Protection renforcée pour les établissements

Face à la recrudescence des cyberattaques, l’Agence du numérique en santé et ses partenaires régionaux aident les établissements et services médico-sociaux (ESMS) à réaliser leur diagnostic de cybersécurité. Sur la base de cet état des lieux, différents outils sont mis à leur disposition pour se prémunir contre ces incidents et leurs impacts. 

« On rappelle souvent aux établissements que la question n’est pas de savoir s’ils subiront une cyberattaque, mais quand celle-ci arrivera, alerte Margaux Buguet, responsable de mission à l’Agence numérique en santé (ANS). Beaucoup de structures du médico-social pensent encore qu’elles ne seront jamais cyberattaquées. Notre rôle consiste notamment à les sensibiliser à ce danger et à les préparer à faire face. »

L’enjeu est grand pour les établissements et services du secteur, non seulement tenus d’assurer la continuité des soins, mais aussi de gérer des données de santé et des données personnelles, celles de leurs usagers comme de leurs salariés. « On l’oublie parfois, mais si le système informatique d’une structure tombe et qu’elle ne peut plus verser les salaires de ses équipes, la situation devient très compliquée », rappelle Margaux Buguet. 

Petites actions, gros impact

Beaucoup de ces interlocuteurs, dans les établissements et services médico-sociaux (ESMS), pensent que la cybersécurité est un sujet technique qui ne concerne que le service informatique. « Il est crucial de faire comprendre aux directions que ce sujet transversal les implique pleinement, qu’il y a des enjeux organisationnels et qu’il convient d’embarquer tous les personnels », confirme Estelle Nicaud, qui pilote le programme CaRE (Cybersécurité, accélération, résilience des établissements) au sein de l’ANS. 

En la matière, mieux vaut faire peu que rien, estime sa collègue Margaux Buguet. « Le sujet peut faire peur et on ne sait pas toujours par quel bout le prendre. Mais certaines petites actions simples à mettre en place peuvent déjà avoir un impact important. » Toute volonté d’anticiper, de s’emparer du sujet et de faire un bout du chemin est salutaire selon elle. « C’est d’autant plus important qu’en cas de cyberattaque, on ne remet pas tout en place en quelques heures. Il faut parfois des jours, des semaines, voire des mois. » Il suffit souvent d’un courriel frauduleux sur lequel on clique sans prendre garde pour introduire un cyberattaquant dans un système d’information. Dès lors, la sensibilisation à tous les niveaux d’une organisation est primordiale.
 

Le soutien des acteurs publics 

Partenaires de l’ANS, les centres régionaux de ressources cyber (CRRC), portés par les groupements régionaux d’appui au développement de la e-santé (GRADeS), sont justement là pour mettre en place des actions d’accompagnement et de sensibilisation. « Escape games, campagnes de faux phishing… Ils sont très inventifs dans ce qu’ils mettent en place, explique Estelle Nicaud. Et ils renouvellent régulièrement leurs actions pour les faire évoluer dans le temps. »

Les CRRC accompagnent également les ESMS dans la réalisation du diagnostic de cybersécurité, première étape pour identifier le niveau de maturité de la structure face à la menace cyber. « Le premier conseil, c’est vraiment de contacter le CRRC. Ces centres régionaux proposent des outils de diagnostic pouvant être basés sur l’outil national, l’OPSSIMS (Observatoire Permanent de la Sécurité des SI dans le médico-social), ou sur des outils propres à la région, à partir desquels est établi un plan d’action », détaille Margaux Buguet. Divers outils peuvent ensuite être déployés avec l’aide du CRRC pour mettre en œuvre le plan d’action : exercices de crise, accompagnements spécifiques… « Il faut vraiment insister sur le fait que les structures ne sont jamais laissées seules à l’issue du diagnostic, rassure Estelle Nicaud. Elles ont derrière elles des acteurs publics dont le rôle est d’accompagner : on ne doit surtout pas hésiter à les contacter ! » Et ainsi se prémunir contre un autre danger : le démarchage de prestataires, parfois peu scrupuleux, qui monnayent des services dont les structures peuvent pourtant bénéficier gratuitement. 
 

Ressources utiles 
• ANS, guide « La cybersécurité pour le social et le médico-social en 13 questions »
• OPSSIMS, l’outil de diagnostic de l’ANS à télécharger
• Les contacts des CRRC dans chaque région

Propos recueillis par Marie Houssiaux