soutenu financièrement ?
C.D. : Le financement des prestations qui composent les Parcours de cybersécurité s’effectue au travers de subventions directes aux établissements de santé principaux de GHT. Dans tous les cas, un co-financement par le bénéficiaire est demandé.
À l’issue du parcours, il est essentiel que chacun pérennise son investissement dans la cybersécurité, a minima à hauteur de 5 % de son budget informatique.
Pour candidater à un Parcours de cybersécurité, il suffit de s’inscrire sur : https://www.demarches-simplifiees.fr/commencer/france-relance-parcours-cybersecurite
Nombreux sont les RSSI qui expriment que les moyens financiers sont une chose, mais que les moyens humains manquent cruellement au sein des établissements de santé. Comment peut-on répondre à cette réalité ?
C.D. : Pour faire face aux difficultés de recrutement de talents en sécurité des systèmes d’information, l’ANSSI est impliquée dans plusieurs programmes visant à promouvoir la reconnaissance de formations continues ou initiales dans le domaine de la sécurité numérique.
Le Centre de formation à la sécurité des systèmes d’information (CFSSI) de l’ANSSI intervient dans la définition et la mise en œuvre de la politique de formation à la sécurité des systèmes d’information. Il propose des formations dispensées par des experts de l’ANSSI au profit du personnel de l’État sous la forme de stages courts et d’un cycle long permettant d’obtenir le titre d’expert en sécurité des systèmes d’information (ESSI).
Enfin, l’ANSSI travaille en étroite collaboration avec le ministère des Solidarités et de la Santé pour améliorer l’attractivité professionnelle du secteur, mettre à disposition des contenus pédagogiques et accroître le niveau de compétences des acteurs.