Le ministère chargé de la santé, en collaboration avec l’Agence nationale de sécurité des systèmes d’information (ANSSI) et l’ensemble des acteurs de la santé, met en oeuvre un plan de renforcement de la cybersécurité des structures de santé. Cette accélération de la stratégie nationale en matière de cybersécurité se traduit par un investissement de l’État, au travers notamment du Ségur de la santé et de France Relance.
Sécuriser les systèmes d’information et le partage des données de santé est une priorité nationale.
La cybersécurité en établissements de santé, sociaux et médico-sociaux
Depuis mars 2020, la crise sanitaire de la COVID-19 a mis en évidence l’importance du numérique en santé : téléconsultations, gestion des dossiers patients, mais aussi des dispositifs médicaux, des prescriptions, des objets connectés... Le numérique est partout. Dans ce contexte, la recrudescence des incidents de sécurité multiplie les
raisons d’être vigilant.
Pour sensibiliser les équipes soignantes et l’ensemble des personnels à une plus grande hygiène numérique, découvrir les bons gestes numériques ou pour signaler un cyber-incident, vous trouverez ci-dessous les trois sites ressources :
- le site de l'Agence du numérique en santé ;
- le site de Cybermalveillance, organisme chargé de lutter contre les actes de cybermalveillance. Vous y trouverez notamment une liste des bonnes pratiques, ainsi qu’un kit de sensibilisation aux questions de sécurité du numérique à télécharger ;
- le site de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). L’ANSSI met à disposition les bonnes pratiques à relayer tels les 10 règles de base sur la sécurité sur Internet.
Pour sensibiliser les personnels de vos établissements, vous pouvez télécharger les affiches ci-dessous :
Vous pouvez également télécharger la plaquette La sécurité numérique, socle de la « transformation du numérique en santé ».
Webinaires de sensibilisation
L'ARS Auvergne-Rhône-Alpes, la Gendarmerie et le GCS SARA organisent régulièrement des webinaires pour sensibiliser les directeurs, responsables SI et personnels aux questions de cybersécurité.
Pour les ESMS - webinaires disponibles en replay :
> Webinaire à destination des directeurs et responsables SI des ESMS
> Webinaire à destination des personnels ESMS
Pour les établissements de santé :
> Webinaire à destination des directeurs et présidents de CME
Plateforme régionale de sensibilisation à la cybersécurité
L'ARS et le GCS Sara mettent gratuitement à disposition des ES et ESMS une plateforme de e-learning avec :
- des parcours pédagogiques suivis de tests de connaissance : ces parcours peuvent être réalisés en totale autonomie par les personnels afin qu'ils se forment aux bonnes pratiques de cybersécurité.
- des tests de faux phishing : envoyés depuis la plateforme, ils permettent de tester le niveau de vigilance de vos collaborateurs.
Escape Game
Rien de tel qu’une mise en situation pour adopter les bons gestes !
Le GCS Sara propose aux établissements un Escape Game appelé Via ’Escape, inspiré d’un outil créé par l’ARS Pays de la Loire et ses partenaires.
Les personnels de santé deviennent des journalistes peu scrupuleux à la recherche d’un scoop.
Ils ont 45 mn pour déjouer le système informatique d’un prestigieux institut médical et dérober les données de santé d’un célèbre patient.
A travers ce jeu, ils peuvent ainsi découvrir les potentielles failles d’un système informatique – et celles des utilisateurs eux-mêmes.
Si vous souhaitez plus d'informations ou obtenir le kit pour votre structure, vous pouvez contacter le GCS SARA.
Les établissements de santé ont pour obligation d'organiser un exercice de crise cybersécurité une fois par an. Cette obligation devrait être étendue aux ESMS dans les prochains mois.
L'objectif est de permettre aux équipes de s'approprier le plan de continuité d'activité de leur structure, de le tester en conditions réelles et éventuellement de le faire évoluer.
Les établissements peuvent organiser cet exercice de manière autonome, ou avec le support d'un prestataire extérieur. Ils peuvent se rapprocher du GCS Sara qui peut les accompagner dans cette démarche.
Des kits d'exercice sont mis à disposition des établissements. Chaque structure peut choisir l'exercice le plus adapté à sa situation : selon sa taille, son fonctionnement et son niveau de maturité en cybersécurité.
Retrouvez le témoignage de Frédérique LABRO-GOUBY, directrice des CH de Bourg-en-Bresse, Hautevilles et Pont-de-Vaux et des EHPAD de Coligny, Cerdon, Montrevel-en-Bresse. Elle revient sur l'exercice de gestion de crise cybersécurité organisé au CH de Bourg-en-Bresse en mars 2023 et explique comment cet exercice a permis aux équipes du CH de faire face à la cyberattaque qui a eu lieu quelques semaines plus tard.
Le signalement à la CERT-Santé
Depuis 2017, les établissements de santé ont pour obligation de signaler leurs incidents de sécurité des systèmes d’information.
Tout signalement doit être effectué sur le Portail de signalement des événements sanitaires indésirables (social-sante.gouv.fr). Une fois sur la page d'accueil, sélectionnez la rubrique « Vous êtes un professionnel de santé » puis la sous-rubrique « Cybersécurité ».
Le signalement est ensuite transmis :
- A l’ARS, pour prise en compte des impacts de l’incident cyber sur le fonctionnement de l’établissement ;
- A la CERT-Santé, service d’appui à la gestion des cybermenaces, disponible 7j/t, 24h/24h.
La CERT-Santé offre un accompagnement et un suivi dans le traitement de l’incident cyber et propose également son aide dans le processus de renforcement des mesures de sécurité, en phase post-incident.
Le signalement de la détection d’un incident cyber avéré doit être l’un des premiers réflexes des établissements.
La notification à la CNIL
Tout incident susceptible d’impliquer la violation de données à caractère personnel et présentant un risque pour les droits et libertés des personnes doit faire l’objet d’une notification à la Commission Nationale Informatique et Libertés (CNIL).
- Pour en savoir plus sur la démarche de notification, consultez la page dédiée sur le site de la CNIL.
- Pour notifier à la CNIL, allez sur le portail de la CNIL.
La notification doit être effectuée dans les 72 heures à compter de la découverte de l’incident. En cas de risque élevé pour les personnes physiques, la notification aux personnes concernées par la violation doit se faire dans les meilleurs délais.