Cybersécurité

Enjeux du projet

Le renforcement de la cybersécurité est devenu un enjeu majeur de santé publique dans le développement massif des usages numériques dans ce secteur. De nombreux hôpitaux en France ont été victimes de cyberattaques de type Ransomware en 2022 (Clinique Léonard de Vinci de Chambray-les-Tours, Centre hospitalier de Corbeil-Essonnes, Hôpital André-Mignot, Versailles, etc.).  L’importance vitale de ces établissements pour les services de soins, la sensibilité des données qu’ils hébergent et l’effet médiatique en font des cibles de choix pour les pirates informatiques.

L’ARS ARA et le GCS Sara se mobilisent pour développer la cybersécurité, avec l’objectif de répondre au Ségur du numérique et son volet concernant le Plan de Renforcement Cyber afin de déployer de nouveaux services adaptés aux professionnels et favoriser la cyber résilience des établissements (actions de sensibilisation, d’accompagnement, …).

Les actions conduites en 2022

Impulsée par l’ARS et portée par le GCS Sara, l’année 2022 a vu la démarche régionale Sécurité numérique en santé enrichie et soutenue par le volet numérique du Ségur afin de servir le Plan de Renforcement cyber.

 

Plusieurs axes forts ont ainsi émergé :

  • Recrutement d’un chef de projet cybersécurité.
  • Acquisition et déploiement d’outils de e-learning et de campagnes de faux phishing permettant de sensibiliser les personnels des établissements sanitaires et médico-social aux risques auxquels ils sont exposés.
  • Acquisition d’une licence Escape Game Sécurité numérique Santé : « Via’Escape » est proposé aux établissements sanitaires et du médico-social afin que ces derniers puissent sensibiliser leur personnel de manière ludique aux bonnes pratiques et limiter les risques d’incidents.
  • Création et animation régionale d’un groupement de professionnels de la cybersécurité en santé (RSSI, experts en sécurité…).
  • Mise en œuvre d’outils de partage communautaire pour faciliter les échanges sécurisés entre les RSSI sur des retours d’expérience, des alertes, ou de bonnes pratiques.
  • Réalisation d’exercices de gestion de cybercrise auprès de 2 établissements (CH Alpes Leman et la clinique Charcot) afin d’identifier des axes d’amélioration à la gestion d’une cyberattaque. Ces exercices permettent de sensibiliser les directeurs à l’importance d’intégrer les sujets cyber dans les processus de continuité d’activité.
  • Organisation de webinaires à destination des établissements sanitaires et médico-social sur la base de retours d’expérience de cybercrise ou de présentation d’offres de service.
  • Newsletters envoyées comportant un volet sur l’actualité cyber.

Point d'étape et perspectives

  • Renforcement du pôle sécurité avec le recrutement d’un stagiaire et consultant expérimenté en gestion de projet SSI.
  • Soutien à la réalisation d’exercices de crise cyber à partir d’outils fournis par l’ANS. Rappel : obligation pour les établissements de santé, avec priorité pour ceux avec des services MCO, de réaliser un exercice de simulation « cybercrise » (instruction N° SHFDS/FSSI/2023/15 du 30/01/2023).
    Objectif : 100% fin d’année 2023.
  • Construction d’une offre de services autour de ces 3 sujets : Durcissement Active Directory / Durcissement architecture de sauvegarde (principes d’isolation et immuabilité des données) / Accompagnement régional à la remédiation suite à une cyberattaque par l’intermédiaire d’un PRIS ARA (Prestaire de réponse à incidents régionale)
  • Construction d’une stratégie d’accompagnement des ESMS en matière de SSI : évaluation du niveau de maturité cybersécurité par un diagnostic express de l’existant en fonction de la typologie des ESMS (médicalisé ou non, secteur d’activité, mode d’hébergement des données, etc.).