Piratage dans les hôpitaux : le gouvernement promet 20 millions d'euros pour renforcer la cybersécurité

29 août 2022 à 17h35
18
hopital.jpg © Pixabay
© Pixabay

Cette nouvelle enveloppe budgétaire a pour but d'accélérer le déploiement du plan de sécurisation des hôpitaux débuté en 2021.

Les hôpitaux français sont depuis de nombreux mois déjà la cible de cyberattaques particulièrement sévères qui paralysent les services de santé.

Une attaque de grande ampleur qui paralyse l'hôpital de Corbeil-Essonnes

Le 20 août dernier, l'hôpital de Corbeil-Essonnes en région parisienne a subi une attaque informatique d'ampleur qui a mis à genoux les différents logiciels utilisés par les praticiens mais également l'accès à internet de l'établissement.

Les médecins et le personnel soignant sont contraints de repasser au papier pour le suivi de leurs patients tandis que ceux nécessitant une surveillance importante ont été transférés vers d'autres établissements. Le retour à la normale n'est pas prévu avant plusieurs mois.

Cette situation n'est pas inédite. Depuis 2021, 733 incidents de sécurité dont une centaine de cyberattaques ont ciblé 582 hôpitaux français. Si la menace semble ralentir en cette année 2022, elle reste encore suffisamment sérieuse pour le gouvernement, qui souhaite accélérer la sécurisation des systèmes informatiques des établissements de santé.

Un budget de 20 millions débloqué qui pourrait être insuffisant face aux menaces

En visite à l'hôpital de Corbeil-Essonnes, François Braun, le nouveau ministre de la santé, a annoncé une nouvelle enveloppe budgétaire de 20 millions d'euros, qui s'ajoute aux 18 millions d'euros consacrés à cette mission lors du Ségur de la santé en 2021. « La santé des Français ne sera pas prise en otage », ajoute le ministre.

Le ministre délégué de la Transition numérique, Jean-Noël Barrot, indique à son tour que cette somme permettra de « quasiment doubler le nombre d'établissements de santé qui bénéficieront de ce parcours de sécurisation ». 130 établissements ont déjà débuté l'examen de leurs systèmes informatiques avec l'Agence nationale de sécurité des systèmes d'information et vont très prochainement mettre à jour leur parc.

Pas sûr pourtant que cette somme soit suffisante pour moderniser l'ensemble des hôpitaux français. Les experts en la matière soulignent que le parc informatique mis en place dans les établissements est souvent obsolète et qu'il existe un manque d'experts en cybersécurité. Ces derniers préfèrent travailler dans le privé à des salaires bien plus importants que ceux permis par les budgets limités alloués aux hôpitaux.

