Hubert Fabris, RSSI du GIP e-Santé Centre-Val-de-Loire. ©DR
Cela fait un peu plus de deux ans que vous êtes à la fois RSSI et DPO au GIP e-Santé Centre-Val de Loire. Quelles sont vos missions au quotidien ?
Hubert Fabris : Mes champs d’action au sein de ce GRADeS se divisent en plusieurs volets avec, en premier lieu, l’intégration des exigences de sécurisation du SI et la mise en conformité RGPD des services numériques régionaux, par exemple TELIS pour la télésanté, SPHERE pour le programme e-Parcours, ou encore le Dossier Communiquant de Cancérologie. J’interviens également dès la conception des projets pour la prévention des cyberrisques.
Quelles sont vos autres missions ?
Avec l’appui de Stéphane Lacombe, référent régional SSI/RGPD, le deuxième volet de mes actions est résolument tourné vers l’animation d’un réseau régional. Nous avons créé, en lien avec l’ARS, une communauté des référents SSI et de la protection des données qui s’est révélée très active. Couvrant le secteur sanitaire et médico-social, nous avons déjà organisé cinq rencontres, réunissant en moyenne près de soixante-dix participants. C’est donc un outil très précieux, qui offre un espace de partage d’informations utiles à la mise en œuvre d’une action coordonnée en matière de cybersécurité. En parallèle, nous avons ouvert, en 2020, un espace collaboratif numérique, pour s’informer, se documenter et échanger sur des sujets identifiés…
Plusieurs actions ont été mises en place en 2020 lors de la crise sanitaire par le GIP e-Santé Centre-Val de Loire. Quel a été, à cette période, votre rôle exact ?
Dès le début de la crise, toute l’équipe s’est mobilisée pour continuer de soutenir les établissements, en effectuant une veille sur les cyberrisques mais aussi en mettant au point des outils pour la production des soins. Nous avons, par exemple, développé une communauté régionale d’accès aux antériorités en imagerie, mis à disposition une plateforme e-Parcours simplifiée pour les professionnels de la coordination de proximité et déployé une plateforme de téléconsultation et de télésuivi des patients Covid. Cette solution a d’ailleurs été adaptée au suivi des cas contacts. Tous ces outils ont pu être mis en place rapidement grâce à l’évolution de la réglementation. Nous avons travaillé avec les professionnels et leurs structures afin de garantir la protection des données personnelles et le respect des normes cyber, même dans le cadre de ces solutions d’urgence.
Avez-vous assisté à une augmentation de la cybercriminalité ?
Fin 2020 et durant le premier trimestre 2021, le taux de signalements d’incidents a été particulièrement important. Plusieurs établissements en ont été victimes et ont pu bénéficier de notre soutien et de celui de l’ARS. À chaque fois, nous avons fait le point avec leurs équipes sur les différentes actions reflexes mais aussi, le cas échéant, avec leurs prestataires. En parallèle, nous avons fait le lien avec le CERT Santé, la cellule nationale chargée de la cybersécurité des établissements de soins. Cet accompagnement n’est pas obligatoire et dépend de la volonté et de la capacité propre des établissements. Nous insistons néanmoins sur l’obligation de déclarer les incidents sur le portail national, y compris pour les structures médico-sociales.
Quels conseils donneriez-vous aux établissements de santé pour se prémunir contre les cyberrisques ?
L’identification des vulnérabilités, via des scans ou des tests d’intrusion, reste l’un des principaux axes de prévention cyber, pour détecter toutes les faiblesses qui peuvent être exploitées pour s’immiscer dans le SI. Il est nécessaire de prendre en compte les correctifs de sécurité. La sécurisation des accès à distance par la mise en œuvre de l’authentification forte est également une action clé. En cas d’incident, les sauvegardes des systèmes et des données avec une copie déconnectée permettent de faire face et de limiter les impacts sur l’activité. L’une des portes d’entrée est d’ailleurs, encore trop souvent, l’humain. La sensibilisation des professionnels occupe donc ici une place centrale.
