Piratage dans les hôpitaux : le gouvernement promet 20 millions d'euros pour renforcer la cybersécurité

Mathieu Grumiaux
29 août 2022 à 17h35
18
© Pixabay
© Pixabay

Cette nouvelle enveloppe budgétaire a pour but d'accélérer le déploiement du plan de sécurisation des hôpitaux débuté en 2021.

Les hôpitaux français sont depuis de nombreux mois déjà la cible de cyberattaques particulièrement sévères qui paralysent les services de santé.

Une attaque de grande ampleur qui paralyse l'hôpital de Corbeil-Essonnes

Le 20 août dernier, l'hôpital de Corbeil-Essonnes en région parisienne a subi une attaque informatique d'ampleur qui a mis à genoux les différents logiciels utilisés par les praticiens mais également l'accès à internet de l'établissement.

Les médecins et le personnel soignant sont contraints de repasser au papier pour le suivi de leurs patients tandis que ceux nécessitant une surveillance importante ont été transférés vers d'autres établissements. Le retour à la normale n'est pas prévu avant plusieurs mois.

Cette situation n'est pas inédite. Depuis 2021, 733 incidents de sécurité dont une centaine de cyberattaques ont ciblé 582 hôpitaux français. Si la menace semble ralentir en cette année 2022, elle reste encore suffisamment sérieuse pour le gouvernement, qui souhaite accélérer la sécurisation des systèmes informatiques des établissements de santé.

Un budget de 20 millions débloqué qui pourrait être insuffisant face aux menaces

En visite à l'hôpital de Corbeil-Essonnes, François Braun, le nouveau ministre de la santé, a annoncé une nouvelle enveloppe budgétaire de 20 millions d'euros, qui s'ajoute aux 18 millions d'euros consacrés à cette mission lors du Ségur de la santé en 2021. « La santé des Français ne sera pas prise en otage », ajoute le ministre.

Le ministre délégué de la Transition numérique, Jean-Noël Barrot, indique à son tour que cette somme permettra de « quasiment doubler le nombre d'établissements de santé qui bénéficieront de ce parcours de sécurisation ». 130 établissements ont déjà débuté l'examen de leurs systèmes informatiques avec l'Agence nationale de sécurité des systèmes d'information et vont très prochainement mettre à jour leur parc.

Pas sûr pourtant que cette somme soit suffisante pour moderniser l'ensemble des hôpitaux français. Les experts en la matière soulignent que le parc informatique mis en place dans les établissements est souvent obsolète et qu'il existe un manque d'experts en cybersécurité. Ces derniers préfèrent travailler dans le privé à des salaires bien plus importants que ceux permis par les budgets limités alloués aux hôpitaux.

Source : Les Echos

Mathieu Grumiaux

Mathieu Grumiaux

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les n...

Lire d'autres articles

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (18)

