L'Agence nationale de la sécurité des systèmes d'information (Anssi) propose des "parcours de cybersécurité" aux établissements de santé afin de les accompagner dans l'amélioration de leur niveau de sécurité des systèmes d'information (SI), a fait savoir son directeur, Guillaume Poupard, le 8 avril sur LinkedIn.
"L’accompagnement des bénéficiaires est le maître-mot de cette offre de service via la mise en oeuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations", est-il précisé sur le site de l'Anssi.
"En fonction de sa taille, de ses moyens et de l’organisation déjà mise en place face aux cybermenaces, des réponses différenciées sont proposées."
Deux conditions doivent être réunies: le candidat "doit disposer d’un système d’information existant [et] être soutenu par son décideur, détenteur de la responsabilité juridique et administrative, afin de garantir la pleine implication des équipes et le bon déroulement des actions menées".
Cette action de l'Anssi s'inscrit dans le volet cybersécurité du plan de relance, pour lequel elle a reçu un financement de 136 millions d'euros dont 25 millions sont destinés aux établissements de santé.
L'Anssi n'a pas précisé si les établissements privés ou privés d'intérêt collectif sont concernés.
Il n'est pas non plus précisé si ce financement de 25 millions d'euros est distinct des 350 millions d'euros, issus des 2 milliards d'euros du Ségur de la santé consacrés au numérique, qui seront consacrés à la sécurité des SI et annoncés par Emmanuel Macron en février.
Quatre "parcours" complémentaires sont proposés en fonction "des enjeux et des besoins".
Le parcours dit "renforcé" se concentre sur le "point de passage des organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital", note-t-on.
En février, le ministre des solidarités et de la santé, Olivier Véran, et le secrétaire d'Etat chargé de la transition numérique et des télécommunications, Cédric O, avaient annoncé que "d’ici trois mois", les 135 groupements hospitaliers de territoire (GHT) seraient intégrés à la liste des opérateurs de services essentiels (OSE), ce qui "implique des règles de sécurité informatique plus strictes", rappelle-t-on.
Les différents parcours "s'articulent autour de six thèmes adaptés, qui sont déclinés en fonction des enjeux et aux menaces", a ajouté l'Anssi.
Les parcours se déroulent en quatre étapes principales: un pré-diagnostic pour choisir le parcours adapté, son lancement, l'approfondissement puis le suivi itératif.
Le traitement des candidatures, la maîtrise d’ouvrage de réalisation du diagnostic et conception du plan d’action, et la maîtrise d'oeuvre du plan d'action sont confiés à des prestataires, a précisé l'Anssi.
Les parcours sont "conçus pour se faire majoritairement à distance" et "permettront le respect des consignes sanitaires".
Dans un rapport fin février, l'Anssi a brossé un portrait sévère des vulnérabilités des SI des établissements de santé, et averti que les rançongiciels sont la "menace la plus immédiate" à la fois "en termes de volume, de fréquence des attaques et de conséquences".
Les parcours de cybersécurité, sur le site de l'Anssi
lc/gdl/nc
