Cédric Boucher, directeur du projet Cybersécurité pour le GRADeS Sant& Numérique. ©DR
En novembre dernier, vous êtes devenu le directeur du projet Cybersécurité au sein de Sant& Numérique. Pourquoi cette nouvelle organisation ?
Cédric Boucher : En matière de cybersécurité, les actions de Sant& Numérique se concentraient essentiellement jusque-là sur les outils développés par le GRADeS. Appuyé par l’ARS Hauts-de-France, il nous a semblé opportun d’aller plus loin, en proposant des services sécurisés aux usagers et aux professionnels de santé de la région, ce qui nous permettait d’ailleurs de nous inscrire dans le cadre du plan de renforcement cyber, mis en place par l'État en 2021. Il s’agit, plus concrètement, de renforcer l’appui offert aux établissements de santé des Hauts-de-France, en développant notamment les modalités d’accompagnement des Responsables de Sécurité des Systèmes d’Information (RSSI).
Quelles actions avez-vous menées en 2022 ?
Avant même la création du poste de directeur de projet Cybersécurité, nous avions commencé à communiquer autour de cette problématique, à travers la réalisation de veilles, l’émission d’alertes, ou encore la diffusion de bonnes pratiques. Dans le cadre du plan de renforcement cyber, nous avions également organisé, dès juin 2022, un forum régional de la cybersécurité, qui s’était tenu en parallèle du Forum International de la Cybersécurité (FIC) de Lille. De nombreux directeurs d’établissements et RSSI étaient venus à notre rencontre, et c’était d’ailleurs l’objectif, puisque nous avons ainsi pu positionner Sant& Numérique comme un acteur régional important en matière de cybersécurité en santé.
Poursuivez-vous ces actions pour l’année 2023 ?
Bien entendu, car la prévention des risques cyber impose une sensibilisation continue. Mais nous avons également complété ces actions de communication par le lancement d’une nouvelle offre de services. Nous avons ainsi organisé, dès le mois de janvier, un premier collège des RSSI des Hauts-de-France, réunissant 109 professionnels. Ils ont pu à cette occasion découvrir notre catalogue, qui se compose à ce jour d’une plateforme de sensibilisation régionale, d’une prestation d’accompagnement à l’exercice de crise, et d’une offre d’audit des systèmes d’annuaires internes des établissements. Comme tous les autres services proposés par Sant& Numérique, ceux-ci sont disponibles pour l’ensemble des établissements sanitaires des Hauts-de-France, qu’ils soient publics ou privés. Et ce catalogue est naturellement amené à évoluer et à s’enrichir. Plateforme collaborative fédérant les RSSI régionaux, tests d’intrusion, formations, achats groupés… les idées ne manquent pas, et nous restons à l’écoute des professionnels de terrain pour répondre aux mieux à leurs besoins.
Intervenez-vous dans le cas d’une réponse à incident ?
À l’image de l’Agence Régionale de Santé (ARS), dont nous dépendons, le GRADeS doit faire partie de la chaîne d’alerte. Mais Sant& Numérique est actuellement peu identifié comme tel, et doit justement se positionner comme l’un des maillons essentiels de cette chaîne. Nous entendons d’ailleurs travailler ce point en 2023, en rappelant aux établissements de santé de la région qui contacter en cas d’incident, et à quel moment le faire. Ces informations font partie intégrante des bonnes pratiques de cybersécurité, auxquelles nous sensibilisons régulièrement les équipes hospitalières. Qu'est-ce qu'un mot de passe fort ? Doit-on déclarer tous les incidents ? Qui prévenir ?... Même si le sujet est désormais mieux connu, des interrogations demeurent et il est utile de répéter les bons gestes pour les optimiser. Nous rappelons aussi fréquemment qu'il existe des programmes nationaux permettant aux établissements de santé de s'auditer gratuitement.
Quelles sont, à votre sens, les étapes essentielles pour garantir la sécurité numérique d’un établissement ?