Source : Les Echos

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
18
10
clockover
D’un autre côté, les prestas se goinfrent tellement…<br /> Pourquoi les subventionner en plus ?
rom-2
Totalement. C’est là qu’on voit que les réalités sont bien éloignées de ce que le gouvernement peut dire et faire. Cela dit, rien de nouveau.<br /> Pour avoir bossé dans le public, notamment dans des hôpitaux, la situation est catastrophique tant le matériel est obsolète de manière générale. Aussi que la configurations des équipements, même ceux de la sécurité, sont soit mal faits, soit absents, avec simplement des configurations de base/par défaut appliqué.<br /> Je suis même surpris que cela n’arrive pas plus souvent, tant les manquements sont nombreux et généralisés partout.<br /> Et je ne parle pas des contrats de prestations que certains passent, qui sont souvent hors de prix, avec une efficacité très relative …
Nmut
C’était une « prévision », tu as les vrais chiffres?<br /> D’un autre coté, dans les 2 hopitaux que je connais, il ne vérifie plus grand chose depuis le début de l’été, et du coup 20% du personnel est malade, alors que ça tournait entre 5 et 10% au pire de l’épidémie. Je ne sais pas si c’est lié mais ça pose question…
Nmut
Comme « presta », j’aimerai bien comparer les salaires et les horaires avec un « non presta » pour voir! <br /> Je n’ai jamais compris cette guerre entre les 2 façons de travailler, et ça vaut pour les intérimaires aussi. Je suis payé à peu près pareil (j’ai surtout plus de contraintes avec mes 50000km par an non pris en charge en temps, dont 30000km non pris en charge en frais, et quand c’est le cas à 0.2€ du km, ce n’est pas Bizance!), c’est juste un choix, je me casse si le client abuse: si c’est vraiment trop dur (quelques fois), les gens sont infernaux (souvent) ou juste si ça ne me plait pas (quelques fois), un luxe dont je ne pourrai me passer!
carinae
Ben tu en as toi de la chance…parce que généralement c’est plutôt le client qui veut le beurre, l’argent du beurre, et le sourire de la crémière… Et bien sûr a des prix défiants toute concurrence.<br /> Après si le public ne suis pas malgré l’argent qu’on y investi peut être qu’il faut se poser les bonnes questions…Et très souvent les problèmes de sécurité commencent déjà par une attitude a avoir. Déjà qu’en connaissant on arrive à se faire avoir alors si on rajoute un peu de social engineering dessus et des gens qui cliquent partout sans savoir… c’est le début des ennuis
Dudule_Marte
Bonjour, travaillant depuis plus de 20 ans dans un centre hospitalier, je peux vous dire que chez nous, nous avons des gens très compétents en matière d’informatique et nous avons cette chance. Malheureusement, les moyens nous manquent, les budgets diminuent d’année en année et nous manquons de personnel. Un chiffre pour vous donner une idée, nous ne sommes que trois pour administrer et maintenir environ 1200 serveurs (je ne parle que de l’exploitation courante) ce qui est bien évidement très insuffisant. Nous avons une équipe sécurité efficace mais sans moyen, même un bon pilote, dans une 2 chevaux, il ne fera pas de miracle. Je suis d’accord sur ce qui est dit des prestations, elles coûtent cher et sont pourtant largement utilisées au détriment de vraies embauches, j’avoue ne pas comprendre.
Laurent_Marandet
1200 serveurs… est ce que ce ne serait pas comme à la SNCF où, encore récemment, il fallait autant de serveurs que d’applications car ils n’avaient jamais entendu parler de virtualisation ?<br /> Le jour où il y aura de l’OpenSource à la place de Windows et de SQL Server, l’argent économisé sur les licences permettra de payer correctement des prestataires et de libérer du budget pour la sécurité…
FortyTwo
20 000 000€, les hackers en rient et se frottent davantage les mains.<br /> Qu’ils auditent les hôpitaux en 1er lieu afin d’identifier les lacunes qui permettent de mettre en rade tout un établissement et les postes. Toutes les fois où j’ai dû me rendre dans un hôpital, j’ai été sidéré de constater que le personnel peut laisser un poste et sa session ouverte à la merci de tous, branche ta clé USB vérolée et roule ma poule, le poste est déverrouillé et avec un peu de chance c’est un compte admin…<br /> Il faut impérativement mettre l’accent sur la sensibilisation du personnel, encore et toujours, c’est là la porte d’entrée des principaux piratages.
Dudule_Marte
Quand je parle de 1200 serveurs, il s’agit de serveurs virtualisés dont la moitié tournent sous linux. Quant aux serveurs windows, nous n’avons guère le choix puisque tributaires des éditeurs qui ne font pas autre choses. Nous migrons le maximum de bases sous OpenSource et virtualisons toutes les applications que nous pouvons virtualiser, mais une fois encore tributaires des éditeurs. D’autant qu’il est difficile de s’affranchir totalement du rouleau compresseur Microsoft ou Oracle. Quant à payer correctement les prestataires, ça me fait sourire, un prestataire chez nous est payé comme un agent en interne à la différence qu’il coûte 3 fois le prix du même agent (faut bien que la société de services gagne de l’argent) mais on nous dit que ce n’est pas la même ligne budgétaire que le salaire d’un agent en interne. Quoi qu’il en soit, le manque de personnel et de moyens n’arrange pas les choses. L’OpenSource est très bien, je le privilégie au maximum dans mon travail, mais ce n’est malheureusement pas toujours possible. Un exemple flagrant, nous avons tester un logiciel OpenSource pour un domaine assez sensible, l’outil est totalement gratuit mais obligation de passer par une prestation et avoir une maintenance en cas de problème, du coup, le gratuit passe à 270 000 €, cherchez l’erreur.
