Comment l’ANFH forme les hôpitaux publics à la gestion de crise cyber

La liste des hôpitaux publics victimes des cybercriminels ne cesse de s’allonger au fil des mois. Depuis la première cyberattaque d’envergure qui a touché le CHU de Rouen en novembre 2019, les centres hospitaliers de Versailles, de Corbeil-Essonnes et de Dax ou plus récemment ceux de Cannes, d’Armentières ou de Pontarlier ont subi le même sort. En 2023, les établissements de santé, qu’ils soient publics ou privés, représentaient 10 % des organisations victimes de rançongiciels, selon un rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

De fait, les hôpitaux qui font figure de proies idéales présentent le double « avantage » de gérer des données sensibles et d’offrir des systèmes de défense relativement vulnérables. Dans un rapport publié début janvier 2025, la Cour des comptes pointe également la complexité croissante de leurs systèmes d’information – les CHU les plus importants gérant jusqu’à mille applications -, une obsolescence du parc informatique, un « sous-investissement chronique dans le numérique », et « la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier ».

L’enjeu est pourtant loin d’être neutre puisqu’une cyberattaque impacte le fonctionnement même d’un hôpital. Sous le choc, le personnel soignant doit rapidement réagir, revenir au circuit papier, déprogrammer les prises en charge les moins urgentes, organiser le transfert de patients vers des établissements voisins. Avec des services de plus en plus numérisés, de l’imagerie médicale à la pharmacie, cette paralysie du système d’information affecte directement la qualité des soins.

30 millions d’euros, le coût a minima d’une cyberattaque

Selon les évaluations réalisées par des hôpitaux victimes, la Cour des comptes chiffre le coût d’une cyberattaque à 10 millions d’euros pour la gestion de la crise et la remédiation du système d’information et à 20 millions d’euros pour la perte de recettes d’exploitation. « Ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé. »

Face à cette menace, les organismes institutionnels se sont mis en ordre de marche. Le programme Cybersécurité accélération et Résilience des Établissements (CaRE), fournit différentes ressources pédagogiques aux directions, aux RSSI et aux DSI des établissements de santé. Dans le cadre de ce programme, l’Agence nationale de santé (ANS) a récemment publié des kits d’exercices de gestion de crise cyber. L’Anssi et Cybermalveillance.gouv.fr proposent des formations plus généralistes dont le Mooc SecNumacadémie pour le premier et SensCyber à destination des agents de la fonction publique pour le second.

L’Association nationale pour la formation permanente du personnel hospitalier (ANFH) n’est pas en reste. OPCA de la fonction publique hospitalière, c’est-à-dire en charge de la collecte et de la gestion des fonds de formation pour plus de 2 150 établissements adhérents, elle a pris le virage de la cybersécurité il y a cinq ans. Porté initialement par la délégation Corse en collaboration avec la région PACA, son dispositif cyberdéfense, lancé en 2022, s’est étendu à d’autres régions et a vocation à couvrir l’ensemble du territoire national.

Du webinaire de sensibilisation à la simulation de crise 

« Cette offre de formation a été conçue pour être complémentaire aux actions menées par l’Anssi ou les Agences régionales de santé, explique Joïce Caron, délégué régional Corse ANFH. Elle se décline en plusieurs modules adaptés aux différents publics. En cas de crise cyber, chacun à un rôle à jouer dans un hôpital. » Première pierre à l’édifice, un webinaire de deux heures sensibilise le plus grand nombre, rassemblant jusqu’à une centaine d’agents connectés simultanément. Il rappelle les principaux types d’attaques et les bons réflexes à adopter.

L’ANH propose ensuite des mises en situation ciblées de cyberattaque à destination des services hospitaliers qui seraient les premiers impactés par un arrêt brutal des systèmes d’information, à savoir le bureau des entrées, le génie biomédical, les services techniques et la direction. « Avec ces mises en situation, ils apprennent à fonctionner sans outil informatique et à maintenir leur activité en mode dégradé », poursuit Joïce Caron. 