Le GIP e-Santé Centre-Val de Loire développe justement des outils de formation et de sensibilisation…
Effectivement, afin d’accompagner les établissements, nous lançons une plateforme régionale de sensibilisation dès septembre 2021. Elle s’articulera autour de différents modules, dont l’apprentissage de la sécurité des systèmes d’information ou encore la réalisation de tests de phishing. Ces derniers, qui consistent en l’envoi de mails frauduleux fictifs avec des liens cliquables, sont toujours intéressants. Nous avions, par exemple, réalisé en 2020 et 2021 deux campagnes auprès d’établissements volontaires. Sur les 312 destinataires, seize ont cliqué sur les liens et six ont même renseigné un formulaire avec leurs données personnelles. Nous avons ainsi donc pu sensibiliser ces personnes, mais aussi nous appuyer sur ces chiffres pour alerter sur la nécessité d’une vigilance constante. En fin de compte, il y avait ici seize portes d’entrées potentielles pour des actes malveillants… Par ailleurs nous sommes en cours de déploiement d’un outil pour la réalisation de scans de vulnérabilités qui sera ouvert aux acteurs régionaux. Une solution de pilotage de la conformité au RGPD sera également déployée dans les prochaines semaines.
Le Plan de renforcement de la cybersécurité des établissements de santé 2021 vient d’être adopté. Quel impact aura-t-il sur votre accompagnement ?
Il contribuera à renforcer et à formaliser davantage les actions engagées en commun avec notre directeur, Vincent Marcé, et l’ARS. Avec ces textes, qui détaillent clairement les missions de chacun, nous passons à un niveau d’exigences supérieur. En ce qui concerne les principaux points relatifs aux GRADeS, soit la sensibilisation des acteurs de santé, l’animation territoriale et la réponse à incident, il est certain que nos initiatives déjà déployées, tel le réseau régional, seront des atouts indéniables. Complétés par un état des lieux de la maturité cyber des structures, ils serviront de base à la mise en œuvre de ce plan ambitieux en Centre-Val de Loire. La création d’un centre de ressources est également prévue. Véritable espace partagé pour la mise en commun des moyens et compétences, ce dernier se matérialisera prochainement par la constitution d’une équipe régionale de cybersécurité associant toutes les compétences. Cela contribuera à muscler encore la capacité cyber des établissements sanitaires et médico-sociaux du Centre-Val de Loire.
Article publié dans l'édition de septembre 2021 d'Hospitalia à lire ici.
À lire aussi l'interview de Tania Mac-Luckie, Responsable junior de la Sécurité des Systèmes d’Information (RSSI) pour le GRADeS d’Île-de-France.
Hubert Fabris : Mes champs d’action au sein de ce GRADeS se divisent en plusieurs volets avec, en premier lieu, l’intégration des exigences de sécurisation du SI et la mise en conformité RGPD des services numériques régionaux, par exemple TELIS pour la télésanté, SPHERE pour le programme e-Parcours, ou encore le Dossier Communiquant de Cancérologie. J’interviens également dès la conception des projets pour la prévention des cyberrisques.
Quelles sont vos autres missions ?
Avec l’appui de Stéphane Lacombe, référent régional SSI/RGPD, le deuxième volet de mes actions est résolument tourné vers l’animation d’un réseau régional. Nous avons créé, en lien avec l’ARS, une communauté des référents SSI et de la protection des données qui s’est révélée très active. Couvrant le secteur sanitaire et médico-social, nous avons déjà organisé cinq rencontres, réunissant en moyenne près de soixante-dix participants. C’est donc un outil très précieux, qui offre un espace de partage d’informations utiles à la mise en œuvre d’une action coordonnée en matière de cybersécurité. En parallèle, nous avons ouvert, en 2020, un espace collaboratif numérique, pour s’informer, se documenter et échanger sur des sujets identifiés…
Plusieurs actions ont été mises en place en 2020 lors de la crise sanitaire par le GIP e-Santé Centre-Val de Loire. Quel a été, à cette période, votre rôle exact ?
Dès le début de la crise, toute l’équipe s’est mobilisée pour continuer de soutenir les établissements, en effectuant une veille sur les cyberrisques mais aussi en mettant au point des outils pour la production des soins. Nous avons, par exemple, développé une communauté régionale d’accès aux antériorités en imagerie, mis à disposition une plateforme e-Parcours simplifiée pour les professionnels de la coordination de proximité et déployé une plateforme de téléconsultation et de télésuivi des patients Covid. Cette solution a d’ailleurs été adaptée au suivi des cas contacts. Tous ces outils ont pu être mis en place rapidement grâce à l’évolution de la réglementation. Nous avons travaillé avec les professionnels et leurs structures afin de garantir la protection des données personnelles et le respect des normes cyber, même dans le cadre de ces solutions d’urgence.
