Pourriez-vous, pour commencer, évoquer les missions de l’ANS en matière de cybersécurité ?
Élodie Chaudron : Notamment chargée d’améliorer la performance numérique, l’Agence du Numérique en Santé met en place un cadre constitué de règles communes de régulation et d'échanges, autour de l’interopérabilité et de la sécurité. À l’écoute de ses bénéficiaires et de l’écosystème, elle accompagne ainsi les industriels et anime une démarche globale de référencement et d’audit. Sur le volet de la sécurité notamment, l’ANS produit les référentiels et les guides de la PGSSI-S, elle définit les exigences cyber de la doctrine du numérique en santé, et gère le schéma de certification des hébergeurs de données de santé. Elle héberge aussi le CERT Santé (Computer Emergency Response Team), premier CERT sectoriel en France et partenaire privilégié de l’ANSSI, l’Agence nationale de sécurité des systèmes d’information.
Justement, pourriez-vous nous présenter plus en détail le CERT Santé ?
Élodie Chaudron : Ce service d’appui à la gestion des cybermenaces, opérationnel 24h/24 et 7j/7, fédère une dizaine d’experts pour effectuer une veille des menaces cyber et accompagner les établissements de santé confrontés à un incident de sécurité numérique. Je rappellerai ici que toute action ou suspicion d’action malveillante ayant un impact sur le fonctionnement normal d’un établissement sanitaire ou médico-social doit être rapidement déclarée sur le portail du CERT Santé. En cas d’incident, ses experts sont en mesure d’intervenir immédiatement afin de qualifier sa nature et prioriser les actions à mettre en œuvre.
Marc Loutrel : Un diagnostic simplifié leur permet de savoir rapidement s’il s’agit d’une cyberattaque. En cas de confirmation, le degré d’infiltration de l’attaquant est aussitôt évalué pour prendre les mesures qui permettraient d’en limiter la propagation. Puis le CERT Santé cherche à reconstruire le cheminement numérique de l’attaque. Ensuite, en fonction de la nature et de la gravité de l’incident, mais aussi de la capacité de l’établissement à le gérer en autonomie, le CERT lui apporte son appui direct ou l’oriente vers un prestataire référencé, pour un accompagnement jusqu’au retour à la normale. Cela dit, dans les cas difficiles, par exemple lorsqu’un système d’information a été fortement impacté et doit être reconstruit, le CERT suit l’établissement de près, y compris pour le pilotage des prestataires de réponse aux incidents de sécurité, car il y a ici de nombreuses procédures à déployer dans le bon ordre.
Mais le CERT Santé n’est pas uniquement un service de réponse à incident…
Élodie Chaudron : Comme on l’a vu, il se mobilise effectivement aussi pour prévenir les risques cyber. Sa plateforme Cyberveille Santé permet ainsi à tout établissement d’effectuer un autodiagnostic pour évaluer son niveau d’exposition sur Internet. L’on y trouve également un bulletin hebdomadaire d’informations recensant les vulnérabilités détectées au sein des logiciels classiques et des logiciels métiers. Naturellement, si une menace particulière est connue, par exemple un établissement potentiellement ciblé car des cyberpirates y ont identifié une vulnérabilité spécifique, cette structure est aussitôt prévenue pour pouvoir rapidement mettre en place les mesures correctives.
Marc Loutrel : N’oublions pas que les cybercriminels sont aujourd’hui très industrialisés, et qu’ils se concentrent pour l’essentiel sur les victimes les plus faibles. Il est donc primordial que l’établissement soit préparé, qu’il ait mis en place des exercices de gestion de crise, sache remédier rapidement à ses vulnérabilités, et s’appuie plus globalement sur des logiciels véritablement sécurisés. Je pense par exemple ici aux messageries, encore trop nombreuses à laisser passer des tentatives de cyberattaques par phishing. Il est important de s’auditer, et le CERT Santé propose pour cela des outils particulièrement pertinents pour les établissements sanitaires identifiés comme Opérateurs de services essentiels (OSE).