Il est d'abord important de se connaître soi-même, et donc de cartographier tous les outils et toutes les infrastructures informatiques utilisés au sein de l'établissement. L’étape suivante, qui est tout aussi primordiale, est de s'exercer pour connaître ses faiblesses. Dans les Hauts-de-France, ces exercices de gestion de crise ont d’ailleurs été identifiés comme prioritaires : même l’établissement le plus sécurisé peut avoir une faille, personne n’est invulnérable. Le seul moyen d’être prêt à faire face à un incident cyber, c’est de s’entraîner pour bien connaître son mode dégradé et identifier rapidement les différents leviers qui permettront d’arrêter l'hémorragie. Il est dommage que les établissements en viennent généralement à effectuer ces exercices après avoir subi une première attaque ou une tentative de piratage. Or, comme je le disais et le soulignerai encore, personne n’est à l’abri. Il faut s'entraîner régulièrement, pour maîtriser les procédures, mais aussi les mettre à jour et les compléter. Le système d'information d’un établissement de santé est en évolution perpétuelle. Les procédures doivent donc elles aussi évoluer pour rester pertinentes et permettre aux équipes de faire face efficacement à une situation de crise.
Article publié dans l'édition de février 2023 d'Hospitalia à lire ici.
Cédric Boucher : En matière de cybersécurité, les actions de Sant& Numérique se concentraient essentiellement jusque-là sur les outils développés par le GRADeS. Appuyé par l’ARS Hauts-de-France, il nous a semblé opportun d’aller plus loin, en proposant des services sécurisés aux usagers et aux professionnels de santé de la région, ce qui nous permettait d’ailleurs de nous inscrire dans le cadre du plan de renforcement cyber, mis en place par l'État en 2021. Il s’agit, plus concrètement, de renforcer l’appui offert aux établissements de santé des Hauts-de-France, en développant notamment les modalités d’accompagnement des Responsables de Sécurité des Systèmes d’Information (RSSI).
Quelles actions avez-vous menées en 2022 ?
Avant même la création du poste de directeur de projet Cybersécurité, nous avions commencé à communiquer autour de cette problématique, à travers la réalisation de veilles, l’émission d’alertes, ou encore la diffusion de bonnes pratiques. Dans le cadre du plan de renforcement cyber, nous avions également organisé, dès juin 2022, un forum régional de la cybersécurité, qui s’était tenu en parallèle du Forum International de la Cybersécurité (FIC) de Lille. De nombreux directeurs d’établissements et RSSI étaient venus à notre rencontre, et c’était d’ailleurs l’objectif, puisque nous avons ainsi pu positionner Sant& Numérique comme un acteur régional important en matière de cybersécurité en santé.
Poursuivez-vous ces actions pour l’année 2023 ?
Bien entendu, car la prévention des risques cyber impose une sensibilisation continue. Mais nous avons également complété ces actions de communication par le lancement d’une nouvelle offre de services. Nous avons ainsi organisé, dès le mois de janvier, un premier collège des RSSI des Hauts-de-France, réunissant 109 professionnels. Ils ont pu à cette occasion découvrir notre catalogue, qui se compose à ce jour d’une plateforme de sensibilisation régionale, d’une prestation d’accompagnement à l’exercice de crise, et d’une offre d’audit des systèmes d’annuaires internes des établissements. Comme tous les autres services proposés par Sant& Numérique, ceux-ci sont disponibles pour l’ensemble des établissements sanitaires des Hauts-de-France, qu’ils soient publics ou privés. Et ce catalogue est naturellement amené à évoluer et à s’enrichir. Plateforme collaborative fédérant les RSSI régionaux, tests d’intrusion, formations, achats groupés… les idées ne manquent pas, et nous restons à l’écoute des professionnels de terrain pour répondre aux mieux à leurs besoins.
Intervenez-vous dans le cas d’une réponse à incident ?
