Anticipation du risque et partage d’informations : vers une résilience cyber de la santé

Depuis 2023, des cyberattaques se multiplient contre les hôpitaux. Conscients de cette menace, les pouvoirs publics ont dégagé des moyens importants pour renforcer la cybersécurité des établissements de santé et mieux les préparer face aux risques numériques. De la volonté de partager et de coopérer naîtra une résilience cyber de la santé en France.

Des obligations déjà fortes

Les hôpitaux font partie des opérateurs d’importance vitale, et doivent donc, comme l’exige la Loi de Programmation Militaire (LPM) renforcer la sécurité de leurs systèmes d’information. Celle-ci prévoit une mise à niveau de la sécurité des systèmes d’information des organisations afin d’éviter, par exemple, qu’une cyberattaque ne pirate la continuité de service des blocs opératoires, ne prenne le contrôle de tout un hôpital, de son réseau électrique, altère les fonctions d’un objet connecté de santé ou falsifie les données vitales liées à un patient impliquant des conséquences quant au bon fonction de la Nation mais aussi sur la vie même des patients.

L’entrée en application de la LPM implique un investissement conséquent de la part des industries critiques, et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) estime à 3 ans la durée nécessaire à ces derniers pour assurer un déploiement global des mesures de cybersécurité édictée.

Les structures de santé doivent ainsi consacrer systématiquement 5 à 10 % de leur budget à la sécurité des systèmes d’information et le gouvernement impose également dans tous les cursus de formation des professionnels de santé l’intégration d’une sensibilisation à la cybersécurité.

L’hébergement des données de santé recueillies à l’occasion d’activités de prévention, diagnostic, soin ou suivi social est lui aussi soumis au respect de conditions, dont le respect se matérialise par l’obtention d’un agrément en vertu de l’article L. 1111-8 du Code de la santé publique.

Ainsi, seuls les acteurs certifiés « HDS » peuvent stocker des données. Cette certification nécessite le respect de certains normes et exigences et la prestation d’hébergement doit faire l’objet d’un contrat comportant un certain nombre de mentions obligatoires.

Dans le cadre de leur transition digitale, les acteurs de la santé et du secteur médico-social doivent impérativement tenir compte du risque cyber. Cette prise en compte, pour être efficace, suppose à la fois une gestion technique (mobilisation de la DSI et du RSSI) mais également un pilotage juridique (Direction Juridique et du DPO).

Plusieurs objectifs ont être fixés :

  • Prévenir efficacement les menaces (contractualisation des relations avec les soustraitants, rédaction de procédures et chartes, etc.)

  • Démontrer le respect de la réglementation applicable (RGPD, législation spécifique au secteur de la santé …)

  • Réagir aux attaques lorsque celles-ci ont lieu tant d’un point de vue technique (ex. PCA/PRA) que d’un point de vue juridique (activation de l’assurance, notifications, information des personnes, communication de crise, gestion des responsabilités des prestataires etc.)


De nouveaux moyens alloués

Le gouvernement français alloue désormais un budget total de plus de 375 millions d’euros aux établissements de santé pour lutter contre les cyber menaces.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Agence du numérique en santé (ANS) leur proposent également un accompagnement humain pour renforcer la sécurité de leurs SI.

L’objectif : renforcer la sécurité des SIH. Ce financement permet d’accélérer le déploiement du « service national de cyber surveillance en santé » en partenariat avec l’Agence du Numérique en Santé (ANS) et à développer les moyens du dispositif « cyber veille en santé » pour augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyber attaques.


Manager et anticiper le risque cyber

Nous avons l’une des meilleures protections en santé dans le monde. Faisons en sorte qu’il en soit de même pour celle de nos systèmes de santé de demain.

Le management du risque cyber dans la santé est un enjeu clé pour notre avenir. Cette cybersécurité exige une analyse et une cartographie des risques dynamiques. Celle-ci doit être la pierre angulaire de tout plan d’action. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque qui puisse être accepté en toute connaissance de cause, au bon niveau de décision. L’outillage permet ainsi de modéliser une cartographie des risques et de rendre la situation plus concrète. Le côté visuel, intuitif, permet de partager plus facilement les informations entre les différentes entités de l’organisation.


Partage d’informations & coopération active

« Nous nous efforçons de réaliser un travail d’accompagnement des structures et de concrétiser notre mot d’ordre : le partage. Beaucoup de décideurs pensent se fragiliser en partageant l’information. C’est pourtant tout à fait l’inverse. Les défenseurs ont tout à gagner à échanger l’information, et c’est ce que nous proposons : étudier les modes d’attaque, les profils des attaquants, les failles éventuelles et les compiler dans une bibliothèque pour en faire profiter tous les acteurs de la filière. » explique Pierre Oger, Directeur Général et Fondateur d’EGERIE.

Une situation à risque s’appréhende rarement sans information extérieure et ne peut se résoudre seul. Pour se protéger, il faut partager et diffuser cette appréciation du risque pour que toute la communauté en bénéficie par effet rebond. « Le parallèle avec les combattants est frappant : un soldat ne part jamais seul au front. Il a besoin des autres pour avancer, s’adapter à la situation et prendre des décisions. Il est donc tout à la fois émetteur d’une information utile et récepteur d’informations émanant de la communauté. » souligne Pierre Oger.

Si nous voulons anticiper la prochaine crise qui ne tardera pas à sévir, faire figurer la cybersécurité au cœur de la gouvernance constitue un préalable. S’intéresser aux scénarios prospectifs des schémas d’attaques pouvant toucher le SI demain permettra, non pas d’éviter les cyberattaques, mais de réagir vite et mieux, et d’assurer la résilience de nos systèmes vitaux.

« Le futur de l’analyse de risques sera de plus en plus industrialisé. Le seul moyen d’assurer une prise de décision rapide est de se faire assister par un outil d’intelligence artificielle, qui améliore le processus complet de l’analyse, de la gouvernance et donc de la maîtrise de risques. Aujourd’hui l’enjeu de l’analyse de risques se situe autour de sa modélisation. Il faut l’automatiser davantage pour parvenir à construire des arbres d’attaques encore plus sophistiqués et plus précis, répondants aux besoins évolutifs des utilisateurs finaux » ajoute Pierre Oger.

La gestion de la cybersécurité implique donc autant une sécurisation technique des SI qu’une prise de conscience de l’ensemble des parties prenantes des établissements face aux risques encourus. Les directions générales doivent porter un message et une ambition clairs sur la gestion des risques de cybersécurité. Toutefois, c’est uniquement en impliquant les communautés médicales et soignantes que les établissements de santé pourront faire face aux risques de cyberattaques.

Envie de découvrir la plateforme EGERIE ?

Envie de découvrir la plateforme EGERIE ?

Envie de découvrir la plateforme EGERIE ?