L’AFIB était présente pour participer une seconde fois à l’APSSIS, le congrès des RSSI en santé qui se déroule chaque année au Mans.
Un programme informatique et scientifique de qualité avec de nombreuses interventions de RSSI et aussi de prestataires IT, portant sur les nouvelles tendances de sécurité numérique dans le domaine de la santé et aussi des retours d’expériences sur les points faibles des SI de santé comme ont pu le vivre les établissements récemment attaqués.
En marge des conférences, les fournisseurs IT étaient également présents avec une vingtaine de stands, permettant des échanges plus approfondis sur les produits de sécurité spécialisés dans la protection du système d’information et avec quelques-uns orientés sur la sécurité des DM.
Bien évidemment, aller à un tel congrès n’est pas sans risque … pour un ingénieur biomédical. En effet, les DM connectés et notamment les plus vieux, restent un des éléments les moins maitrisés des RSSI et par lesquels le risque cyber est parfois élevés.
Parmi les 24 conférences présentées lors de ce congrès de 3 jours, nous avons vu des retours d’expériences démontrant que la culture cyber n’est pas encore prégnante dans le monde biomédical, et aussi dans les autres domaines techniques de l’hôpital. Mais, à l’inverse, que des solutions techniques permettant de mieux connaitre la faiblesse de ces équipements existent et sont aussi à la portée des IBM pour travailler conjointement avec leurs RSSI.
Actuellement, il n’est pas facile d’installer des antivirus, installer des systèmes de détection d’intrusion (EDR), ou que simplement les fournisseurs mettent à jour des OS des DM, car « un DM n’est pas un système informatique lambda et est marqué CE médical ». Il est clair cependant que le monde biomédical doit être plus exigeant et responsabiliser les fournisseurs sur les DM vendus et installés car nous n’avons pas les mêmes durées de cycles de vie entre DM et informatique, et le monde cyber évolue très très vite.
Ce travail doit aussi être accompagné par les RSSI, et au besoin aller plus loin en filtrant, segmentant, et en fermant systématiquement les points d’accès non nécessaires qui restent des portes d’entrées grandes ouvertes pour des hackers, ou définir des politiques des sauvegardes (en vérifiant qu’elles fonctionnent avec des tests de restauration).
Si nous souhaitons aller plus loin et utiliser les mêmes solutions logicielles que les DSI, il faudra co-construire entre IBM et RSSSI des PCA orientés « risque cyber » qui intègrent toute la chaine numérique du DM jusqu’au système d’information.
Nous avons surtout pu présenter le travail entrepris conjointement entre AFIB, APSSIS, UNIHA, mais aussi avec l’aide de l’ANSSI et le soutien du ministère et du SNITEM et qui devrait donner ses fruits vers la fin d’année. Il sera bien entendu détaillé lors des journées AFIB de Bordeaux.
En résumé, il s’agit d’un questionnaire et des exigences techniques que chaque établissement pourra adjoindre dans les CCTP des appels d’offres locaux ou ceux des centrales d’achats lors des appels d’offres nationaux. De plus, il inclue un outil d’analyse des réponses, qui peut être adapté à la politique de sécurité locale de l’établissement. L’objectif est double :
- Pour un fournisseur : avoir un questionnaire unique et donc apporter une réponse égale pour tous les établissements clients acheteurs du DM.
- Pour les établissements : un questionnaire cyber adapté dont les exigences sont adaptées aux spécificités des DM, le non-respect des engagements pris par le fournisseur vis-à-vis de ces réponses pourra être soumis à des pénalités. De plus, ces engagements seront, de fait, les mêmes pour deux établissements différents.
A ce stade, nous en sommes à une version de travail aboutie, en cours de relecture avec un planning de diffusion vers fin 2023.
En conclusion, nous vous encourageons à approfondir ce thème avec un exemple de différents fournisseurs, via les liens ci-dessous (ou nous contacter directement si ce sujet vous tient à cœur). De plus, nous mettrons le lien de la vidéo, de notre intervention, qui sera disponible à la rentrée.
Rendez-vous aux journées de l’AFIB à Bordeaux pour en discuter !
Loïc Dubois (GH SIF) et Benoit FONDEUR (HCL)
Guide pédagogique Cyber sécurité OT – Version 2 | GIMELEC
Biomed Dashboard (paloaltonetworks.com)
Solution Technologique Cybersécurité - Relyens en France
Photo David Piole : Benoît FONDEUR (HCL) et Loïc Dubois (GH Sud Île de France)
