Le secteur de la santé est activement ciblé par des cyberattaques, du fait de la sensibilité des données traitées, de parcs informatiques vieillissants du fait de la longévité de certains appareils, d’un manque de moyen notable ainsi que de l’impact humain fort que représente une paralysie de ses systèmes.
Depuis sa création, le cabinet Alcyconie accompagne CHU, hôpitaux, cliniques privées, ou encore éditeurs de logiciels de santé à faire face aux risques cyber.
UNE EXPOSITION CROISSANTE DU SECTEUR DE LA SANTE AUX RISQUES CYBER
Le secteur de la santé est parmi les plus visés par les cyberattaques, en particulier de type rançongiciels. Ces attaques rendent inaccessibles tout ou partie des données. L’objectif des hackers étant de demander une rançon contre la clef de déchiffrement. Ces attaques s’accompagnent souvent de vol et fuite de données pour pousser l’établissement victime à payer la rançon demandée ou pour revendre ces données de santé à prix d’or à d’autres cybercriminels. Par ailleurs, un impact récurrent des rançongiciels est très souvent l’arrêt ou la forte dégradation des activités. En effet, éteindre le système d’information pour éviter la propagation d’une attaque n’est pas anodin pour un établissement de santé, où tout est informatisé : les admissions, les prescriptions, les analyses, les comptes rendus…
L’année 2021 a été marquée par un grand nombre d’attaques médiatisées contre des établissements de santé. En septembre 2021, l’APHP (Assistance Publique – Hôpitaux de Paris) était victime du vol de données de 1.4 millions de patients, parmi lesquelles : « l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées », ainsi que « l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé ». En plein mois d’août 2021, la région de Rome s’est trouvée contrainte d’interrompre sa campagne vaccinale à cause d’une cyberattaque “très puissante et invasive” ayant entièrement paralysé ses services. Dans le même temps, en France, l’hôpital d’Arles était aux prises avec un rançongiciel rendant illisibles les dossiers des patients et obligeant leurs équipes soignantes à “reprendre le papier et le crayon” et à reporter beaucoup d’interventions planifiées. Quelques mois plus tôt, en mai, le ministère de la santé irlandais avait été visé par un rançongiciel paralysant totalement le service public de santé pendant plusieurs jours. Tout au long du mois d’avril, les laboratoires Pierre FABRE étaient aux prises avec un rançongiciel ayant occasionné l’arrêt total de sa chaîne de production et la reconstruction de son système d’information.
Ces attaques entrainent un risque pour les activités puisqu’elles peuvent paralyser totalement les systèmes d’information. Le risque porte également sur les données de santé. Celles-ci peuvent être inaccessibles temporairement ou définitivement, mais aussi corrompues avec un risque direct pour le traitement des patients. Enfin, elles sont couramment revendues à prix d’or (environ 250 euros l’unité) pour être utilisées à des fins frauduleuses : usurpation d’identité, extorsion…
Ainsi, dans le secteur de la santé, le risque cyber devient rapidement un risque humain pour :
- les patients : perte des dossiers et de l’historique des prescriptions, actes malveillants tels que l’échange de prescription ou la modification des instructions en chirurgie, inaccessibilité des services, ralentissement du parcours de soin, tentatives d’extorsion (ex: en 2020, la société Finlandaise Vastaamo avait subi un piratage de milliers de données de patients en psychothérapie – les cybercriminels avaient contacté directement les patients pour exiger une rançon sous peine de voir des informations sur leur état psychologique divulguées).
- les soignants : dégradation des conditions et outils de travail, retour au “tout papier”, manque d’informations sur la patientèle, culpabilité face à des drames humains…
- la cellule de crise : difficultés à faire face à une crise à forte technicité, mise sous pression sur une période longue, les cybercrises s’étendant souvent sur plusieurs semaines, nécessité vitale d’assurer le maintien d’une activité en mode dégradée et d’effectuer des arbitrages humainement complexes, obligation de se conformer aux obligations règlementaires de notification et plus globalement à construire une stratégie de communication sensible vis-à-vis de publics multiples.
Outre les impacts humains, une cyberattaque entraîne également des lourdes conséquences financières : pertes liées à l’arrêt ou au ralentissement de l’activité, frais d’investigation et de reconstruction des données, frais d’accompagnement juridique pour faire face aux obligations règlementaires de notification, aux enquêtes administratives ou encore aux réclamations de tiers.
LA DEMARCHE D’ACCOMPAGNEMENT D’ALCYCONIE VIS-A-VIS DU SECTEUR SANTE
Le cabinet Alcyconie se distingue par son positionnement unique, à la croisée de la gestion de crise et de la cybersécurité et a su gagner sa place dans un marché dynamique et en pleine évolution. Que ce soit avant, pendant ou après la crise, l’équipe Alcyconie est aux côtés de ses clients du secteur santé lorsque les enjeux exigent des solutions stratégiques et opérationnelles, pour répondre à des situations complexes, sensibles ou de crise.
