Un exercice de gestion de crise cyber déjà mis en œuvre dans plus de 500 établissements de santé
Articles du même auteur :
1
2
Cette action s’inscrit dans le cadre du programme CaRE (Cyber accélération et Résilience des Établissements), élément clé de la feuille de route du numérique en santé 2023-2027. Il est piloté par la Délégation au numérique en santé (DNS) en collaboration avec l’Agence du numérique en santé (ANS).
Selon ses protagonistes, CaRE représente une réponse collective, déterminée et coordonnée pour faire face à la menace. « Dans les établissements de santé, on est en présence de systèmes naturellement ouverts et effectivement obsolètes pour différentes raisons, dont les aspects budgétaires. On y trouve également des donnés à forte valeur ajoutée, très recherchées pour la revente. Ces cibles très tentantes pour les cybercriminels sont mal préparées aux cyberattaques, dont l’impact sur l’offre de soins est majeur. Il peut s’écouler des semaines, voire des mois ou des trimestres avant que les hôpitaux retrouvent leur niveau de soins et d’activité initial », a expliqué Jean-Baptiste Lapeyrie, directeur expertise, innovation et international de l’ANS, lors de la table ronde « Santé : la cyber protège l’hôpital du virus ! Comment accompagner le parcours de soin ? », des universités d’été d’Hexatrust.
Cet état de fait a amené différents ministres à annoncer, en décembre 2022, la création d’une task force ayant pour ambition de faire progresser un maximum d’établissements de santé en maturité cyber. C’est de cette task force qu’est né le programme CaRE. « Sans pour autant se substituer aux établissements qui disposent d’équipes SSI, de l’accompagnement d’éditeurs et d’industriels, CaRE a pour vocation de donner du sens, de coordonner et de voir comment la puissance publique (DNS, ANS, ANSSI… NDLR) peut aller un peu plus vite et plus loin en travaillant avec les acteurs régionaux, les centrales d’achat, les fédérations hospitalières… », déclare Jean-Baptiste Lapeyrie.
Le programme CaRE est articulé autour de quatre axes : gouvernance et résilience, ressources et mutualisation, sensibilisation, et enfin, sécurité opérationnelle. Dans le cadre du premier axe, des exercices de gestion de crise ont été déployés dans les hôpitaux. En juin 2023, 500 exercices avaient déjà été effectués. Comme l’a précisé Mehdi Zine, responsable de projets médico-social à l’ANS, lors de la table ronde, l’un des autres objectifs du volet gouvernance et résilience a été d’intégrer des exigences numériques dans le référentiel de certification des établissements de santé de la Haute Autorité de Santé (HAS).
Quant au volet ressources et mutualisation, il vise à accroître les budgets consacrés au numérique, pour atteindre un minimum de 2% des dépenses de l’établissement : « c’est l’un des objectifs de la feuille de route 2023-2027, afin que les EDS puissent renforcer leurs équipes, être accompagnés par les industriels et poursuivre les travaux déjà engagés », affirme Mehdi Zine. La mutualisation des compétences au sein de centres de ressources dédiés est également nécessaire, notamment au niveau des groupes hospitaliers de territoire (GHT) ainsi qu’au niveau régional.
Le troisième chantier, la sensibilisation n’est pas moindre : « Il faut sortir la cybersécurité du champ des experts, afin qu’elle devienne l’affaire de tous les professionnels de la santé. Cela passe d’abord par la sensibilisation aux enjeux numériques de manière globale et à la cybersécurité. Nous allons introduire les sujets numériques dans la formation initiale des médecins. La sensibilisation passe aussi par de la formation continue pour maintenir les professionnels au fait des évolutions rapides de ces problématiques », insiste Mehdi Zine.
Pour embarquer tout l’écosystème de la santé, l’ANS travaille avec les régions, les ARS (agences régionales de santé), les GRADeS (Groupements Régionaux d’Appui au Développement de la e-Santé), les centres de ressources régionaux cyber… Les patients sont également des acteurs majeurs de la cybersécurité, à sensibiliser par tous les moyens.
Enfin, le volet sécurité opérationnelle doit apporter un soutien financier aux établissements de santé pour leur permettre d’atteindre des résultats tangibles, mesurés par des audits réguliers, sur des domaines identifiés comme prioritaires par les acteurs impliqués : l’exposition à Internet, les annuaires d’établissement, les postes de travail, la détection des attaques, la sécurisation de la télémaintenance et la réalisation de sauvegardes.
Ce sont ainsi ces sauvegardes qui ont permis au CHU de Rouen, victime d’une cyberattaque en 2019, de rétablir 80% de son système d’information en seulement deux jours et 100% la semaine suivante, comme en témoignait son DSI, Sylvain François, lors de cette même table ronde.