rom-2
Totalement. C’est là qu’on voit que les réalités sont bien éloignées de ce que le gouvernement peut dire et faire. Cela dit, rien de nouveau.<br /> Pour avoir bossé dans le public, notamment dans des hôpitaux, la situation est catastrophique tant le matériel est obsolète de manière générale. Aussi que la configurations des équipements, même ceux de la sécurité, sont soit mal faits, soit absents, avec simplement des configurations de base/par défaut appliqué.<br /> Je suis même surpris que cela n’arrive pas plus souvent, tant les manquements sont nombreux et généralisés partout.<br /> Et je ne parle pas des contrats de prestations que certains passent, qui sont souvent hors de prix, avec une efficacité très relative …
Nmut
C’était une « prévision », tu as les vrais chiffres?<br /> D’un autre coté, dans les 2 hopitaux que je connais, il ne vérifie plus grand chose depuis le début de l’été, et du coup 20% du personnel est malade, alors que ça tournait entre 5 et 10% au pire de l’épidémie. Je ne sais pas si c’est lié mais ça pose question…
Nmut
Comme « presta », j’aimerai bien comparer les salaires et les horaires avec un « non presta » pour voir! <br /> Je n’ai jamais compris cette guerre entre les 2 façons de travailler, et ça vaut pour les intérimaires aussi. Je suis payé à peu près pareil (j’ai surtout plus de contraintes avec mes 50000km par an non pris en charge en temps, dont 30000km non pris en charge en frais, et quand c’est le cas à 0.2€ du km, ce n’est pas Bizance!), c’est juste un choix, je me casse si le client abuse: si c’est vraiment trop dur (quelques fois), les gens sont infernaux (souvent) ou juste si ça ne me plait pas (quelques fois), un luxe dont je ne pourrai me passer!
carinae
Ben tu en as toi de la chance…parce que généralement c’est plutôt le client qui veut le beurre, l’argent du beurre, et le sourire de la crémière… Et bien sûr a des prix défiants toute concurrence.<br /> Après si le public ne suis pas malgré l’argent qu’on y investi peut être qu’il faut se poser les bonnes questions…Et très souvent les problèmes de sécurité commencent déjà par une attitude a avoir. Déjà qu’en connaissant on arrive à se faire avoir alors si on rajoute un peu de social engineering dessus et des gens qui cliquent partout sans savoir… c’est le début des ennuis
Dudule_Marte
Bonjour, travaillant depuis plus de 20 ans dans un centre hospitalier, je peux vous dire que chez nous, nous avons des gens très compétents en matière d’informatique et nous avons cette chance. Malheureusement, les moyens nous manquent, les budgets diminuent d’année en année et nous manquons de personnel. Un chiffre pour vous donner une idée, nous ne sommes que trois pour administrer et maintenir environ 1200 serveurs (je ne parle que de l’exploitation courante) ce qui est bien évidement très insuffisant. Nous avons une équipe sécurité efficace mais sans moyen, même un bon pilote, dans une 2 chevaux, il ne fera pas de miracle. Je suis d’accord sur ce qui est dit des prestations, elles coûtent cher et sont pourtant largement utilisées au détriment de vraies embauches, j’avoue ne pas comprendre.
Laurent_Marandet
1200 serveurs… est ce que ce ne serait pas comme à la SNCF où, encore récemment, il fallait autant de serveurs que d’applications car ils n’avaient jamais entendu parler de virtualisation ?<br /> Le jour où il y aura de l’OpenSource à la place de Windows et de SQL Server, l’argent économisé sur les licences permettra de payer correctement des prestataires et de libérer du budget pour la sécurité…
FortyTwo
20 000 000€, les hackers en rient et se frottent davantage les mains.<br /> Qu’ils auditent les hôpitaux en 1er lieu afin d’identifier les lacunes qui permettent de mettre en rade tout un établissement et les postes. Toutes les fois où j’ai dû me rendre dans un hôpital, j’ai été sidéré de constater que le personnel peut laisser un poste et sa session ouverte à la merci de tous, branche ta clé USB vérolée et roule ma poule, le poste est déverrouillé et avec un peu de chance c’est un compte admin…<br /> Il faut impérativement mettre l’accent sur la sensibilisation du personnel, encore et toujours, c’est là la porte d’entrée des principaux piratages.
Dudule_Marte