Vous parliez plus haut de l’ANS en tant que régulateur. Quid de sa mission de promotion et de valorisation des initiatives e-santé ?
Élodie Chaudron : Dans ce cadre, elle stimule, accompagne et évalue toutes les initiatives de e-santé pour les faire grandir. Elle est ainsi force d’accompagnement au déploiement des différents services, et elle recueille les besoins pour les qualifier et faciliter la transformation des organisations. Nous savons que l’usage du numérique n’a lieu d’être que si les utilisateurs ont confiance. L’ANS entend donc aider les acteurs à se préparer face à des risques croissants, des pirates de plus en plus agiles et des attaques de plus en plus sophistiquées, en leur apportant des notions vulgarisées et pédagogiques sur les composantes de la sécurité numérique. Depuis 2021, avec le soutien de sa nouvelle gouvernance incluant les Agences régionales de santé (ARS) et les GRADeS, l’ANS a un rôle clé dans l’animation territoriale autour de la cybersécurité.
Vous avez ainsi produit deux livrables.
Élodie Chaudron : En décembre 2022 a en effet été publié un nouveau guide de sensibilisation à la cybersécurité pour le secteur social et médico-social, où les besoins sont importants. Plus récemment, nous avons aussi dévoilé des kits d’exercice de crise cyber prêts à l’emploi et autoporteurs, pour faciliter l’organisation de ces actions aujourd’hui identifiées comme prioritaires dans le cadre du Plan de renforcement Cybersécurité du ministère de la Santé et de la Prévention. 100 % des OSE doivent d’ailleurs y s’y soumettre. Pour soutenir cette dynamique, rappelons que le ministère a octroyé aux ARS des financements à hauteur de 100 millions d’euros dans le cadre des Fonds d’intervention régionaux (FIR). Ces crédits sont ensuite délégués aux GRADeS ou permettent de financer directement l’intervention de prestataires agréés au sein des établissements de santé.
Pourriez-vous évoquer plus en détail ces kits d’exercice ?
Élodie Chaudron : Disponibles à travers le Portail Cyberveille Santé, ils s’articulent autour de trois scénarios adaptés à toutes les typologies des établissements concernés. Plus concrètement, nous avons conçu trois niveaux de complexité, pour tenir compte du niveau de maturité de chaque structure. Le kit « Débutant » simule un jeu sur table, afin de sensibiliser des équipes peu acculturées à la gestion d’une crise cyber. Le kit « Intermédiaire » propose un exercice réalisable en 2h environ sur un périmètre plus étendu : la simulation porte sur une structure entièrement impactée par une cybercrise, avec de nécessaires interactions entre acteurs internes et externes.
Marc Loutrel : Enfin, dans le niveau « Confirmé », les participants s’exercent à gérer une cybercrise à l’échelle d’un GHT. De nombreuses cellules sont alors sollicitées, y compris pour mettre en œuvre une stratégie de communication de crise. Au-delà de la sensibilisation des acteurs en tant que telle, l’objectif est de permettre une montée en gamme pour dans l’idéal mener, à terme, tous les établissements vers ce niveau « Confirmé ». Peu joué au départ, celui-ci commence d’ailleurs à se déployer au sein de certains établissements, essentiellement des OSE.
Comment sont construits ces kits ?
Élodie Chaudron : Chaque kit comporte lui-même trois volets. Un volet « Animateur », avec tout un panel de ressources pour préparer et personnaliser l’exercice : chronogames, injects de scénario, documents pour briefer/débriefer les participants, questionnaires de satisfaction et d’évaluation, etc. Un volet « Participants » proposant plusieurs fiches de sensibilisation aux bonnes pratiques de gestion d’une crise cyber, à la nécessité de déclarer les incidents auprès du CERT Santé, d’effectuer des sauvegardes régulières, etc. Et un volet « Communication », pour notamment mobiliser toutes les instances décisionnelles.
