« Tous les agents sont concernés par la cybersécurité »

Entretien

Marc Dumon, délégué régional de l’ANFH PACA

Les cyberattaques contre les établissements de santé se multiplient depuis plusieurs années, avec des conséquences qui peuvent être lourdes, pour les services aussi bien que pour les patients pris en charge. Pourtant, les menaces liées à la criminalité informatique restent largement méconnues des agents de la FPH. Afin de sensibiliser le plus grand nombre au risque et de préparer les établissements à faire face aux actes de piratage, l’ANFH a mis au point un dispositif Cyberdéfense. (Délégation ANFH Provence-Alpes-Côte d’Azur), Marc Dumon et Joïce Caron délégué de l’ANFH Corse pilotent les travaux.

En quoi le secteur hospitalier et médico-social est-il concerné par les cyberattaques ?

Selon une idée répandue, les premières cibles des cybercriminels sont les systèmes de défense et le monde bancaire. Le monde de l’hôpital a longtemps pensé être protégé de la malveillance informatique, mais la donnée de santé est précieuse et les établissements ont commencé à subir des attaques il y a environ 5 ans. En 2020, 27 attaques majeures ont touché des structures et d’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), on constate en moyenne un incident par semaine depuis 2021.

Dans la plupart des cas, les établissements sont confrontés à des pirates qui s’infiltrent dans leur système informatique pour y voler les données sensibles et en bloquer l’accès. Une rançon est alors exigée pour espérer un retour à la normale. Les établissements attaqués peuvent se retrouver paralysés, contraints de fonctionner en mode dégradé et parfois même de fermer des services. Le retour à la normale n’arrive qu’après un lourd et souvent coûteux travail de reconstruction et de sécurisation des systèmes d’information.

« L’enjeu impose la diffusion à grande échelle d’une culture de la cyberdéfense »

Où en est la prise de conscience ?

Elle est très inégale selon les établissements et les métiers. La sécurité n’est pas le domaine premier de l’hôpital, qui est d’abord un lieu d’accueil. Mais l’enjeu impose la diffusion à grande échelle d’une culture de la cyberdéfense.

La difficulté est que tous les agents sont concernés : aujourd’hui, chacun est utilisateur du numérique, à travers les outils de messagerie, les dossiers patients, mais aussi les objets connectés tels que les réfrigérateurs, via lesquels on a observé des intrusions, notamment dans de petits établissements. Qu’il soit médical ou non médical, le personnel utilisateur des systèmes d’information (SI) est un maillon essentiel dans la chaîne de la cybersécurité. L’objectif est de lui faire adopter une démarche d’« hygiène informatique », en lui donnant conscience de la vulnérabilité des outils qu’il utilise au quotidien. Cela passe en grande partie par le respect de règles qui peuvent sembler basiques, telles que le changement régulier des mots de passe ou l’isolement des courriels inappropriés, mais qui limitent les potentielles attaques.

À cela s’ajoutent des problèmes plus organisationnels, car un service SI n’est pas toujours le maître d’œuvre de l’ensemble de l’architecture informatique d’un établissement. Ainsi, pour beaucoup de systèmes médicaux ou biomédicaux, il ne fait que récupérer des données entrées par un autre système. Il est donc nécessaire de faire converser tous ces systèmes afin qu’ils se protègent mutuellement.

En quoi consiste le dispositif Cyberdéfense proposé par l’ANFH ?

Une longue chaîne d’acteurs (ministère de la Santé, ANSSI, Agence du numérique en santé, ARS, GHT…) est aujourd’hui impliquée dans la mise en œuvre d’une stratégie nationale de cybersécurité pour les établissements sanitaires et médico-sociaux. Notre intervention a donc été pensée en complémentarité de la leur. Au-delà de l’expertise propre aux métiers SI, elle vise une massification des connaissances en matière de prévention et de résilience.

Le dispositif se déploie en quatre grands modules, qui peuvent être sollicités indépendamment les uns des autres. Le premier, de format webinaire, vise à sensibiliser le plus grand nombre au risque de cyberattaque, à ses différentes formes et aux bons réflexes face à la menace.

Le deuxième volet propose des mises en situation de cyberattaque pouvant durer jusqu’à 5 jours. L’objectif est de former à l’élaboration de process permettant de poursuivre le travail en mode dégradé. Il se décline en direction de 4 publics cibles : le bureau des entrées et admissions, le génie biomédical, les services techniques et la direction de l’établissement.

Le troisième module porte sur le pilotage d’un plan de continuité des activités, il est destiné aux directions et à tout public concerné par un PCA.

Enfin, le quatrième volet s’adresse spécifiquement aux agents des services informatiques : il leur propose une simulation d’attaque ou de défense cyber.

Lancé en 2022 à l’échelle de plusieurs régions, le dispositif Cyberdéfense devrait être étendu à l’échelle nationale d’ici 2024.

ZOOM

SensCyber : une e-sensibilisation à la cybersécurité, par Cybermalveillance.gouv.fr

Cybermalveillance.gouv.fr lance SensCyber, en collaboration avec le Ministère de la Transformation et de la Fonction publiques, la Direction Générale de l’Administration et de la Fonction publique (DGAFP), le Centre National de la Fonction Publique Territoriale (CNFPT) et l’Association nationale pour la formation permanente du personnel hospitalier (ANFH).

Objectif :

1. De mieux connaître l’état actuel des menaces cyber: de comprendre leurs principes généraux de fonctionnement et les risques qu’elles font courir tant à l’individu qu’à son administration,

2. De valider et de s’approprier les bonnes pratiques élémentaires pour se prémunir, soi et son organisation, des cyber malveillances traditionnelles comme conjoncturelles (par exemple, celles aux couleurs de la crise sanitaire...),

3. De comprendre l’intérêt et la manière de transmettre ces contenus/ sensibiliser à ces thématiques, tant dans sa sphère personnelle que dans un cadre professionnel (collègues – relations hiérarchiques – administrés) et de participer ainsi à une meilleure protection collective.

L’offre de l’ANFH comprend 3 dispositifs complémentaires :