En direct de l’APSSIS 2024 – table ronde institutionnelle

L’Anssi fait remarquer que, si il y a bien eu 30 % d’attaques en plus par rançongiciel en 2023, les établissements sont globalement mieux préparés : détection, procédures de réaction, etc. Diminution factuelle des incidents graves, essentiellement du fait de la capacité des établissements à bloquer ou contenir les attaques au plus tôt. D’ailleurs le score des audits ADS et SILENE des établissements a fortement augmenté depuis 2022. Les acteurs de cette table ronde soulignent unanimement les efforts importants réalisés par tous les établissements de santé pour améliorer leur résilience cyber.

Néanmoins, le risque cyber arrive en troisième position des grandes risques pour les JO2024, et le premier pour le secteur santé. Le FSSI mentionne aussi les mesures numériques obligatoires pour les OIV (et recommandées pour les autres) dans le cadre de vigipirate : contrôle d’accès, vidéo surveillance, etc.

Information majeure de cette table ronde : le découpage des financements selon les domaines de sécurité (le domaine 1 étant le seul en cours pour le moment) et le financement de 2 domaines additionnels par an  : stratégie de continuité d’activité, sécurisation des accès distants, poste de travail, etc. Clairement les RSSI ont une feuille de route stratégique claire pour les 3 prochaines années au moins.

Sur les évolutions réglementaires, on note évidemment l’arrivée prochaine de NIS 2 (REC pour sa déclinaison OIV) mais surtout CRA (Cyber Resilience Act) qui a pour objectif de sécuriser les logiciels et les produits (hors DM) en santé et la prochaine LPM qui obliger depuis le 1^er juin 2024 les éditeurs de logiciels à signaler leurs vulnérabilités.

L’actualité réglementaire et stratégique à l’échelon étatique est très riche et le replay de cette table ronde de haut niveau en contenu nous semble indispensable.