in

Interview de Vincent TRELY de chez APSSIS

Vincent TRELY est conférencier, animateur et enseignant dans le domaine de la cybersécurité applicable dans le secteur de la Santé. Il est le président fondateur de l’APSSIS (association pour la promotion de la sécurité des systèmes d’information de santé).

Pouvez-vous vous présenter en quelques mots ?

Je suis Vincent Trely, président fondateur de l’APSSIS que j’ai fondé en 2010 quand j’étais directeur des systèmes d’information d’un grand hôpital.

Aujourd’hui, on a un peu plus de 200 membres qui sont des hôpitaux, des institutionnels, des industriels du secteur. Année après année, je suis devenu une sorte de référent cyber pour le secteur de la Santé en faisant beaucoup d’interventions, de publications, de conférences, d’émissions de radio pour expliquer, vulgariser et essayer d’aligner tous les acteurs.

Quel est votre point de vue sur le sujet de la cybersécurité en général ?

Il faut voir la cybermenace selon plusieurs axes. Vous avez d’abord le cyberespionnage qui consiste à obtenir des secrets et des informations sans l’autorisation et la connaissance du détenteur de l’information.  Le premier enjeu numérique, c’est de protéger ce que l’on souhaite protéger.

Ensuite, nous avons un deuxième axe, c’est la cyberguerre qui consiste à porter atteinte à une ou plusieurs organisations. Par exemple, faire tomber un système de distribution d’électricité, faire fuiter le système de rémunération des fonctionnaires d’un gouvernement, etc.

Enfin, vous avez un troisième axe qui est la cybercriminalité qui vise à attaquer tous azimuts certains systèmes pour en tirer profit. Les cybercriminels vont ainsi bloquer des entreprises et les rançonner. Aujourd’hui, la cybercriminalité a dépassé le narcotrafic.

En corrélation et pour parer à ces diverses cybermenaces,  il y a un marché de plus en plus dynamique autour de la cybersécurité. Ce marché est dominé par les Américains, ainsi que par un pôle israélien très fort. La France et l’Europe sont plutôt dans l’échec. Toutefois, on peut observer que de nombreux moyens sont déployés depuis 4 à 5 ans pour rattraper ce retard et créer une véritable dynamique de cybersécurité en Europe. 

Les entreprises s’intéressent également de plus en plus au sujet. Certaines constatent l’augmentation des cyberattaques ou prennent conscience des risques financiers afférents à ces cyberattaques. Et donc de l’importance de se protéger ! En France, l’Etat a aussi décidé d’agir et de soutenir financièrement de nombreuses entités publiques (les établissements de santés, les hôpitaux, mais aussi les collectivités, les conseils régionaux…)  pour augmenter leur niveau de protection.

Est-ce que vous pouvez nous en dire un peu plus sur NIS 1 ?

L’Union européenne travaille depuis un certain nombre d’années sur un référentiel commun de sécurité au niveau européen pour des entités qu’on estime importantes. Certains pays n’avaient rien et d’autres avaient déjà instauré des initiatives. En France, on avait 250 OIV (Opérateurs d’Importance Vitale, NDLR). Une liste théoriquement confidentielle, mais dont on savait par exemple que les dix plus gros CHU français, Orange ou Thalès faisaient partie.

Les OIV étaient sous surveillance de l’État et de l’ANSSI (Agence nationale de sécurité des systèmes d’information). Ils bénéficiaient de moyens, mais étaient aussi soumis à nombre d’exigences. 

NIS 1 a permis d’homogénéiser ces exigences. Chaque État membre devait s’approprier NIS 1, la transposer selon son droit national et nommer des opérateurs de services essentiels (OSE). Un opérateur de services essentiels est un statut caractérisant une entité publique ou privée qui fournit un service essentiel et qui est tributaire de réseaux informatiques ou de systèmes d’informations et dont l’arrêt aurait un impact significatif sur le fonctionnement de l’économie ou la société. 

Les OSE couvrent un certain nombre de secteurs comme l’énergie, le transport & la logistique, la finance, la santé, l’eau potable, l’éducation et certaines sociétés stratégiques du numérique. 

NIS 1 impose à ces OSE d’appliquer 23 règles de sécurité réparties sur 4 domaines majeurs :  la gouvernance des réseaux et des systèmes d’information, la protection des réseaux et des systèmes d’information, La défense des réseaux et des systèmes d’information et la résilience des activités.

Le gouvernement français a nommé environ un millier d’OSE à côté des OIV. En février 2021, suite à la vague de cyberattaques sur des hôpitaux, Emmanuel Macron a décidé que les 135 plus gros hôpitaux français devaient être qualifiés d’OSE et qu’ils devaient dorénavant se conformer à la directive NIS.

Comment allons-nous évoluer de NIS 1 à NIS 2 ?

Cela ne va pas être évident ! On va passer à plusieurs milliers d’OSE, voire plusieurs dizaines de milliers. Quand on regarde les critères (plus de 250 employés, plus de 50 millions d’euros et des systèmes d’information un peu stratégiques), on peut considérer  que cela englobe les 3 000 hôpitaux français.

Après, NIS 2 se subdivise. Il y a les OSE dites « entités essentielles » et les OSE dites « entités importantes ». Reste à voir la marche qu’il faudra franchir qu’on soit l’un ou l’autre.

