ANFH CORSE

« Sensibiliser et préparer les établissements aux risques d’une cyberattaque »

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les établissements de santé font aujourd’hui partie des premières cibles de la cybercriminalité. Pour les services comme pour les patients pris en charge, une attaque informatique peut s’avérer lourde de conséquences et marquer de début d’une longue et coûteuse convalescence. Afin de sensibiliser les établissements et les agents de la FPH au risque et les préparer à faire face aux actes de piratage, les délégations Corse et Provence-Alpes-Côte d’Azur de l’ANFH ont mis au point le dispositif Cyberdéfense. Le point sur son offre et son déploiement avec Joïce Caron, délégué de l’ANFH Corse.

 

Pouvez-vous détailler le dispositif Cyberdéfense proposé par l’ANFH ?

L’objectif premier est de préparer les établissements à la gestion d’une crise consécutive à une cyberattaque. Mais il s’agit également de favoriser l’acculturation la plus large possible des agents de la FPH aux enjeux de la cybersécurité, d’où un webinaire de sensibilisation d’une durée de 2h. Celui-ci constitue la porte d’entrée dans le dispositif. Il permet au plus grand nombre de s’informer sur les différentes formes de cyberattaques et d’acquérir les réflexes de base pour les prévenir.

Un deuxième module propose des mises en situation de cyberattaque, généralement durant une journée. Il peut être organisé au sein d’un établissement ou d’un service, mais aussi en inter-établissements. Par exemple à l’échelle d’un GHT, pour former l’ensemble des personnels des bureaux des entrées. Ce volet a pour finalité l’élaboration de process pour assurer la continuité du service en mode dégradé. Il s’adresse à 4 publics :

  • Le bureau des entrées, qui se trouve en première ligne lorsqu’une attaque l’empêche d’utiliser son logiciel métier pour gérer les admissions.
  • Le génie biomédical, qui utilise beaucoup d’équipements reliés aux systèmes d’information, mais dont les agents n’ont pas nécessairement une culture de la cybersécurité.
  • Les services techniques, qui gèrent également de plus en plus d’appareils connectés. On le sait peu, mais les systèmes de chauffage-climatisation, de vidéosurveillance ou les réfrigérateurs sont autant de portes d’entrée vulnérables aux attaques.
  • La direction, qui doit identifier les acteurs clés concernés par une attaque, communiquer efficacement avec le SI, mettre en place une chaîne décisionnelle efficace, ou encore mettre en œuvre un plan de communication interne et externe.

Le troisième module du dispositif concerne le pilotage d’un plan de continuité des activités (PCA), pierre angulaire de l’organisation de l’établissement en cas d’attaque. Il est destiné aux directions et à tout public concerné par la démarche d’élaboration de ce document.

Enfin, le quatrième volet s’adresse spécifiquement aux agents des services informatiques : il leur propose une simulation d’attaque ou de défense cyber, pour s’entraîner à faire face à différents scénarios en fonction d’environnements types, mettre en place les premières actions afin de limiter les dégâts, ou anticiper et assurer la reprise. Notons que les prestataires ont fait évoluer les formations en les adaptant aux environnements informatiques spécifiques au médical et au médico-social : elles prennent aujourd’hui en compte les logiciels métiers, qui varient souvent selon le type et la taille des établissements, tout comme les architectures réseaux.

Les quatre modules Cyberdéfense peuvent être sollicités indépendamment les uns des autres par nos adhérents.

« La question n’est plus de savoir si un établissement sera la cible d’une attaque,
mais quand elle se produira »

Où en est le déploiement du dispositif et quel premier bilan peut-on en tirer ?

Lancé en 2022, Cyberdéfense est aujourd’hui expérimenté par six régions, à la suite de l’appel à projets national de l’ANFH : Auvergne-Rhône-Alpes, Corse, Hauts-de-France, Provence-Alpes-Côte d’Azur, Martinique et Occitanie. Nous avons constaté une montée en régime en 2023, avec 15 webinaires organisés et autant de mises en situation dans le cadre des modules 2 et 4.

Le dispositif arrive à maturité et nous espérons que 2024 confirmera cette tendance. À ce titre, il est important de souligner que tout établissement situé en dehors des six régions d’expérimentation peut solliciter sa délégation pour organiser une ou plusieurs sessions, en fonction de ses besoins. La flexibilité est essentielle, car les établissements n’ont pas tous les mêmes attentes : certains privilégient la sensibilisation à grande échelle, tandis que d’autres se concentrent sur le champ d’action du SI.

La cybermenace est virtuelle, au sens propre comme au sens figuré : il est donc difficile d’en prendre la mesure tant que l’on n’a pas été confronté à une attaque. Pourtant, le phénomène augmente de façon exponentielle et aujourd’hui, la question n’est plus de savoir si un établissement sera la cible d’une attaque, mais quand elle se produira. Mais la conscience des risques progresse de manière encourageante.