Quand je parle de 1200 serveurs, il s’agit de serveurs virtualisés dont la moitié tournent sous linux. Quant aux serveurs windows, nous n’avons guère le choix puisque tributaires des éditeurs qui ne font pas autre choses. Nous migrons le maximum de bases sous OpenSource et virtualisons toutes les applications que nous pouvons virtualiser, mais une fois encore tributaires des éditeurs. D’autant qu’il est difficile de s’affranchir totalement du rouleau compresseur Microsoft ou Oracle. Quant à payer correctement les prestataires, ça me fait sourire, un prestataire chez nous est payé comme un agent en interne à la différence qu’il coûte 3 fois le prix du même agent (faut bien que la société de services gagne de l’argent) mais on nous dit que ce n’est pas la même ligne budgétaire que le salaire d’un agent en interne. Quoi qu’il en soit, le manque de personnel et de moyens n’arrange pas les choses. L’OpenSource est très bien, je le privilégie au maximum dans mon travail, mais ce n’est malheureusement pas toujours possible. Un exemple flagrant, nous avons tester un logiciel OpenSource pour un domaine assez sensible, l’outil est totalement gratuit mais obligation de passer par une prestation et avoir une maintenance en cas de problème, du coup, le gratuit passe à 270 000 €, cherchez l’erreur.
Dudule_Marte
« Il faut impérativement mettre l’accent sur la sensibilisation du personnel, encore et toujours, c’est là la porte d’entrée des principaux piratages », je suis totalement d’accord. Nos praticiens s’occupent de la santé des malades et n’ont que faire des problématiques liées à l’informatique. Du coup, clé usb vérolée, sessions ouvertes (pas admin heureusement), tentatives d’installation de logiciels pourris et j’en passe. La sensibilisation est la première choses à faire, vous avez raison.
julla0
Évidemment que c’est à la portée de tous et non verrouillé… Quand on gère des patients dans un lieu accessible à tous (l’hôpital), on n’a pas le temps de s’occuper des ordis, on n’a déjà pas le temps de s’occuper correctement des patients…
FortyTwo
Il ne s’agit pas de « s’occuper des ordis », mais de simplement verrouiller/fermer la session quand tu n’utilises pas un poste, sensible de surcroît. On ne demande pas au personnel hospitalier de s’occuper de la maintenance du parc, mais d’adopter les bons gestes quant à une bonne hygiène informatique.
julla0
On accède aux ordinateurs toutes les 5 minutes, et entre les lenteurs, les plantages, les portables qui ne tiennent pas la batterie et qu’on doit brancher dans chaque chambre, les authentifications/réhauthentifications à la pelle dans les nombreuses applications, je pense que tu ne te rends pas compte du travail des soignants pour dire ca…<br /> Tout ce temps perdu chaque jour alors que nous n’en avons pas.
FortyTwo
Je m’en rends parfaitement compte, je suis informaticien. Nos utilisateurs, au nombre d’environ 7000 sont confrontés à la même problématique, mais pas dans les mêmes tensions dont fait l’objet le milieu hospitalier.<br /> C’est de toute façon le « prix à payer » pour un minimum de sécurité.
Nmut
Tout dépend pour quoi. Quand il s’agit de faire des tâches très spécialisées et à court terme, il est très avantageux de prendre des prestataires (ici par exemple la mise en place de formations du personnel et d’un recovery plan), on a des compétences pointues et on est souvent beaucoup plus efficace (pas de formation à faire, spécialistes avec pas mal d’expérience, rapidité d’éxécution), le cout effectif global peut-être divisé par 2 à 4 en général. Il faut bien sûr que les contrats soient bétons des deux cotés, par expérience, un contrat déséquilibré ou flou se finit TOUJOURS mal et coute un max aux 2 parties.<br /> Ca se discute par contre sur des tâches récurrentes ou de fond (principalement en assistance technique): la prestation coute souvent moins cher sur le moment, est plus flexible, est facile et rapide à mettre en place, mais la perte de compétence interne a un coût, et ça, d’expérience, ce n’est jamais calculé et intégré par les clients.<br /> Et pour moi si, c’est quasiment une guerre, on a très souvent des blocages, des rétentions d’information ou juste des animosités qui nous empêche de bien faire notre travail. Les commentaires comme le tien « vous vous goinfrez » et nos « salaires mirobolants », que même une fiche de paie et le cout journaliers ne parviennent pas à faire taire., ressortent en permanence!
max_971
On n’a qu’à tout mettre dans le cloud.<br /> Une bonne connexion internet et des postes de consultation et c’est déjà mieux.<br /> Amazon, Google, vous êtes là ?
Nmut