À l’image de l’Agence Régionale de Santé (ARS), dont nous dépendons, le GRADeS doit faire partie de la chaîne d’alerte. Mais Sant& Numérique est actuellement peu identifié comme tel, et doit justement se positionner comme l’un des maillons essentiels de cette chaîne. Nous entendons d’ailleurs travailler ce point en 2023, en rappelant aux établissements de santé de la région qui contacter en cas d’incident, et à quel moment le faire. Ces informations font partie intégrante des bonnes pratiques de cybersécurité, auxquelles nous sensibilisons régulièrement les équipes hospitalières. Qu'est-ce qu'un mot de passe fort ? Doit-on déclarer tous les incidents ? Qui prévenir ?... Même si le sujet est désormais mieux connu, des interrogations demeurent et il est utile de répéter les bons gestes pour les optimiser. Nous rappelons aussi fréquemment qu'il existe des programmes nationaux permettant aux établissements de santé de s'auditer gratuitement.
Quelles sont, à votre sens, les étapes essentielles pour garantir la sécurité numérique d’un établissement ?
Il est d'abord important de se connaître soi-même, et donc de cartographier tous les outils et toutes les infrastructures informatiques utilisés au sein de l'établissement. L’étape suivante, qui est tout aussi primordiale, est de s'exercer pour connaître ses faiblesses. Dans les Hauts-de-France, ces exercices de gestion de crise ont d’ailleurs été identifiés comme prioritaires : même l’établissement le plus sécurisé peut avoir une faille, personne n’est invulnérable. Le seul moyen d’être prêt à faire face à un incident cyber, c’est de s’entraîner pour bien connaître son mode dégradé et identifier rapidement les différents leviers qui permettront d’arrêter l'hémorragie. Il est dommage que les établissements en viennent généralement à effectuer ces exercices après avoir subi une première attaque ou une tentative de piratage. Or, comme je le disais et le soulignerai encore, personne n’est à l’abri. Il faut s'entraîner régulièrement, pour maîtriser les procédures, mais aussi les mettre à jour et les compléter. Le système d'information d’un établissement de santé est en évolution perpétuelle. Les procédures doivent donc elles aussi évoluer pour rester pertinentes et permettre aux équipes de faire face efficacement à une situation de crise.
Article publié dans l'édition de février 2023 d'Hospitalia à lire ici.
Un nouveau programme « de préparation aux incidents cyber »
À la suite des nombreuses cyberattaques ayant spécifiquement ciblé les établissements de santé au cours de ces derniers mois, Gérald Darmanin, ministre de l'Intérieur et des Outre-mer, François Braun, ministre de la Santé et de la Prévention, et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont annoncé le 21 décembre le lancement d’un « vaste programme de préparation aux incidents cyber ». « L'objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d'ici mai 2023 », ont-ils indiqué dans un communiqué de presse commun. Annonçant la création d’une task force « associant l'ensemble des autorités compétentes », les ministres l’ont chargée de « bâtir d'ici mars 2023 un nouveau projet de plan cyber pluriannuel massif ». Un plan blanc numérique devrait également voir le jour dans les prochaines semaines « pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient ».
À la suite des nombreuses cyberattaques ayant spécifiquement ciblé les établissements de santé au cours de ces derniers mois, Gérald Darmanin, ministre de l'Intérieur et des Outre-mer, François Braun, ministre de la Santé et de la Prévention, et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont annoncé le 21 décembre le lancement d’un « vaste programme de préparation aux incidents cyber ». « L'objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d'ici mai 2023 », ont-ils indiqué dans un communiqué de presse commun. Annonçant la création d’une task force « associant l'ensemble des autorités compétentes », les ministres l’ont chargée de « bâtir d'ici mars 2023 un nouveau projet de plan cyber pluriannuel massif ». Un plan blanc numérique devrait également voir le jour dans les prochaines semaines « pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient ».
Envoyer à un ami
Version imprimable
Partager