Marc Loutrel : À l’issue de l’exercice, un bilan permet de se positionner et d’identifier les mesures correctives à mettre en œuvre. Celles-ci sont pour l’essentiel d’ordre organisationnel : Plan blanc, Plans de continuité et de reprise de l’activité (PCA/PRA), etc. Je souhaiterais par ailleurs souligner que, bien que ces kits d’exercices soient conçus pour pouvoir être menés en toute autonomie par les établissements de santé, nous préconisons toutefois de se faire accompagner par un prestataire, du moins la première fois. Et rappeler qu’une gestion de crise cyber ne concerne pas uniquement la DSI et le RSSI. La direction générale, la CME, les directions métiers et fonctionnelles, doivent aussi se mobiliser, comme le mettent en lumière ces kits d’exercice.
Le mot de la fin ?
Élodie Chaudron : Ces kits sont aujourd’hui en cours de généralisation auprès des établissements de santé, et nous espérons pouvoir publier de premiers retours d’expérience d’ici cet été. Ce beau travail collaboratif a en tous cas été très remarqué et est fortement valorisé par toutes les parties prenantes. En parallèle, l’ANS poursuit sa mobilisation autour de la Task Force Cyber créée en décembre dernier, et compte mener d’autres actions dans le cadre du programme Cybersécurité.
Marc Loutrel : Sur un autre registre, nous avons beaucoup évoqué les établissements de santé au cours de cet échange, mais pas tant ceux qui les équipent… Or il y a encore beaucoup trop de vulnérabilités au sein des outils métiers. L’implication des industriels est plus que jamais nécessaire et fait d’ailleurs l’objet d’une attention accrue dans le cadre de la deuxième vague du Ségur Numérique. L’objectif étant qu’à terme, les établissements de santé puissent s’équiper de solutions estampillées Ségur et offrant donc un meilleur niveau de sécurité, dans l’usage quotidien comme lors des mises à jour à distance – la télémaintenance étant aussi un vecteur d’attaque réputé. N’oublions pas que la cybersécurité est un défi à relever collectivement. Il nous faut en être conscients et travailler ensemble.
Article publié dans l'édition de mai 2023 d'Hospitalia à lire ici.
Élodie Chaudron : Notamment chargée d’améliorer la performance numérique, l’Agence du Numérique en Santé met en place un cadre constitué de règles communes de régulation et d'échanges, autour de l’interopérabilité et de la sécurité. À l’écoute de ses bénéficiaires et de l’écosystème, elle accompagne ainsi les industriels et anime une démarche globale de référencement et d’audit. Sur le volet de la sécurité notamment, l’ANS produit les référentiels et les guides de la PGSSI-S, elle définit les exigences cyber de la doctrine du numérique en santé, et gère le schéma de certification des hébergeurs de données de santé. Elle héberge aussi le CERT Santé (Computer Emergency Response Team), premier CERT sectoriel en France et partenaire privilégié de l’ANSSI, l’Agence nationale de sécurité des systèmes d’information.
Justement, pourriez-vous nous présenter plus en détail le CERT Santé ?
Élodie Chaudron : Ce service d’appui à la gestion des cybermenaces, opérationnel 24h/24 et 7j/7, fédère une dizaine d’experts pour effectuer une veille des menaces cyber et accompagner les établissements de santé confrontés à un incident de sécurité numérique. Je rappellerai ici que toute action ou suspicion d’action malveillante ayant un impact sur le fonctionnement normal d’un établissement sanitaire ou médico-social doit être rapidement déclarée sur le portail du CERT Santé. En cas d’incident, ses experts sont en mesure d’intervenir immédiatement afin de qualifier sa nature et prioriser les actions à mettre en œuvre.
Marc Loutrel : Un diagnostic simplifié leur permet de savoir rapidement s’il s’agit d’une cyberattaque. En cas de confirmation, le degré d’infiltration de l’attaquant est aussitôt évalué pour prendre les mesures qui permettraient d’en limiter la propagation. Puis le CERT Santé cherche à reconstruire le cheminement numérique de l’attaque. Ensuite, en fonction de la nature et de la gravité de l’incident, mais aussi de la capacité de l’établissement à le gérer en autonomie, le CERT lui apporte son appui direct ou l’oriente vers un prestataire référencé, pour un accompagnement jusqu’au retour à la normale. Cela dit, dans les cas difficiles, par exemple lorsqu’un système d’information a été fortement impacté et doit être reconstruit, le CERT suit l’établissement de près, y compris pour le pilotage des prestataires de réponse aux incidents de sécurité, car il y a ici de nombreuses procédures à déployer dans le bon ordre.