Dudule_Marte
« Il faut impérativement mettre l’accent sur la sensibilisation du personnel, encore et toujours, c’est là la porte d’entrée des principaux piratages », je suis totalement d’accord. Nos praticiens s’occupent de la santé des malades et n’ont que faire des problématiques liées à l’informatique. Du coup, clé usb vérolée, sessions ouvertes (pas admin heureusement), tentatives d’installation de logiciels pourris et j’en passe. La sensibilisation est la première choses à faire, vous avez raison.
julla0
Évidemment que c’est à la portée de tous et non verrouillé… Quand on gère des patients dans un lieu accessible à tous (l’hôpital), on n’a pas le temps de s’occuper des ordis, on n’a déjà pas le temps de s’occuper correctement des patients…
FortyTwo
Il ne s’agit pas de « s’occuper des ordis », mais de simplement verrouiller/fermer la session quand tu n’utilises pas un poste, sensible de surcroît. On ne demande pas au personnel hospitalier de s’occuper de la maintenance du parc, mais d’adopter les bons gestes quant à une bonne hygiène informatique.
julla0
On accède aux ordinateurs toutes les 5 minutes, et entre les lenteurs, les plantages, les portables qui ne tiennent pas la batterie et qu’on doit brancher dans chaque chambre, les authentifications/réhauthentifications à la pelle dans les nombreuses applications, je pense que tu ne te rends pas compte du travail des soignants pour dire ca…<br /> Tout ce temps perdu chaque jour alors que nous n’en avons pas.
FortyTwo
Je m’en rends parfaitement compte, je suis informaticien. Nos utilisateurs, au nombre d’environ 7000 sont confrontés à la même problématique, mais pas dans les mêmes tensions dont fait l’objet le milieu hospitalier.<br /> C’est de toute façon le « prix à payer » pour un minimum de sécurité.
clockover
Ce n’est pas une guerre… juste un fait.<br /> Sur des structures comme les hôpitaux publiques, il n’y a aucun intérêt à faire appel à des presta.
Nmut
Tout dépend pour quoi. Quand il s’agit de faire des tâches très spécialisées et à court terme, il est très avantageux de prendre des prestataires (ici par exemple la mise en place de formations du personnel et d’un recovery plan), on a des compétences pointues et on est souvent beaucoup plus efficace (pas de formation à faire, spécialistes avec pas mal d’expérience, rapidité d’éxécution), le cout effectif global peut-être divisé par 2 à 4 en général. Il faut bien sûr que les contrats soient bétons des deux cotés, par expérience, un contrat déséquilibré ou flou se finit TOUJOURS mal et coute un max aux 2 parties.<br /> Ca se discute par contre sur des tâches récurrentes ou de fond (principalement en assistance technique): la prestation coute souvent moins cher sur le moment, est plus flexible, est facile et rapide à mettre en place, mais la perte de compétence interne a un coût, et ça, d’expérience, ce n’est jamais calculé et intégré par les clients.<br /> Et pour moi si, c’est quasiment une guerre, on a très souvent des blocages, des rétentions d’information ou juste des animosités qui nous empêche de bien faire notre travail. Les commentaires comme le tien « vous vous goinfrez » et nos « salaires mirobolants », que même une fiche de paie et le cout journaliers ne parviennent pas à faire taire., ressortent en permanence!
max_971
On n’a qu’à tout mettre dans le cloud.<br /> Une bonne connexion internet et des postes de consultation et c’est déjà mieux.<br /> Amazon, Google, vous êtes là ?
clockover
Les données des hôpitaux ? L.O.L.
clockover
Nmut:<br /> salaires mirobolants », que même une fiche de paie et le cout journaliers ne parviennent pas à faire taire., resso<br /> Je n’ai pas parlé de « vos salaires » …<br /> J’ai dit que les prestas se goinfrent et je parlais des entreprises bien sûr pas de la ressource humaine qu’elles brassent.<br /> J’ai travaillé des deux côtés en tant que salarié et je suis maintenant employeur alors je fais parfaitement la différences entre salaire, CA, etc…<br /> Il n’y a pas de tâche très spécifique et de court terme sur les hôpitaux vu la dimension du/des réseaux concernés. Encore moins en « recovery plan », clairement c’est de l’interne ça.<br /> Les hôpitaux publiques français devraient avoir un IT central à haute valeur ajouté pour l’ensemble du pays avec des petits IT locaux et non faire appel à des prestataires.<br /> « le cout effectif global peut-être divisé par 2 ou 3 »<br /> multiplié vous vouliez dire non ?<br /> La presta c’est surtout une manière de sortir le risque:<br /> -responsabilité en cas de soucis technique ou erreur<br /> -RH de ne pas se retrouver avec un élément « nul » qu’il faudrait virer<br /> et de ne pas augmenter la masse salariale mais au final c’est TOUJOURS plus cher.<br /> La magie de croire qu’il mille feuille coute moins cher, je ne comprendrais jamais.
Nmut
