Le 13 décembre dernier, les communautés ADN Santé et ADN Cyber proposaient une soirée spéciale concernant la cybersécurité dans le secteur de la santé en région Bretagne. L’occasion pour les structures de santé du territoire de prendre connaissance de l’accompagnement proposé par les organismes de tutelle et de découvrir les retours d’expériences de deux établissements de santé.
La menace cyber est croissante dans le secteur de la santé
Nicolas Jolivet, Responsable Protection des Données et Cybersécurité au SIB, a introduit la soirée en présentant la cartographie des cyberattaques subies par les organismes publics depuis 2019, réalisée par l’association DECLIC, et les résultats du rapport 2021 de l’Observatoire des signalements publié par l’ANS (Agence du Numérique en Santé) le mois dernier.
Les chiffres présentés indiquent que les incidents de sécurité signalés ont doublé dans les établissements de santé entre 2020 et 2021, avec un total de 733 incidents signalés, allant de l’attaque par rançongiciel à l’exfiltration illicite de données. Des attaques qui se multiplient sur des systèmes d’informations souvent mal protégés, avec des droits ouverts largement pour permettre de répondre aux besoins des professionnels de santé de travailler dans l’urgence et avec des équipes changeantes d’un jour à l’autre.
Les tests d’intrusion réalisés par SIB dans certains établissements de santé, ont permis de mettre en évidence des applicatifs obsolètes ou sans système d’authentification dédiés, des serveurs mails vulnérables ou encore des applications permettant de prendre la main à distance sur les machines, autant de failles qui facilitent le travail des hackers.
Sensibiliser et accompagner les professionnels de santé à la cybersécurité
Face à ces menaces croissantes, les institutions publiques ont développé de nombreuses propositions pour répondre aux besoins des professionnels de santé. Elodie Chaudron de l’ANS (Agence du Numérique en Santé), Lionel Lecomte de l’ARS Bretagne (Agence Régionale de Santé) et Gilles Larroche, chef de projet DPO du GCS eSanté-Bretagne ont présenté l’accompagnement territorial de cybersécurité en santé pour la région Bretagne.
Une plateforme en ligne pour un service réactif et préventif
L’ANS héberge le CERT Santé : un service de réponse à incident disponible 24h/24 et 7j/7 qui accompagne les bénéficiaires à mettre en place un mode dégradé de fonctionnement. Cette plateforme dispose également d’un service de prévention avec des audits gratuits, une aide à la prévention et un service de veille pour alerter les structures des incidents en cours qui pourraient les impacter.
En 2021, avec l’augmentation très forte des cyberattaques, la stratégie nationale autour de la cybersécurité s’est renforcée et déclinée sur les territoires avec la mise en place de GTT (Groupe de Travail Territoriaux). Ces GTT ont publié des kits d’exercices de crise avec différents niveaux pour permettre aux structures de santé de découvrir la gestion de crise en condition réelle et se préparer à réagir en cas de cyberattaque.
Faire de la cybersécurité une priorité
Dans le cadre du Plan de Renforcement Cyber, les ARS sont en charge de décliner la politique nationale de santé au niveau régional autour de 4 axes :
- Sensibiliser les utilisateurs aux risques cyber dans leur établissement
- Faciliter le partage des pratiques et l’accompagnement financier pour renforcer le sI
- Appuyer les structures de santé pour répondre aux incidents cyber
- Contrôler qu’il y a un investissement minimal dans tous les projets SI pour la cybersécurité
Pour sa part, l’ARS Bretagne, a été à la rencontre des 129 établissements sanitaires en Région Bretagne, pour faire l’état des lieux des équipes SSI et le constat a été flagrant : les équipes sont sous-dimensionnées, il existe une grande hétérogénéité des applications à administrer et sécuriser (parfois plus de 200 applications au sein d’un seul GHT) et les solutions logicielles sont vulnérables entraînant un effort permanent de gestion des mises à jour.
La dynamique régionale est bonne avec des relations de partage et d’entraide qui se tissent, mais l'ambition 2023 est de faire de la cybersécurité la priorité n°1 sur tous les établissements de santé en mettant en place des exercices avec les équipes de direction pour constituer un plan de continuité d’activité. Il est indispensable pour un établissement de santé de pouvoir continuer à faire du soin en cas de cyberattaque.
Partager les outils de formation et de sensibilisation
Le GCS e-santé a développé de nombreux supports de formation, de sensibilisation et mis en place des ateliers pour renforcer le développement des connaissances en matière de cybersécurité. Dans ce cadre, ils ont réalisé une vidéo de retour d’expérience des professionnels du CH de DAX qui a été victime d’une cyberattaque en février 2021 dans laquelle les professionnels témoignent des impacts et des mesures mises en place qui sont « à la fois une course de vitesse au début et un marathon au final » . On y comprend la difficulté d’avoir 4 crises à gérer en parallèle :
- le maintien de son SI contaminé pour investiguer dessus
- la communication avec les instances
- la communication avec les médias
- la reconstruction de son SI pour donner une capacité de soin aux soignants
Renforcer ses équipes SI pour prévenir le risque
A travers le retour d’expérience de Dimitri Martinescu, DSI de la Fondation Bon Sauveur de Bégard, et de Nicolas Milleville, RSSI du Groupe HSTV (Hospitalité Saint Thomas de Villeneuve), la problématique du manque de ressources et de main d’oeuvre dans les équipes SI des établissements de santé a été mis en évidence.
Le contexte législatif et réglementaire en perpétuelle évolution ajoute à la charge mentale des équipes déjà sous-dimensionnées et qui doivent accompagner tous les métiers qui se croisent au sein d’un hôpital, qui ont chacun leurs besoins particuliers. “On doit maîtriser tous les sujets et être multi-casquettes : on est un peu des poulpes” nous disait Dimitri Martinescu.
Il soulignait également l'importance d’avoir la confiance de la Direction générale pour ne pas être trop contraint financièrement et se donner les moyens de se préparer au maximum pour éviter le traumatisme vécu par le personnel soignant de Dax. Les équipes de la Fondation Bon Sauveur de Bégard sont conscientes des enjeux d’un vol de données dans un domaine aussi sensible que la psychiatrie et sont globalement vigilantes et coopératives sur les sujets de sécurité.
Nicolas Milleville nous expliquait qu’une grande partie de son travail “c’est de parler, d'aller à la rencontre du personnel des établissements pour expliquer ce qu’est mon métier et pourquoi je les embête”. Il a mis en place des programmes de formation et des exercices de crise qui permettent de voir en 2h toutes les étapes à mettre en place en cas de cyberattaque. Pour lui, ce n’est qu’en allant voir les équipes sur le terrain et en répondant à leurs questions en direct qu’elles comprennent l’intérêt d’acquérir les bons réflexes de sécurisation.
Retrouvez le support de cette soirée animée par Hervé Guillou-Hély dans notre Espace Ressources