Un été brûlant pour la cyber

Plus de 4 milliards de cyberattaques sont attendues en juillet 2024 sur le territoire français qui accueillera cet été les Jeux olympiques et paralympiques. Cette estimation est huit à dix fois plus élevée que lors des précédents Jeux de Tokyo. Au congrès de l’Apssis, qui réunit ce mois de juin les RSSI des établissements de santé, les esprits se échauffés. “On voit déjà plus de tentatives qu’à l’accoutumée sur nos systèmes” glisse à mind Health Pierre Vogel, RSSI du Centre Hospitalier de la Polynésie française, où les épreuves de surf se dérouleront fin juillet. 

“Vivement que cela se termine”, lance à l’assemblée Patrice Bigeard, FSSI du Ministère de la Santé, témoin de la “grande paranoïa” – comme il la nomme – qui accompagne la vitrine olympique. “On voit la menace se profiler, rien de très évident pour le moment mais on s’attend tous à un été très chaud, tous secteurs confondus” dit-il. Dans la santé, les autorités considèrent en effet que le risque cyber est le premier risque pendant les JO. “Seul le Laboratoire antidopage Français (LADF) bénéficie d’un soutien appuyé de l’Anssi. Pour le reste, c’est à nous de nous débrouiller” évoque le FSSI.

Le ministère de la Santé a d’abord identifié dix établissements dits “prioritaires” pour assurer une préparation en règle, puis, à la demande des ARS, a décidé d’élargir la vigilance à près de 200 établissements. Les thématiques du programme CaRE ont servi de points d’ancrage à ces préparatifs. “Nous espérions que CaRE se lance quelques mois plus tôt pour que les établissements concernés par les JO puissent bénéficier des premiers financements. Ces établissements sont au final bien préparés car tous ont réalisé des exercices de crise pour passer rapidement en mode dégradé et faciliter l’entraide entre les établissements notamment” note Patrice Bigeard.

CaRe : l’arme des pouvoirs publics

Dans ce contexte de menace croissante, les travaux entrepris dans CaRE depuis un an commencent toutefois à porter leurs fruits. Le Congrès a été l’occasion de présenter les chantiers passés et en cours. Aujourd’hui, “99% des GHT sont entrés dans le programme CaRE”, se félicite Patrice Bigeard, qualifiant l’initiative de “réussite collective”. “Plus de 70% des établissements sanitaires ont réalisé à date des exercices de crise” précise Elodie Chaudron, directrice du projet CaRE à l’ANS.

Pour décliner le programme CaRE à l’échelon régional, l’ANS encourage la création de “centres de ressource régionaux en cybersécurité” que les ARS ont la charge de développer. “Ces centres de ressources accompagneront l’ensemble des établissements avec une enveloppe de 26 millions d’euros sur les deux ans à venir” évoque Elodie Chaudron. Les régions – et particulièrement celles qui accueillent les JO – ont également mis en place des “exercices de crise régionaux”, ajoute-t-elle.

Dans le cadre de l’axe 4 “Sécurité opérationnelle” du programme CaRE, le Domaine 1 est le seul à être lancé. Près de 97% du montant de l’enveloppe des 65 millions d’euros ont été déjà engagés. Christophe Mattler, directeur de projet et CTO de la DNS, note que le “rythme de sortie des prochains domaines va rester soutenu”, à raison de deux par an. La DNS prépare le 2e domaine pour la fin d’année, consacré à la stratégie de continuité et de reprise d’activité (PCRA) ainsi qu’aux sauvegardes. Il devrait intégrer le secteur médico-social. Pour lutter contre la dette technologique colossale des établissements de santé, ciblée en priorité dans ce plan, la sécurisation des accès distants et les postes de travail seront les prochains chantiers attendus pour 2025, complète Christophe Mattler.