Les constats et enjeux de la cybersécurité en Auvergne-Rhône-Alpes
Ces dernières années, les établissements de santé et du médico-social en Auvergne-Rhône-Alpes ont été confrontés à une intensification des cyberattaques. Ces incidents peuvent perturber gravement le fonctionnement des systèmes d’information et compromettre la continuité des soins et la sécurité des données des patients. La feuille de route de l'Agence régionale de santé (ARS) Auvergne-Rhône-Alpes vise à adresser ces enjeux avec une approche structurée et proactive.
La stratégie régionale portée par l’ARS sur la cybersécurité
Pour répondre à ces menaces, l’Agence régionale de santé (ARS) Auvergne-Rhône-Alpes a élaboré une stratégie régionale en matière de cybersécurité dès 2021 en cohérence avec la feuille de route « Ma santé 2022 », la feuille de route du numérique en santé 2023-2027 et le « Ségur de la santé ». Le but est de renforcer la sécurité des systèmes d’information et de mieux sensibiliser et former les acteurs de santé et du médico-social à ces risques. La stratégie repose sur plusieurs axes essentiels.
Les axes et objectifs prioritaires retenus
La feuille de route nationale repose sur trois axes stratégiques principaux :
Améliorer la capacité des établissements à répondre et se remettre des cyberattaques,
Accroître la sensibilisation des professionnels de santé,
Renforcer la collaboration entre les différents acteurs régionaux pour une réponse coordonnée aux incidents de cybersécurité.
Une instance régionale mise en place
Afin de renforcer la coordination régionale, le GCS SARA et l’ARS Auvergne-Rhône-Alpes animent un collège régional des RSSI (Responsables de la sécurité des systèmes d’information), auquel participent les représentants régionaux de l’ANSSI. Ces moments d’échanges permettent de communiquer des informations sur les programmes nationaux et aux RSSI de partager leurs pratiques et de bénéficier d’un soutien pour la mise en œuvre des mesures de cybersécurité. Le recueil de l’identification de chantiers prioritaires permet de tracer les axes de travail régionaux.
Les programmes et dispositifs déployés autour de la cybersécurité en région
Programme Care
Le programme CARE (Cybersécurité accélération résilience des établissements) est une initiative dédiée à renforcer la sécurité numérique dans le secteur de la santé. Il vise à protéger les données sensibles des patients et les systèmes d’information des établissements de santé contre les cyberattaques. En s’appuyant sur des outils de prévention, des formations pour les professionnels et des protocoles d’intervention en cas d’incident, CARE contribue à améliorer la résilience des infrastructures numériques de santé. Ce programme répond à l’urgence d’une cybersécurité renforcée face à l’évolution constante des menaces dans ce domaine critique.
En savoir + sur le programme CARE en Auvergne-Rhône-Alpes.
Centre régional de réponse aux cybermenaces
Le centre régional de ressources cybersécurité (CRRC) joue un rôle clé dans la mise en œuvre de la stratégie régionale en cybersécurité. En tant que pôle de coordination, il assure une veille permanente sur les cybermenaces, accompagne les établissements de santé et du médico-social dans la gestion des incidents, et propose des formations pour renforcer les compétences des professionnels. Le CRRC collabore également avec l'ARS Auvergne-Rhône-Alpes pour harmoniser les pratiques de sécurité et favoriser le partage d'expériences au niveau régional.
En savoir + sur le dispositif CRRC en Auvergne-Rhône-Alpes
Programme d’exercices de crise cyber
Afin de renforcer la résilience des établissements de santé face aux cyberattaques, un programme régional d'exercices de crise a été mis en place. Conformément à la note d'information du 14 décembre 2021, chaque établissement de santé est tenu de réaliser. Ces exercices aident les équipes à se préparer à des attaques potentielles en simulant des situations critiques. Le scenario de l’exercice est personnalisé à l’établissement sur la base d’un kit méthodologique fourni par l’ANS (Agence du Numérique en Santé) dans le cadre du Plan de renforcement 2021 en cybersécurité.
Offre de formation régionale
Les attaques informatiques réussissent souvent en exploitant des failles humaines, telles que des erreurs ou des négligences. Pour y remédier, la feuille de route prévoit des programmes de formation continue et des campagnes de sensibilisation destinées à tous les niveaux de personnel avec le déploiement de plusieurs outils :
La Plateforme Conscio : cette plateforme de formation permet aux établissements d’inscrire leur personnel à des parcours pédagogiques de cybersécurité et de tester leurs équipes via des simulations de phishing. Financée par l’ARS Auvergne-Rhône-Alpes, elle est mise à disposition gratuitement par le GCS Sara sur inscription préalable.
Formation Active Directory : des formations sont organisées pour améliorer la sécurité de l’Active directory (AD), un système essentiel pour gérer les accès. L’objectif est de renforcer la protection contre les cyberattaques car l’AD, qui centralise les droits d’accès, est souvent ciblé par les attaquants. Une faille dans ce système peut entraîner par cascade des conséquences fatales pour l’ensemble des serveurs informatiques.
Via’Escape », un escape game dédié à la cybersécurité en santé : Ce jeu permet aux participants de se rendre compte des risques tout en intégrant des réflexes de bonnes pratiques numériques. Il est en libre accès pour que les établissements se l’approprient.
Offre de webinaires : De nombreux webinaires sont régulièrement organisés à destination des directions d’établissements sanitaires et médico-sociaux de la région. Ces rencontres permettent de partager des retours d’expérience des acteurs de terrain sur les impacts des cyberattaques et leur gestion (problème rencontrés, actions mises en place pour améliorer la sécurité de leurs systèmes d’information).