Avez-vous assisté à une augmentation de la cybercriminalité ?
Fin 2020 et durant le premier trimestre 2021, le taux de signalements d’incidents a été particulièrement important. Plusieurs établissements en ont été victimes et ont pu bénéficier de notre soutien et de celui de l’ARS. À chaque fois, nous avons fait le point avec leurs équipes sur les différentes actions reflexes mais aussi, le cas échéant, avec leurs prestataires. En parallèle, nous avons fait le lien avec le CERT Santé, la cellule nationale chargée de la cybersécurité des établissements de soins. Cet accompagnement n’est pas obligatoire et dépend de la volonté et de la capacité propre des établissements. Nous insistons néanmoins sur l’obligation de déclarer les incidents sur le portail national, y compris pour les structures médico-sociales.
Quels conseils donneriez-vous aux établissements de santé pour se prémunir contre les cyberrisques ?
L’identification des vulnérabilités, via des scans ou des tests d’intrusion, reste l’un des principaux axes de prévention cyber, pour détecter toutes les faiblesses qui peuvent être exploitées pour s’immiscer dans le SI. Il est nécessaire de prendre en compte les correctifs de sécurité. La sécurisation des accès à distance par la mise en œuvre de l’authentification forte est également une action clé. En cas d’incident, les sauvegardes des systèmes et des données avec une copie déconnectée permettent de faire face et de limiter les impacts sur l’activité. L’une des portes d’entrée est d’ailleurs, encore trop souvent, l’humain. La sensibilisation des professionnels occupe donc ici une place centrale.
Le GIP e-Santé Centre-Val de Loire développe justement des outils de formation et de sensibilisation…
Effectivement, afin d’accompagner les établissements, nous lançons une plateforme régionale de sensibilisation dès septembre 2021. Elle s’articulera autour de différents modules, dont l’apprentissage de la sécurité des systèmes d’information ou encore la réalisation de tests de phishing. Ces derniers, qui consistent en l’envoi de mails frauduleux fictifs avec des liens cliquables, sont toujours intéressants. Nous avions, par exemple, réalisé en 2020 et 2021 deux campagnes auprès d’établissements volontaires. Sur les 312 destinataires, seize ont cliqué sur les liens et six ont même renseigné un formulaire avec leurs données personnelles. Nous avons ainsi donc pu sensibiliser ces personnes, mais aussi nous appuyer sur ces chiffres pour alerter sur la nécessité d’une vigilance constante. En fin de compte, il y avait ici seize portes d’entrées potentielles pour des actes malveillants… Par ailleurs nous sommes en cours de déploiement d’un outil pour la réalisation de scans de vulnérabilités qui sera ouvert aux acteurs régionaux. Une solution de pilotage de la conformité au RGPD sera également déployée dans les prochaines semaines.
Le Plan de renforcement de la cybersécurité des établissements de santé 2021 vient d’être adopté. Quel impact aura-t-il sur votre accompagnement ?
Il contribuera à renforcer et à formaliser davantage les actions engagées en commun avec notre directeur, Vincent Marcé, et l’ARS. Avec ces textes, qui détaillent clairement les missions de chacun, nous passons à un niveau d’exigences supérieur. En ce qui concerne les principaux points relatifs aux GRADeS, soit la sensibilisation des acteurs de santé, l’animation territoriale et la réponse à incident, il est certain que nos initiatives déjà déployées, tel le réseau régional, seront des atouts indéniables. Complétés par un état des lieux de la maturité cyber des structures, ils serviront de base à la mise en œuvre de ce plan ambitieux en Centre-Val de Loire. La création d’un centre de ressources est également prévue. Véritable espace partagé pour la mise en commun des moyens et compétences, ce dernier se matérialisera prochainement par la constitution d’une équipe régionale de cybersécurité associant toutes les compétences. Cela contribuera à muscler encore la capacité cyber des établissements sanitaires et médico-sociaux du Centre-Val de Loire.
Article publié dans l'édition de septembre 2021 d'Hospitalia à lire ici.
À lire aussi l'interview de Tania Mac-Luckie, Responsable junior de la Sécurité des Systèmes d’Information (RSSI) pour le GRADeS d’Île-de-France.
Envoyer à un ami
Version imprimable
Partager