Accueil Cybersécurité « Les dispositifs biomédicaux sont vulnérables », le Fonctionnaire de Sécurité des SI des...

« Les dispositifs biomédicaux sont vulnérables », le Fonctionnaire de Sécurité des SI des ministères sociaux

Philippe Loudenot

Le Fonctionnaire de Sécurité des SI des ministères sociaux prône une analyse des risques conduite par les métiers et une protection en amont des objets connectés.

« La cyber-sécurité n’est qu’un curseur que l’on positionne. Je reste un fervent défenseur pour que l’analyse de risques soit réalisée par les métiers. Ce sont eux qui portent le risque. Le responsable de la sécurité du système informatique est là pour orienter, pour faire communiquer », préconise Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Informations des ministères sociaux (santé, travail, éducation nationale, sports) et administrateur du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique.

Dans les ministères sociaux comme ailleurs, les infrastructures modernes s’inspirent des technologies du Cloud computing et d’une déferlante d’objets connectés. Dans ce contexte, les adminstrateurs doivent faire évoluer leur stratégie de cyber-défense. « Les dispositifs biomédicaux sont des objets connectés comme les autres. Malheureusement, ils sont vulnérables et offrent des surfaces d’attaques sur certains organismes qu’il convient de prendre en compte. De nombreux objets connectés nécessiteraient une meilleure maturité en sécurité, dès leur conception », souligne-t-il.

Protéger les données de santé

Le cadre juridique des usages connectés évolue constamment. Ainsi, le Cloud Act pourrait-il former une menace supplémentaire pour les gouvernements tentés d’externaliser davantage de services numériques ? Sur ce point le FSSI reste prudent : « Pour l’instant, nous attendons de vérifier comment ce texte va se concrétiser en terme de dialogue bilatéral ou commun Europe-Etats-Unis. Il reste beaucoup de choses à définir. Nous suivons ce sujet particulièrement, et nous nous adapterons en fonction des orientations politiques en la matière. »

Les données de santé des citoyens cristallisent, à elles seules, plusieurs équipes d’experts. « En matière de santé, tout ce que l’on peut assimiler à un Cloud public fait l’objet de certifications strictes. Ces infrastructures sont encadrées par la CNIL, par le ministère de la santé et par l’agence numérique de santé. »

La mise en conformité et les certifications rassurent mais ne suffisent pas, prévient toutefois le FSSI : « La conformité ne fait pas la sécurité. C’est une photo à un instant T montrant seulement qu’on a mis en œuvre et configuré ce que l’on avait écrit. »

Une tâche récurrente du Fonctionnaire de Sécurité consiste à faire communiquer des professionnels qui, jusque-là, ne se parlaient pas ou très peu. Philippe Loudenot cite l’exemple des automaticiens, des ingénieurs bio-médicaux, des personnels en charge de la gestion technique centralisée et de la gestion des bâtiments.

L’apprentissage profond est en train de transformer la détection de codes malveillants tout en étendant la couverture fonctionnelle des logiciels anti-malwares. L’IA serait-elle déjà une piste de résilience face aux cyber-crises ministérielles ? « Il existe de nombreuses expérimentations dans le monde de la santé, de belles expériences sur l’IA au ministère du travail, et aussi dans le domaine de la cyber-sécurité. Mais j’aimerais bien que l’ensemble des citoyens soit formé aux risques en ligne afin que chaque individu devienne le maillon fort de la chaîne de sécurité. Il faut faire comprendre à l’ensemble des usagers qu’on ne connecte pas impunément n’importe quoi sur un réseau opérationnel. »

 

Auteur : Olivier Bouzereau