Une formation plus avancée porte sur le pilotage d’un plan de continuité d’activité à destination des équipes en charge de ce PCA et de la direction. Elle vise à identifier et gérer les risques prioritaires, à formaliser les besoins de continuité, à retenir les scenarii possibles et, enfin, à spécifier les outils et procédures à mettre en place. Un exercice de simulation « attaque/défense » confronte plus spécifiquement les agents des services informatiques à une crise réelle, avec priorisation des réponses, coordination interne et redémarrage du SI.

Enfin, l’ANFH propose des exercices de gestion de crise à destination cette fois des équipes de direction. Ces dernières devront identifier les impacts de la cyberattaque, prioriser les actions, gérer la communication auprès du personnel, mais aussi de la presse ou déclarer une éventuelle violation de données auprès de la Cnil. Cette gestion de crise suppose de repérer les acteurs clés qui seront sur le pont le jour J et de mettre en place un plan d’action prédéfini.

Ce dispositif cyberdéfense a été pensé pour tenir compte des contraintes du personnel hospitalier. « Dans un contexte hospitalier tendu, il est difficile pour les équipes de libérer du temps dans un quotidien particulièrement chargé, observe Joïce Caron. Le format court et distanciel des webinaires s’avère efficace pour la sensibilisation générale, tandis que les formats présentiels sont réservés à des groupes restreints et ciblés. »

« En tant qu’offreur de services, l’ANFH n’impose rien, complète Alice Prigent, déléguée générale adjointe de l’association. Nous proposons différents modules afin de répondre aux différents niveaux de maturité cyber des établissements de santé ». Un renouvellement du dispositif est prévu prochainement « afin d’y intégrer les enseignements tirés des retours du terrain et de mieux répondre aux besoins exprimés par les établissements et les agents », explique l’ANFH dans un communiqué de presse. « L’émergence de l’intelligence artificielle dans les outils du quotidien invite à repenser la sécurité et la gouvernance des données. »

Le retour d’expérience de la Corse

La Corse, qui a participé à la mise au point du dispositif de l’ANFH, est particulièrement sensible à ce sujet depuis la cyberattaque subie par l’hôpital de Castelluccio à Ajaccio fin mars 2022. Un ransomware avait chiffré une partie de son système d’information, paralysant les activités de radiothérapie et d’oncologie. En attendant le retour à la normale, le personnel avait dû enregistrer manuellement les actes administratifs et médicaux. 

« Pour les responsables informatiques de terrain, la priorité absolue reste la formation des utilisateurs, rappelle David Lecerf, RSSI des hôpitaux de Corse. En effet, près de 90 % des attaques exploitent une faille humaine, souvent via le phishing ou l’ingénierie sociale. » 

Dans cet effort de de sensibilisation des utilisateurs, le RSSI juge le contact direct essentiel, les contenus en e-learning mis à la disposition des agents publics restant sous-exploités. À ce titre, il salue les dispositifs de formation en salle proposés par l’ANFH. Alors que les établissements sont tenus de réaliser tous les ans une simulation de crise cyber chaque, il est également pertinent, selon lui, d’adapter cet exercice aux spécificités de chaque établissement.

Sur le plan technique, la préparation en cas de cyberattaque se traduit par la mise en place de procédures de fonctionnement en mode dégradé, ou Plan de continuité informatique (PCI). « Par exemple, en cas de blocage du Dossier patient informatisé, des systèmes génèrent automatiquement et régulièrement des fichiers PDF des prescriptions médicales, stockés de manière sécurisée ou envoyés vers un cloud accessible hors du réseau interne », détaille David Lecerf.

Ces procédures sont testées régulièrement, tout comme l’état et l’intégrité des sauvegardes qui permettront d’assurer une restauration complète du système d’information en cas de cyberattaque. Une rigueur que David Lecerf juge d’autant plus cruciale pour un territoire insulaire comme la Corse qui ne peut compter sur une aide extérieure immédiate en cas de crise majeure.