clockover:<br /> La presta c’est surtout une manière de sortir le risque:<br /> -responsabilité en cas de soucis technique ou erreur<br /> -RH de ne pas se retrouver avec un élément « nul » qu’il faudrait virer<br /> et de ne pas augmenter la masse salariale mais au final c’est TOUJOURS plus cher.<br /> La magie de croire qu’il mille feuille coute moins cher, je ne comprendrais jamais.<br /> C’est effectivement un des premiers moteurs de la ressource extérieure!<br /> clockover:<br /> je parlais des entreprises<br /> C’est aussi pour ça que j’ai parlé de TJ! <br /> clockover:<br /> Les hôpitaux publiques français devraient avoir un IT central à haute valeur ajouté pour l’ensemble du pays avec des petits IT locaux et non faire appel à des prestataires.<br /> En fait, tu veux un schéma comme les SG2 / Société Général ou Steria / BNP des origines ou chez Thales (le nom de la société de service m’échappe, ce n’est pas beau de vieillir )! C’est très probablement le plus efficace et le plus pérenne: un pool de personnes qualifiée et formées pour intervenir sur les besoins ponctuels, mais récurrents, dans des structures qu’ils connaissent bien! Mais au final, ça a un cout d’entrée énorme, je pense que ce n’est pas possible pour un gouvernement de lancer un truc comme ça.<br /> clockover:<br /> multiplié vous vouliez dire non ?<br /> Non non. Je confirme, on peut faire la même chose avec un cout total 2 à 4 fois moins cher. J’ai fait plusieurs études la dessus pour différents clients dans le ferroviaire, l’automobile, la pharmacie et l’aéronautique: des études pour comprendre pourquoi une RAO s’était plantée, soit des réponses à RAO en concurrence avec des services internes et on avait ce genre de ratio. Attention, c’est justement un cout global en intégrant les risques, le recrutement CDD, les salaires et les marges, pas juste TJ vs salaires internes.<br /> Edit: mais très probablement certains prestataires ont abusé et abuseront de leur position de force dans certains cas, comme toujours (genre juste après une attaque en profitant de la panique, pour reprendre le cas qui nous intéresse), même si je ne connais pas de cas.
Nmut
clockover:<br /> Bien moins que si chaque structure hospitalière fait appel à son prestataire « spécialiste »…<br /> Tu raisonnes en global, pas comme un service achat ou une administration: seul le cout instantané est pris en compte (c’est d’ailleurs aussi pour ça que beaucoup de forfaits se plantent ou sont beaucoup plus couteux que prévus: le moins cher est pris avec un cahier des charges flou ou flottant pour pouvoir essayer de gratter un peu, ce qui au final plante le projet).<br /> clockover:<br /> Sur le terrain avec 20 ans d’expérience je n’ai jamais vu aucun client faire des économies en passant par un prestataire.<br /> On ne travaille probablement pas dans les mêmes domaines ou sur les mêmes types de projet (je suis plus sur la qualité et l’industrie), on a pas les mêmes expériences.<br /> Un exemple: un nouveau type de système simple doit être implémenté rapidement dans un avion (changement de législation imprévu par exemple), si Airbus doit former une dizaine d’ingé sur ce type de système, c’est 10x3j de formation qui mordent sur les délais, des risques (disons 20% de chances de dépassement de 25% assez courant) avec peut-être des immobilisations d’avions, … ! Bref Akkodis ou Altran peuvent probablement fournir 5 ingés spécialistes pour faire le même boulot, avec des risques mieux maitrisés (10% de chance de dépassement de 10%). Le cout horaire étant équivalent entre interne et presta, l’économie est importante. Le seul problème, c’est ce que je te disais, c’est la perte de maitrise, si une modifs dans le nouveau système doit être faite, le ratio sera encore plus défavorable pour Airbus, mais en pure perte. C’est un cas que j’ai suivi il y a quelques années.<br /> J’ai vu la même chose chez Alstom avec une analyse post réponse pour un scada ferroviaire avec un projet aux délais extrêmement courts pour eux donc la RAO a été perdue. L’analyse post réponse a montré que le gagnant avaient déjà les compétences et un soft conçu pour être adapté à plusieurs clients et donc la réponse était 5x moins chère, ratio jamais vu par Alstom dans son coeur de métier mais qui correspondait à un investissement de l’autre prestataire en amont. Et je précise que le projet c’est bien passé et dans les temps, il n’ avait pas de dumping sauvage comme on le voit quelques fois.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Plusieurs services critiques d'un hôpital d'Ajaccio paralysés par un ransomware Plusieurs services critiques d'un hôpital d'Ajaccio paralysés par un ransomware
Guerre en Ukraine : l'ANSSI prévient de possibles cyberattaques Guerre en Ukraine : l'ANSSI prévient de possibles cyberattaques
Pour accélérer sur la 5G industrielle, l'État soutient toute une série de nouveaux projets Pour accélérer sur la 5G industrielle, l'État soutient toute une série de nouveaux projets
Un pirate injecte des publicités malveillantes sur 6 millions de pages Web Un pirate injecte des publicités malveillantes sur 6 millions de pages Web
Comment les hackers choisissent leurs victimes ? Comment les hackers choisissent leurs victimes ?