Sécurité (bis) : Ne pas lâcher prise

Dans le chapitre 1 « Enjeu » de l’INSTRUCTION N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information (« Plan d’action SSI ») dans les établissements et services concernés, on peut lire :

« Les incidents liés à la sécurité des systèmes d’information se multiplient dans le monde. Selon l’éditeur Symantec, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le cabinet de conseil Pricewaterhouse Coopers publie que le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015, et 51% en France. Tous les secteurs d’activités sont concernés. La sphère santé et médico-sociale n’est pas épargnée : selon un article récent(Lexsi.com), sur le deuxième trimestre 2016, les cybercriminels ont concentré leurs efforts sur le domaine particulièrement sensible et rentable de la santé. En effet, près de 90 % des attaques ransomware sur cette période ont visé des établissements de santé dans le monde. Dans ce secteur, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique. Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins »

A titre d’exemples, une intrusion avec mise hors service des systèmes d’information d’une ARS pendant 24h a engendré des coûts d’intervention par un prestataire de l’ordre de 10 000 €, la perte de productivité est estimée à près de 40 000 €, soit un total de 50 000 € ; un crypto virus en EHPAD a coûté 50 000 € en coûts directs d’intervention et coûts indirects ; un piratage du standard d’un centre hospitalier a généré une surfacturation de téléphonie de l’ordre de 40 000 €.

Dont acte !