Mais le CERT Santé n’est pas uniquement un service de réponse à incident…
Élodie Chaudron : Comme on l’a vu, il se mobilise effectivement aussi pour prévenir les risques cyber. Sa plateforme Cyberveille Santé permet ainsi à tout établissement d’effectuer un autodiagnostic pour évaluer son niveau d’exposition sur Internet. L’on y trouve également un bulletin hebdomadaire d’informations recensant les vulnérabilités détectées au sein des logiciels classiques et des logiciels métiers. Naturellement, si une menace particulière est connue, par exemple un établissement potentiellement ciblé car des cyberpirates y ont identifié une vulnérabilité spécifique, cette structure est aussitôt prévenue pour pouvoir rapidement mettre en place les mesures correctives.
Marc Loutrel : N’oublions pas que les cybercriminels sont aujourd’hui très industrialisés, et qu’ils se concentrent pour l’essentiel sur les victimes les plus faibles. Il est donc primordial que l’établissement soit préparé, qu’il ait mis en place des exercices de gestion de crise, sache remédier rapidement à ses vulnérabilités, et s’appuie plus globalement sur des logiciels véritablement sécurisés. Je pense par exemple ici aux messageries, encore trop nombreuses à laisser passer des tentatives de cyberattaques par phishing. Il est important de s’auditer, et le CERT Santé propose pour cela des outils particulièrement pertinents pour les établissements sanitaires identifiés comme Opérateurs de services essentiels (OSE).
Vous parliez plus haut de l’ANS en tant que régulateur. Quid de sa mission de promotion et de valorisation des initiatives e-santé ?
Élodie Chaudron : Dans ce cadre, elle stimule, accompagne et évalue toutes les initiatives de e-santé pour les faire grandir. Elle est ainsi force d’accompagnement au déploiement des différents services, et elle recueille les besoins pour les qualifier et faciliter la transformation des organisations. Nous savons que l’usage du numérique n’a lieu d’être que si les utilisateurs ont confiance. L’ANS entend donc aider les acteurs à se préparer face à des risques croissants, des pirates de plus en plus agiles et des attaques de plus en plus sophistiquées, en leur apportant des notions vulgarisées et pédagogiques sur les composantes de la sécurité numérique. Depuis 2021, avec le soutien de sa nouvelle gouvernance incluant les Agences régionales de santé (ARS) et les GRADeS, l’ANS a un rôle clé dans l’animation territoriale autour de la cybersécurité.
Vous avez ainsi produit deux livrables.
Élodie Chaudron : En décembre 2022 a en effet été publié un nouveau guide de sensibilisation à la cybersécurité pour le secteur social et médico-social, où les besoins sont importants. Plus récemment, nous avons aussi dévoilé des kits d’exercice de crise cyber prêts à l’emploi et autoporteurs, pour faciliter l’organisation de ces actions aujourd’hui identifiées comme prioritaires dans le cadre du Plan de renforcement Cybersécurité du ministère de la Santé et de la Prévention. 100 % des OSE doivent d’ailleurs y s’y soumettre. Pour soutenir cette dynamique, rappelons que le ministère a octroyé aux ARS des financements à hauteur de 100 millions d’euros dans le cadre des Fonds d’intervention régionaux (FIR). Ces crédits sont ensuite délégués aux GRADeS ou permettent de financer directement l’intervention de prestataires agréés au sein des établissements de santé.
Pourriez-vous évoquer plus en détail ces kits d’exercice ?