clockover:<br /> La presta c’est surtout une manière de sortir le risque:<br /> -responsabilité en cas de soucis technique ou erreur<br /> -RH de ne pas se retrouver avec un élément « nul » qu’il faudrait virer<br /> et de ne pas augmenter la masse salariale mais au final c’est TOUJOURS plus cher.<br /> La magie de croire qu’il mille feuille coute moins cher, je ne comprendrais jamais.<br /> C’est effectivement un des premiers moteurs de la ressource extérieure!<br /> clockover:<br /> je parlais des entreprises<br /> C’est aussi pour ça que j’ai parlé de TJ! <br /> clockover:<br /> Les hôpitaux publiques français devraient avoir un IT central à haute valeur ajouté pour l’ensemble du pays avec des petits IT locaux et non faire appel à des prestataires.<br /> En fait, tu veux un schéma comme les SG2 / Société Général ou Steria / BNP des origines ou chez Thales (le nom de la société de service m’échappe, ce n’est pas beau de vieillir )! C’est très probablement le plus efficace et le plus pérenne: un pool de personnes qualifiée et formées pour intervenir sur les besoins ponctuels, mais récurrents, dans des structures qu’ils connaissent bien! Mais au final, ça a un cout d’entrée énorme, je pense que ce n’est pas possible pour un gouvernement de lancer un truc comme ça.<br /> clockover:<br /> multiplié vous vouliez dire non ?<br /> Non non. Je confirme, on peut faire la même chose avec un cout total 2 à 4 fois moins cher. J’ai fait plusieurs études la dessus pour différents clients dans le ferroviaire, l’automobile, la pharmacie et l’aéronautique: des études pour comprendre pourquoi une RAO s’était plantée, soit des réponses à RAO en concurrence avec des services internes et on avait ce genre de ratio. Attention, c’est justement un cout global en intégrant les risques, le recrutement CDD, les salaires et les marges, pas juste TJ vs salaires internes.<br /> Edit: mais très probablement certains prestataires ont abusé et abuseront de leur position de force dans certains cas, comme toujours (genre juste après une attaque en profitant de la panique, pour reprendre le cas qui nous intéresse), même si je ne connais pas de cas.
clockover
Mais au final, ça a un cout d’entrée énorme, je pense que ce n’est pas possible pour un gouvernement de lancer un truc comme ça.<br /> Bien moins que si chaque structure hospitalière fait appel à son prestataire « spécialiste »…<br /> Non non. Je confirme […]<br /> Sur le terrain avec 20 ans d’expérience je n’ai jamais vu aucun client faire des économies en passant par un prestataire.
Nmut
clockover:<br /> Bien moins que si chaque structure hospitalière fait appel à son prestataire « spécialiste »…<br /> Tu raisonnes en global, pas comme un service achat ou une administration: seul le cout instantané est pris en compte (c’est d’ailleurs aussi pour ça que beaucoup de forfaits se plantent ou sont beaucoup plus couteux que prévus: le moins cher est pris avec un cahier des charges flou ou flottant pour pouvoir essayer de gratter un peu, ce qui au final plante le projet).<br /> clockover:<br /> Sur le terrain avec 20 ans d’expérience je n’ai jamais vu aucun client faire des économies en passant par un prestataire.<br /> On ne travaille probablement pas dans les mêmes domaines ou sur les mêmes types de projet (je suis plus sur la qualité et l’industrie), on a pas les mêmes expériences.<br /> Un exemple: un nouveau type de système simple doit être implémenté rapidement dans un avion (changement de législation imprévu par exemple), si Airbus doit former une dizaine d’ingé sur ce type de système, c’est 10x3j de formation qui mordent sur les délais, des risques (disons 20% de chances de dépassement de 25% assez courant) avec peut-être des immobilisations d’avions, … ! Bref Akkodis ou Altran peuvent probablement fournir 5 ingés spécialistes pour faire le même boulot, avec des risques mieux maitrisés (10% de chance de dépassement de 10%). Le cout horaire étant équivalent entre interne et presta, l’économie est importante. Le seul problème, c’est ce que je te disais, c’est la perte de maitrise, si une modifs dans le nouveau système doit être faite, le ratio sera encore plus défavorable pour Airbus, mais en pure perte. C’est un cas que j’ai suivi il y a quelques années.<br /> J’ai vu la même chose chez Alstom avec une analyse post réponse pour un scada ferroviaire avec un projet aux délais extrêmement courts pour eux donc la RAO a été perdue. L’analyse post réponse a montré que le gagnant avaient déjà les compétences et un soft conçu pour être adapté à plusieurs clients et donc la réponse était 5x moins chère, ratio jamais vu par Alstom dans son coeur de métier mais qui correspondait à un investissement de l’autre prestataire en amont. Et je précise que le projet c’est bien passé et dans les temps, il n’ avait pas de dumping sauvage comme on le voit quelques fois.
Voir tous les messages sur le forum

Derniers actualités

Découvrez la nouvelle et très jolie manette Xbox
Audacity passe un cap : découvrez les très grosses nouveautés de la version 3.2
Intel officialise Raptor Lake, sa 13e génération de processeurs... et montre déjà les crocs
Windows 11 22H2 : installez les nouveaux pilotes NVIDIA maintenant, ils corrigent les lenteurs
McDonald's France piraté : les données de 3 millions de clients dans la nature ?
La cybersécurité est au cœur du budget 2023 du gouvernement, quel est le projet ?
Deezer : chantez, l'app vous dira de quel morceau il s'agit
Mais pourquoi donc Instagram retire-t-il l'onglet boutique à certains utilisateurs ?
Samsung signe avec PureVPN pour une nouvelle option de Wi-Fi sécurisé
Découvrez le prix fou de cette TV LED 4K UHD Samsung de 75
Haut de page