Par ailleurs, devoir être conforme en trois ans (temps imparti aux OSE pour se conformer, NDLR), me semble très ambitieux.  Inculquer la culture du risque numérique n’est pas si simple!

Quelques questions “pêle-mêle” concernant NIS 2

Quand la directive NIS 2 sera-t-elle effective ?

En 2024-2025. Je pense qu’il va y avoir plusieurs étapes et que cela va se jouer sur trois ou quatre ans. En revanche, à partir du moment où votre entité est considérée comme une OSE, il s’agira, sur le principe de NIS 1, de tenir impérativement un calendrier sur trois ans.

Il y aura sans doute un décret d’application comme avec NIS 1 avec la définition des règles, le détail des personnes concernées, les exceptions, etc.

Comment les entités seront-elles informées sur le fait qu’elles sont concernées par NIS 2 ? 

Théoriquement, et comme c’est le cas aujourd’hui, elles recevront un courrier de l’ANSSI. Toutefois, face à la démultiplication des entités concernées par NIS 2, il est possible que des réseaux se mettent en place via les ministères de référence ou les fédérations professionnelles.

Selon vous, quel rôle auront à jour les fédérations professionnelles ?

Aider et accompagner !

Dans le secteur de la santé, je constate qu’il peut y avoir des ambiguïtés. Les fédérations peuvent avoir un vrai rôle à jouer en termes de modélisation et d’optimisation. Par exemple,  elles pourraient éviter que des hôpitaux ne se mettent à acheter individuellement 100 000 euros de prestations en cybersécurité, mais qu’a contrario ces hôpitaux investissement mutuellement étant donné leurs besoins similaires.

Les fédérations ont aussi un rôle important dans la sensibilisation aux risques cyber. On a un énorme travail de rattrapage sur nos populations, nos citoyens et sur nos entreprises en matière d’éducation numérique.

Cette parenthèse est intéressante parce qu’elle soulève le sujet de la formation des citoyens et des salariés. On décode au travers de NIS 2 qu’il sera obligatoire de former ses collaborateurs. Comment imaginez-vous les choses à ce sujet ?

En France, nous disposons de budgets de formations professionnelles conséquents qui facilitent l’accès à la formation. Comme cela a déjà été fait dans la Santé, je pense qu’il y aura obligation de consacrer un budget aux formations sur les usages du numérique et à la cybersécurité. 

Il se peut également que des subventions soient accordées pour certains secteurs afin d’assurer une dynamique générale autour de la sensibilisation à la cyber.  

Pour la forme de ces formations, cela peut être des tests de phishing qui s’inscrivent souvent dans un ensemble plus large avec des modules d’e-learning, des journées organisées sur le thème de la cyber, etc.

Le sujet de la formation soulève la question du risque humain en cybersécurité. Selon vous, les failles sont-elles plus humaines ou plus techniques ?

On a les deux. On a énormément de failles techniques parce que les systèmes d’information sont très complexes. Pour un hôpital, cela peut représenter jusqu’à 300 applicatifs métiers qui ont été achetés en 20 ans.

Il y a aussi de nombreuses failles humaines liées à des erreurs évitables comme d’envoyer des documents via des messageries publiques, ouvrir un Dropbox, communiquer ses mots de passe à sa secrétaire, etc.

Il y a vraiment une éducation à faire.

Les formations seront-elles obligatoires ?

Oui. Il va falloir prouver que vous mettez en œuvre des actions de sensibilisation. Dans le secteur de la Santé, c’est à l’ARS (Agence régionale de santé) de juger si ces mesures de sensibilisation prises par tel ou tel établissement sont suffisantes. 

Il y a enfin d’autres exigences pour les hôpitaux, comme celle de réaliser un exercice de cyber crise au moins une fois par an ou bien encore celle de faire un audit de pénétration (pentest) au maximum tous les trois ans.

Toutes ces obligations sont-elles du ressort de NIS 2 ou en dehors ?

Ces obligations que je viens de présenter pour le secteur de la Santé ne sont pas liées à  NIS 2. Il s’agit de la politique publique qui a été lancée suite aux vagues de cyber attaques en 2019 et 2020.

NIS 2 va ajouter une couche supplémentaire. Les hôpitaux, qui avaient déjà commencé à mettre en œuvre leur cyberdéfense, vont dorénavant devoir définir des systèmes d’information essentiels et appliquer les 23 règles de sécurité de la directive. L’enjeu aujourd’hui est donc de faire la matrice entre ce qui est déjà fait et ce qui reste à faire.   

Quelle est selon vous la maturité cyber des hôpitaux aujourd’hui ?

Aux alentours de 10/20 sur les hôpitaux. 7/20 pour les collectivités territoriales. Au niveau des PME : entre 5 et 12/20. Quand on monte dans les entreprises de plus de 1000 personnes, on est entre 14 et 18/20.

Quel contrôle sera appliqué pour vérifier que la directive est bien suivie ? 

C’est l’État qui définit un mécanisme de contrôle. Je pense qu’il y aura une partie déclarative pour justifier sa conformité avec la mise à disposition de certains documents et indicateurs. Il y aura aussi certainement des audits en cas de doute sur les déclarations reçues.  

Le mot de la fin?

Nous sommes sur une pente vertueuse. Nous avons pris conscience qu’il était impératif de protéger nos organisations et d’inculquer une culture cyber au plus grand nombre.

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *