-
Agence du Numérique en Santé (ANS)
Données de santé, e-santé
En cas de cyberattaque, la continuité de l’activité est l’enjeu numéro un d’un établissement de santé. L’année 2023 verra ainsi le lancement d’un vaste programme de préparation aux incidents cyber. Ce plan imposera de nouveaux exercices à “100 % des établissements de santé les plus prioritaires”. Ils devront être réalisés d’ici mai 2023. Le gouvernement mettra aussi en place au premier trimestre 2023 un “plan blanc numérique” qui recensera les mesures à mettre en œuvre lors d’une cyberattaque (cellule de crise, analyse d’impact, etc.).
Pour préparer les établissements de santé, encore particulièrement visés par des cyberattaques en 2022 selon les premiers chiffres dévoilés le 2 février par le CERT Santé, et les sensibiliser sur le sujet, le FSSI a mandaté en 2021 les Agences régionales de santé (ARS) pour les accompagner, en leur allouant un budget de 10 M€ pour la réalisation de ces exercices cyber . “Car en matière de cybermenace, la question n’est pas de savoir si on sera victime un jour, mais plutôt quand ?”, a rappelé Steven Garnier, Référent technique eSanté au sein de l’ARS Bourgogne-Franche-Comté.
3 kits pour 3 niveaux de difficulté
Concrètement, les ARS, les GRADeS et le CERT Santé ont co-construit des kits d’exercice de crise cyber pour faciliter l’organisation d’exercices au sein des structures de santé. Ces kits se déclinent en trois niveaux – débutant, intermédiaire ou avancé – et proposent chacun une documentation en trois parties (animateur, participants et communication). “Des profils très différents vont participer à cet exercice de crise (direction générale, directions métiers, direction technique…)… Il est important d’embarquer tout le monde. Nous proposons donc dans ces kits des documents supports, comme une aide à la décision, un glossaire pour aider les gens à parler un vocable commun et des fiches réflexes de gestion de crise, pas uniquement cyber”, a expliqué Steven Garnier. Des documents spécifiques aiguilleront également les animateurs de l’exercice, dont un canevas de rapport pour les aider à identifier ce qui fonctionne dans leur structure et, au contraire, ce qui doit être amélioré. Ces kits d’exercices cyber intègrent également un “chronogramme”, soit une suite d’événements simulés (stimulis) : mails, appels téléphoniques simulés ou non, d’enregistrements vocaux etc.
Ces trois kits poursuivent des objectifs différents, allant de la sensibilisation à la simulation avancée d’un incident cyber majeur. Le kit débutant met en scène un seul service critique au sein de l’établissement tandis que le kit intermédiaire met en scène une cyberattaque partant d’un service puis se propageant dans l’établissement. Le kit avancé met, lui, en scène un incident cyber touchant immédiatement l’intégralité de l’établissement et s’inspire notamment des deux incidents majeurs qui ont frappé l’hôpital André Mignot à Versailles et le Centre Hospitalier Sud-Francilien (CHSF), en 2022. “Avec ces kits, nous amenons aussi la problématique de la communication qui est l’un des aspects les plus complexes de la gestion de crise, en premier lieu la communication avec les intervenants extérieurs (opérateur technique, CERT Santé) ou la tutelle ARS”, a expliqué Steven Garnier à mind Health. Certaines simulations intègrent également la communication vers la presse ou encore “des stimulis internes qui sont parfois compliqués à gérer, comme la sollicitation des équipes de soignants qui ne comprennent pas ce qui se passe et qu’il faut aussi gérer en cas de crise.”
“La réalisation des exercices de crise fait partie des mesures prioritaires de renforcement demandées à toutes les structures de santé”, a rappelé de son côté Elodie Chaudron, Responsable du développement territorial au sein de l’Agence nationale du numérique en santé. Mardi 31 janvier 2023, les établissements sanitaires ont ainsi reçu une instruction du Haut fonctionnaire de défense et de sécurité (HFDS) qui rend obligatoire la réalisation d’un exercice de cybersécurité pour l’ensemble des établissements de santé (d’ici le mois de mai 2023 pour les opérateurs de services essentiels, dits OSE, d’ici la fin de l’année 2024 pour l’ensemble des établissements de santé). “Toutes les sociétés en capacité d’accompagner les établissements de santé doivent se rapprocher des ARS pour réfléchir ensemble à la manière dont on peut les intégrer dans des démarches, au travers des centrales d’achat notamment”, a souhaité Steven Garnier.
Voir tous les articles à ce sujet1
Vice-présidente du GESTE
Secrétaire générale de la société Droits Voisins de la Presse
Membre du conseil d’administration du Spiil