Élodie Chaudron : Disponibles à travers le Portail Cyberveille Santé, ils s’articulent autour de trois scénarios adaptés à toutes les typologies des établissements concernés. Plus concrètement, nous avons conçu trois niveaux de complexité, pour tenir compte du niveau de maturité de chaque structure. Le kit « Débutant » simule un jeu sur table, afin de sensibiliser des équipes peu acculturées à la gestion d’une crise cyber. Le kit « Intermédiaire » propose un exercice réalisable en 2h environ sur un périmètre plus étendu : la simulation porte sur une structure entièrement impactée par une cybercrise, avec de nécessaires interactions entre acteurs internes et externes.
Marc Loutrel : Enfin, dans le niveau « Confirmé », les participants s’exercent à gérer une cybercrise à l’échelle d’un GHT. De nombreuses cellules sont alors sollicitées, y compris pour mettre en œuvre une stratégie de communication de crise. Au-delà de la sensibilisation des acteurs en tant que telle, l’objectif est de permettre une montée en gamme pour dans l’idéal mener, à terme, tous les établissements vers ce niveau « Confirmé ». Peu joué au départ, celui-ci commence d’ailleurs à se déployer au sein de certains établissements, essentiellement des OSE.
Comment sont construits ces kits ?
Élodie Chaudron : Chaque kit comporte lui-même trois volets. Un volet « Animateur », avec tout un panel de ressources pour préparer et personnaliser l’exercice : chronogames, injects de scénario, documents pour briefer/débriefer les participants, questionnaires de satisfaction et d’évaluation, etc. Un volet « Participants » proposant plusieurs fiches de sensibilisation aux bonnes pratiques de gestion d’une crise cyber, à la nécessité de déclarer les incidents auprès du CERT Santé, d’effectuer des sauvegardes régulières, etc. Et un volet « Communication », pour notamment mobiliser toutes les instances décisionnelles.
Marc Loutrel : À l’issue de l’exercice, un bilan permet de se positionner et d’identifier les mesures correctives à mettre en œuvre. Celles-ci sont pour l’essentiel d’ordre organisationnel : Plan blanc, Plans de continuité et de reprise de l’activité (PCA/PRA), etc. Je souhaiterais par ailleurs souligner que, bien que ces kits d’exercices soient conçus pour pouvoir être menés en toute autonomie par les établissements de santé, nous préconisons toutefois de se faire accompagner par un prestataire, du moins la première fois. Et rappeler qu’une gestion de crise cyber ne concerne pas uniquement la DSI et le RSSI. La direction générale, la CME, les directions métiers et fonctionnelles, doivent aussi se mobiliser, comme le mettent en lumière ces kits d’exercice.
Le mot de la fin ?
Élodie Chaudron : Ces kits sont aujourd’hui en cours de généralisation auprès des établissements de santé, et nous espérons pouvoir publier de premiers retours d’expérience d’ici cet été. Ce beau travail collaboratif a en tous cas été très remarqué et est fortement valorisé par toutes les parties prenantes. En parallèle, l’ANS poursuit sa mobilisation autour de la Task Force Cyber créée en décembre dernier, et compte mener d’autres actions dans le cadre du programme Cybersécurité.
Marc Loutrel : Sur un autre registre, nous avons beaucoup évoqué les établissements de santé au cours de cet échange, mais pas tant ceux qui les équipent… Or il y a encore beaucoup trop de vulnérabilités au sein des outils métiers. L’implication des industriels est plus que jamais nécessaire et fait d’ailleurs l’objet d’une attention accrue dans le cadre de la deuxième vague du Ségur Numérique. L’objectif étant qu’à terme, les établissements de santé puissent s’équiper de solutions estampillées Ségur et offrant donc un meilleur niveau de sécurité, dans l’usage quotidien comme lors des mises à jour à distance – la télémaintenance étant aussi un vecteur d’attaque réputé. N’oublions pas que la cybersécurité est un défi à relever collectivement. Il nous faut en être conscients et travailler ensemble.
Article publié dans l'édition de mai 2023 d'Hospitalia à lire ici.
Envoyer à un ami
Version imprimable
Partager