Cette semaine, Santé-ISAC®Le piratage des soins de santé® s'efforce de vous tenir au courant de ce qui se passe à la Cybersecurity and Infrastructure Security Agency (CISA) après que le financement du Congrès a mis fin à une fermeture de 76 jours qui affectait cette agence de cybersécurité essentielle.
Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).
Version PDF:
Version texte :
Bienvenue à Hacking Healthcare® !
Exercice de loisirs des Amériques 2026
Avant d'aborder l'article d'aujourd'hui, nous approchons à grands pas de la septième édition de l'exercice de simulation « Americas Hobby Exercise », et nous encourageons les membres de Health-ISAC à manifester leur intérêt pour y participer. Cet exercice d'une journée comprend un atelier et un exercice de simulation réunissant les membres de Health-ISAC, des agences du gouvernement américain et d'autres acteurs des infrastructures critiques. Il vise à sensibiliser aux problématiques rencontrées par le secteur de la santé pendant et après un incident majeur, et à tisser des liens durables au sein du secteur et entre les acteurs gouvernementaux afin d'améliorer la compréhension, la réponse et les plans et activités de rétablissement.
L'exercice de loisirs de cette année aura lieu le 24 juin à Washington, DC. Les membres peuvent manifester leur intérêt ici :
https://portal.h-isac.org/s/community-event?id=a1YVn000005srUHMAY.
Pour en savoir plus, le rapport de l'année dernière est disponible ici : https://health-isac.org/2025-americas-hobby-exercise-after-action-report/
Évaluation de la CISA après un arrêt prolongé
Le 30 avril, après 76 jours de paralysie des services publics, le président Trump a promulgué une loi de compromis au Congrès visant à financer le Département de la Sécurité intérieure (DHS). Ce financement a permis à la CISA de reprendre progressivement ses activités. Par conséquent, le moment est opportun pour évaluer l'état d'avancement de l'agence concernant la version finale, tant attendue (et techniquement en retard), de la loi sur le signalement des incidents cybernétiques pour les infrastructures critiques (CIRCIA), et pour analyser l'impact que les secteurs des infrastructures critiques devraient avoir sur la nouvelle initiative « CI Fortify » lancée par la CISA.
Mise à jour de CIRCIA
Adoptée en 2022, la loi visait principalement à établir des obligations de déclaration pour les incidents cybernétiques et les paiements de rançon concernant diverses entités. Ces déclarations devraient permettre à la CISA d'intervenir efficacement et d'offrir aux décideurs une vision plus claire du paysage des menaces et de leurs conséquences sur les entités concernées. Le rôle de la CISA dans la finalisation de la CIRCIA comprend l'élaboration d'une version finale précisant de nombreux détails techniques.
Le texte de la CIRCIA enjoignait initialement la CISA à élaborer une version finale de la réglementation avant octobre de l'année dernière. Face au non-respect de ce délai, on a envisagé une nouvelle date butoir au printemps 2026, compte tenu des éléments du Programme unifié d'actions réglementaires et de déréglementation du printemps 2025 qui laissaient entendre une publication en mai. Le scepticisme quant à cette nouvelle date butoir s'est accru lorsque la CISA a publié, en février de cette année, un avis annonçant son intention d'organiser une série de réunions publiques en mars et avril afin de recueillir davantage d'avis des parties prenantes et ainsi « affiner » le « portée et les contraintes » de la CIRCIA.[I] Ces efforts ont ensuite été bloqués par la fermeture des services gouvernementaux qui a interrompu toutes les opérations non essentielles.
La suspension des activités étant désormais terminée, les informations actuellement disponibles auprès de la CISA sur sa page web CIRCIA sont les suivantes :[Ii] indique qu'ils ont toujours l'intention d'organiser ces réunions publiques, et ils soulignent que la fermeture entraînera « vraisemblablement » « un retard dans la publication de la règle finale de la CIRCIA ».[Iii]
Fortifier!
Malgré la fin récente de la paralysie des services publics, la CISA a lancé une nouvelle initiative visant à renforcer la résilience des infrastructures critiques du pays. Le 5 mai, la CISA a publié un communiqué de presse annonçant « CI Fortify ».[Iv] La CISA décrit cette initiative comme un guide « visant à aider les entités d'infrastructures critiques (IC) de tous les secteurs à se préparer à fonctionner en cas de crise ou de conflit, en assurant la continuité des services essentiels même lorsque leurs systèmes sont attaqués », tout en « renforçant la résilience et en aidant les entités d'IC et leurs partenaires à maintenir un niveau de continuité minimal pour les services critiques lors d'une cyberattaque ».[V]
La page web actuelle de l'initiative met l'accent sur les menaces que font peser les États sur les infrastructures critiques, notamment dans le contexte d'un conflit géopolitique plus large. L'initiative semble privilégier les capacités d'isolement et de rétablissement afin de garantir la continuité des opérations essentielles durant un tel conflit.[Vi] L'isolement désigne la capacité de se déconnecter proactivement des tiers en cas de besoin et de maintenir la continuité des services essentiels pendant une période prolongée (plusieurs mois). La reprise d'activité consiste à garantir une documentation adéquate, des sauvegardes et à gérer les dépendances en matière de communication.
Il existe également un « appel à l'action pour les non-opérateurs » qui permet d'identifier comment Fournisseurs et prestataires de systèmes de contrôle d'automatisation industrielle, Fournisseurs de services gérés et intégrateurs, Fournisseurs de sécurité et Bénévoles peut contribuer aux efforts.
Il ne semble pas y avoir d'objectifs spécifiques, d'échéanciers, de financements ou de nouvelles ressources liés à CI Fortify pour le moment.
Action et analyse
**Inclus avec l'adhésion à Health-ISAC**
[I] https://www.federalregister.gov/documents/2026/02/13/2026-02948/cyber-incident-reporting-for-critical-infrastructure-act-circia-rulemaking-town-hall-meetings
[Ii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[Iii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[Iv] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[V] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[Vi] https://www.cisa.gov/topics/industrial-control-systems/ci-fortify
[Vii] https://health-isac.org/health-isac-hacking-healthcare-2-19-2026/
[Viii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[Ix] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[X] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[xi] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
- Ressources et actualités connexes
- La montée en puissance des attaques de phishing CalPhishing dans le secteur de la santé
- Meilleures pratiques pour la gestion des identités et des accès tiers
- Ce que les dirigeants du secteur de la santé doivent savoir sur la cybersécurité en 2026-2027
- Que signifie le décret de Trump sur l'IA pour le secteur de la santé ?
- Rapport sur le contexte des menaces pesant sur les soins de santé et l'aide sociale
- L'IA agentique dans le secteur de la santé est une proposition risquée
- Live@eXchange Jour 2 – Analyste en sécurité des dispositifs médicaux Health-ISAC
- Santé-Piratage du système de santé par l'ISAC 6/3/2026
- Nouvelles vulnérabilités visant le secteur de la santé
- Newsletter mensuelle – Juin 2026