Alcyconie a développé une méthode d’accompagnement sur mesure, structurée autour de plusieurs axes clés, au plus près des enjeux des acteurs du secteur de la santé.
1. Se préparer à piloter une crise d’origine numérique ou cyber, dans toutes ses dimensions
En amont des crises, le cabinet Alcyconie intervient pour préparer les acteurs du secteur de la santé à se protéger et se préparer à faire face aux risques cyber et numériques. Le cabinet est particulièrement reconnu sur les axes suivants :
- sensibiliser les équipes opérationnelles aux bonnes pratiques d’hygiène informatique et former les cellules décisionnelles à la gestion des crises cyber et numériques dans leurs spécificités ;
- accompagner les fonctions ayant des rôles spécifiques à jouer lors d’une cyberattaque (juristes, communicants) à s’y préparer au mieux pour trouver leur place en cellule de crise le jour J et répondre efficacement à la situation (notifications aux autorités, mise en place d’une veille, réponse aux sollicitations et réclamations multiples…) ;
- s’organiser pour faire face aux cyberattaques : identification des rôles et responsabilités, mise en place de procédures d’alertes, de mobilisation, de gestion de crise et de continuité des activités ;
- s’outiller pour permettre les communications et prises de décision en toute confidentialité dans un environnement informatique dégradé ou inopérant ;
- entraîner la cellule de crise à réagir face aux cyberattaques, grâce à des exercices immersifs permettant une mise sous pression des décideurs, qui acquièrent ainsi des réflexes salvateurs en cas de crise future. Nos scénarios sont conçus sur mesure et permettent d’éprouver les procédures en place dans des conditions quasi réelles. Alcyconie a développé la plateforme immersive PIA® qui est mise à disposition des joueurs le jour de l’exercice, ils peuvent ainsi s’entraîner dans une “bulle” fermée et sécurisée où ils interagissent uniquement avec les consultants du cabinet avec un réalisme accru ;
- entraîner les équipes communication à identifier les informations clefs et élaborer des messages pertinents.
La plateforme immersive PIA® dispose de fonctionnalités dédiées aux équipes communication. Les onglets médias et réseaux sociaux sont alimentés au fil de l’exercice par nos consultants, afin de permettre un travail de veille (identification des informations critiques à transmettre à la cellule de crise, qualification de la criticité des informations…) et d’interaction sur les réseaux sociaux.
2. Etre guidé et épaulé pour piloter avec justesse en situation dégradée
Face à une cyberattaque détectée ou suspectée, Alcyconie est en mesure d’accompagner les acteurs de la santé grâce à un dispositif d’astreinte 24/7.
Les consultants Alcyconie se rendent disponibles, à distance ou en présentiel, pour :
- renforcer votre cellule de crise : appui méthodologique, soutien opérationnel, apport d’une expertise extérieure, prise en compte des risques dans la stratégie déployée ;
- vous épauler dans la construction de votre réponse opérationnelle ;
- définir à vos côtés votre stratégie de communication de crise en l’articulant avec cohérence entre les nombreuses parties prenantes impliquées (patients, journalistes, autorités, partenaires et autres acteurs du secteur de la santé, fournisseurs…), avec le bon niveau de vulgarisation.
- apporter un soutien opérationnel aux équipes de communication de crise (rédaction des éléments de langage, communiqués de presse, tweets, Q&A…) et aux équipes juridiques.
3. Travailler la sortie de crise au plus près des équipes
Alcyconie accompagne également les acteurs de la santé dans la période d’après-crise, en les guidant notamment sur les différents aspects qu’impliquent :
- la reprise progressive de leurs activités ;
- l’animation d’un retour d’expérience sur la cyberattaque, avec un double objectif : consolider le dispositif de crise existant et identifier les actions nécessaires pour éviter la résurgence de la crise.
- l’accompagnement psychologique des victimes, des collaborateurs et des organisations impactées, afin de comprendre, décrypter, accepter ce qui s’est passé mais également accompagner les équipes dans la “fin” de la crise et le retour à la normale des activités. Soutenue par un ensemble d’experts, de coachs et de partenaires extérieurs, Alcyconie s’adapte à la situation des établissements qu’elle accompagne et développe des solutions sur mesure.
Vous êtes RSSI dans le secteur de la santé et souhaitez entraîner vos équipes ? Vous êtes responsable formation et envisagez d’organiser des formations et sensibilisation au risque cyber ou des formations gestion de crise dédiées au secteur santé ? Contactez Fanny à formations@alcyconie.com
