Santé et cybersécurité : l'affaire de tous

Article

Les établissements de santé et les structures médico-sociales font l'objet de cyberattaques de plus en plus fréquentes. Il est nécessaire d'élever le niveau de sécurité des différents acteurs, afin d'éviter une perturbation impactant notamment la prise en charge des patients ou usagers. Découvrez les outils pour devenir "tous cybervigilants".

Le ministère chargé de la santé, en collaboration avec l’Agence nationale de sécurité des systèmes d’information (ANSSI) et l’ensemble des acteurs de la santé, met en oeuvre un plan de renforcement de la cybersécurité des structures de santé. Cette accélération de la stratégie nationale en matière de cybersécurité se traduit par un investissement de l’État, au travers notamment du Ségur de la santé et de France Relance.

Sécuriser les systèmes d’information et le partage des données de santé est une priorité nationale.

Pour découvrir les bons gestes ou pour signaler un incident, rendez-vous sur touscybervigilants.fr

La cybersécurité en établissements de santé, sociaux et médico-sociaux

Depuis mars 2020, la crise sanitaire de la COVID-19 a mis en évidence l’importance du numérique en santé : téléconsultations, gestion des dossiers patients, mais aussi des dispositifs médicaux, des prescriptions, des objets connectés... Le numérique est partout. Dans ce contexte, la recrudescence des incidents de sécurité multiplie les
raisons d’être vigilant. 

Pour sensibiliser les équipes soignantes et l’ensemble des personnels à une plus grande hygiène numérique, découvrir les bons gestes numériques ou pour signaler un cyber-incident, vous trouverez ci-dessous les trois sites ressources :

 

 

Pour sensibiliser les personnels de vos établissements, vous pouvez télécharger les affiches ci-dessous :

Vous pouvez également télécharger la plaquette La sécurité numérique, socle de la « transformation du numérique en santé ».

Webinaires de sensibilisation

L'ARS Auvergne-Rhône-Alpes, la Gendarmerie et le GCS SARA organisent régulièrement des webinaires pour sensibiliser les directeurs, responsables SI et personnels aux questions de cybersécurité.

Pour les ESMS - webinaires disponibles en replay :

> Webinaire à destination des directeurs et responsables SI des ESMS

> Webinaire à destination des personnels ESMS

Pour les établissements de santé :

> Webinaire à destination des directeurs et présidents de CME

Plateforme régionale de sensibilisation à la cybersécurité

L'ARS et le GCS Sara mettent gratuitement à disposition des ES et ESMS une plateforme de e-learning avec :

  • des parcours pédagogiques suivis de tests de connaissance : ces parcours peuvent être réalisés en totale autonomie par les personnels afin qu'ils se forment aux bonnes pratiques de cybersécurité.
  • des tests de faux phishing : envoyés depuis la plateforme, ils permettent de tester le niveau de vigilance de vos collaborateurs.
Pour en savoir plus ou pour vous inscrire, rendez-vous sur la page du GCS Sara

Escape Game

 

Rien de tel qu’une mise en situation pour adopter les bons gestes !

Le GCS Sara propose aux établissements un Escape Game appelé Via ’Escape, inspiré d’un outil créé par l’ARS Pays de la Loire et ses partenaires.

Les personnels de santé deviennent des journalistes peu scrupuleux à la recherche d’un scoop.

Ils ont 45 mn pour déjouer le système informatique d’un prestigieux institut médical et dérober les données de santé d’un célèbre patient. 

A travers ce jeu, ils peuvent ainsi découvrir les potentielles failles d’un système informatique – et celles des utilisateurs eux-mêmes.

Si vous souhaitez plus d'informations ou obtenir le kit pour votre structure, vous pouvez contacter le GCS SARA.

 

 

Pour en savoir plus sur la plateforme e-learning et l'escape game, rdv sur le site du GCS Sara 

Les établissements de santé ont pour obligation d'organiser un exercice de crise cybersécurité une fois par an. Cette obligation devrait être étendue aux ESMS dans les prochains mois.

L'objectif est de permettre aux équipes de s'approprier le plan de continuité d'activité de leur structure, de le tester en conditions réelles et éventuellement de le faire évoluer.

Les établissements peuvent organiser cet exercice de manière autonome, ou avec le support d'un prestataire extérieur. Ils peuvent se rapprocher du GCS Sara qui peut les accompagner dans cette démarche.

Des kits d'exercice sont mis à disposition des établissements. Chaque structure peut choisir l'exercice le plus adapté à sa situation : selon sa taille, son fonctionnement et son niveau de maturité en cybersécurité.

Retrouvez le témoignage de Frédérique LABRO-GOUBY, directrice des CH de Bourg-en-Bresse, Hautevilles et Pont-de-Vaux et des EHPAD de Coligny, Cerdon, Montrevel-en-Bresse. Elle revient sur l'exercice de gestion de crise cybersécurité organisé au CH de Bourg-en-Bresse en mars 2023 et explique comment cet exercice a permis aux équipes du CH de faire face à la cyberattaque qui a eu lieu quelques semaines plus tard.

Le signalement à la CERT-Santé

Depuis 2017, les établissements de santé ont pour obligation de signaler leurs incidents de sécurité des systèmes d’information.

Tout signalement doit être effectué sur le Portail de signalement des événements sanitaires indésirables (social-sante.gouv.fr). Une fois sur la page d'accueil, sélectionnez la rubrique « Vous êtes un professionnel de santé » puis la sous-rubrique « Cybersécurité ».

Le signalement est ensuite transmis :

  • A l’ARS, pour prise en compte des impacts de l’incident cyber sur le fonctionnement de l’établissement ;
  • A la CERT-Santé, service d’appui à la gestion des cybermenaces, disponible 7j/t, 24h/24h.
    La CERT-Santé offre un accompagnement et un suivi dans le traitement de l’incident cyber et propose également son aide dans le processus de renforcement des mesures de sécurité, en phase post-incident.

Le signalement de la détection d’un incident cyber avéré doit être l’un des premiers réflexes des établissements.

La notification à la CNIL

Tout incident susceptible d’impliquer la violation de données à caractère personnel et présentant un risque pour les droits et libertés des personnes doit faire l’objet d’une notification à la Commission Nationale Informatique et Libertés (CNIL).

La notification doit être effectuée dans les 72 heures à compter de la découverte de l’incident. En cas de risque élevé pour les personnes physiques, la notification aux personnes concernées par la violation doit se faire dans les meilleurs délais.


Pour en savoir plus, consulter le site de l'ANSSI