Du fait du fort développement des usages numériques et de la sensibilité des données qu’il traite, le secteur de la santé est devenu, au fil des années, l’une des cibles principales des cyberattaquants. Selon l’ANS (Agence du Numérique en Santé), plus de 730 attaques ont été recensées sur l’année 2021 contre les acteurs de la santé, une tendance qui se renforce en 2022 et en 2023 avec des cyberattaques de plus en plus dévastatrices et de plus en plus médiatisées. Les enjeux concernant les établissements de santé sont conséquents pour leur propre fonctionnement mais aussi pour celui de la nation et de la santé de sa population. C’est pourquoi ces derniers sont désignés « opérateurs d’importance vitale » (OIV). À compter de leur désignation comme OIV, les établissements de santé sont soumis au cadre réglementaire des lois de programmation militaire, avec des critères de sécurité informatique plus élevés que ceux incombant aux établissements désignés « opérateurs de service essentiels » (OSE).
Si des groupes d’attaquants affirmaient par le passé, dans leur « charte éthique », que jamais ils ne frapperaient d’établissements de santé, cette règle est réellement passée à la trappe : « Il est interdit de mettre en jeu la vie des patients, mais parfaitement autorisé de voler les données d’un hôpital. » précise Lockbit, l’un des groupes les plus actifs du secteur du rançongiciel
Face à l’accroissement de ces cyberattaques et à leur dimension critique, le ministère de la Santé et de la Prévention a transmis une note d’information aux directeurs des ARS (Agences régionales de santé) portant sur l’obligation des établissements de santé de réaliser un exercice de gestion de crise avant la fin de l’année 2023.
Préparer les établissements de santé aux cyberattaques et renforcer leur cyber résilience
Afin de renforcer davantage la préparation des établissements de santé et de leur permettre de répondre aux obligations annoncées par le gouvernement, l’ANS (Agence nationale du numérique en santé) et les ARS (Agences Régionales de Santé) ont décidé l’allocation d’une subvention forfaitaire aux structures qui réalisent un exercice de gestion de crise cyber. Celle-ci permettra de couvrir une partie du coût de l’accompagnement du prestataire expert en gestion de crise cyber.
L’ANS a également construit des kits d’exercice de gestion de crise cyber pour faciliter l’organisation d’exercices au sein des structures de santé. La réalisation de ces exercices est l’une des actions prioritaires du plan de renforcement cyber du ministère de la Santé et de la Prévention. Ainsi, les structures pourront envisager une réalisation autonome des exercices ou opter pour une réalisation assistée par un prestataire externe. Ces kits, prêts à l’emploi, ont pour vocation de permettre à une structure de santé de s’entraîner à la gestion de crise cyber en conditions réelles pour s’approprier les bons réflexes, renforcer sa cyber résilience et assurer au mieux la continuité d’activité.
Pour s’adapter aux différents niveaux de maturité des établissements de santé, ces kits se déclinent en trois niveaux :
- Kit débutant : pour découvrir la gestion de crise cyber
- Kit intermédiaire : pour travailler la coordination entre deux cellules et affiner le plan de gestion de crise
- Kit avancé : pour ancrer les réflexes et monter en compétences
En partenariat avec LEXFO (Prestataire de réponse à incidents de sécurité, certifié PRIS par l’ANSSI), Alcyconie a été sélectionné avec trois autres groupements de prestataires par le GCS e-santé Bretagne afin de proposer son expertise aux établissements de santé et aux établissements médico-sociaux de la région à des fins de prestations de préparation et d’entraînement à la gestion de crise d’origine cyber. Fortes d’un partenariat de longue date, nos équipes et celles de LEXFO ont aujourd’hui développé des synergies efficaces et partagent une approche commune de l’accompagnement en crise cyber.
Souvent associé aux impératifs d’efficacité et d’urgence, le domaine de la santé et du médico-social est une cible facile pour les cybercriminels. C’est pourquoi l’ensemble du secteur cherche à fluidifier son fonctionnement, afin de simplifier le quotidien des soignants et des patients. C’est dans ce contexte que s’est développée la transformation digitale de ces établissements, et donc la digitalisation de leurs flux d’informations.
Les données médicales sont une matière lucrative et leur valeur augmente depuis plusieurs années. Les établissements hospitaliers stockent de grandes quantités de données sensibles et ont besoin de pouvoir accéder à leurs systèmes en permanence.
L’expertise d’Alcyconie est fondée sur le truchement du conseil en gestion de crise et de plateformes dédiées à l’anticipation et au management des crises cyber. Elle va permettre aux équipes des établissements de santé de se former et de s’organiser pour répondre aux situations complexes, sensibles, ou de crise et d’améliorer leurs capacités d’anticipation et de résilience face aux attaques cyber.
Placer la gestion de crise au cœur de la stratégie de cyber résilience des établissements de santé
Se préparer à faire face à une crise cyber
Dans un contexte d’augmentation croissante des cyberattaques visant notamment les établissements de santé, il est primordial pour eux de faire preuve de résilience, et de se préparer à faire face à une crise cyber. Alcyconie agit et accompagne les organisations du secteur de la santé sur toutes les étapes de la crise : avant, pendant et après.
Afin de faire face à ce type d’évènements impactant le fonctionnement d’un établissement de santé, il convient de mettre en place un ensemble de procédures et de plans : dispositif de crise, plan de continuité d’activité (PCA) et plan de reprise d’activité (PRA). Ces éléments doivent être adaptés à un maximum de scénarios possibles et réalistes. Alcyconie propose des formations et des solutions en adéquation avec les crises auxquelles les établissements de santé sont confrontées, en fonction de leur environnement et de leurs besoins.
Se former à la gestion de crise cyber
Une fois les procédures définies et rédigées, le meilleur moyen pour que ces documents n’amassent pas la poussière est de les mettre en application lors d’un exercice de gestion de crise cyber. Plonger les membres de la cellule de crise dans une simulation de crise cyber est l’occasion de tester et éprouver les dispositifs existants et de confirmer leur adéquation à l’établissement. Lors d’une crise réelle, l’attribution des rôles, la répartition des responsabilités, l’élaboration d’une communication de crise pertinente et transparente ainsi que l’acquisition de certains réflexes pourront s’avérer décisifs. Alcyconie se positionne comme acteur au service de la santé en proposant d’animer les kits ANS et renforcer leur cyber résilience.
Pour les établissements se considérant comme suffisamment « mature », ayant déjà participé à un exercice de gestion de crise cyber et souhaitant atteindre le niveau supérieur, nous proposons des exercices sur-mesure visant à diversifier les dimensions métiers. Notre plateforme PIA® offre la possibilité de s’immerger complètement dans un scénario au plus proche de la réalité dans une logique de montée en compétence croissante. PIA® est un véritable terrain de jeu sécurisé, réunissant toutes les dimensions d’une crise cyber : pression médiatique, pression interne, prise en compte des impacts métiers, organisationnels et financiers, etc.
La gestion de crise de cyber à chaud
Alcyconie a développé une méthode d’accompagnement sur-mesure, structurée autour de plusieurs axes clés, au plus près des enjeux des acteurs du secteur de la santé. Que ce soit avant, pendant ou après la crise, l’équipe d’Alcyconie est également en capacité de vous accompagner et de vous conseiller pendant un incident de sécurité avec son offre d’astreinte 24/7. Notre mission ? Nous tenir à vos côtés pour vous épauler dans la construction de votre réponse opérationnelle, la définition de votre stratégie de communication de crise et renforcer votre cellule de crise (PMO, pilotage, éléments de langage…).