À l’occasion de la journée cybersécurité de Cornouaille dont BDI est partenaire, nous avons rencontré Arnaud Meunier, RSSI de l’Union hospitalière de Cornouaille et organisateur de l’événement et Vincent Trély, président-fondateur de l’APSSIS. Chacun ont apporté leur point de vue sur les enjeux de la cybersécurité dans le secteur santé et notamment des établissements de santé.
Questions à Vincent Trély
Selon vous, quels sont les enjeux nationaux voire européens des questions de cybersécurité dans le domaine de la santé ?
Le système de santé français a entamé sa révolution numérique au début des années 2000, avec une informatisation massive de l’ensemble des processus médicaux et non médicaux. Gestion des ressources humaines, achats, finances, gestion technique des bâtiments, dossier patient informatisé, imagerie, biologie, urgences, réanimation, spécialités médicales sont autant de processus aujourd’hui supportés par des systèmes d’information spécialisés. Il en est de même au niveau européen, ou l’Espagne, le Royaume-Uni, l’Italie, l’Allemagne, la Suisse, l’Estonie, la Belgique, entre autres, ont suivi le même développement.
Ce développement du numérique dans le secteur de la santé est le premier facteur de l’émergence de l’insécurité. Tout est maintenant informatisé, dans une dynamique d’interconnexion et de communication entre les structures, les professionnels, voire les patients. La rapidité de cette révolution, dans un contexte économique contraint, où la sécurité n’était jusqu’alors pas toujours la priorité, a donné lieu à la construction de systèmes d’information complexes dont certains sont fragiles, parfois obsolètes. La santé est donc un terrain de jeu privilégié des pirates informatiques, car plus facile à attaquer que les secteurs des banques et des assurances, ou celui des technologies de pointe, plus mâtures et plus solides, même s’ils restent des cibles.
Il convient d’ajouter que les données de santé à caractère personnel sont intrinsèquement intéressantes ! Elles sont une manne financière pour les cyber pirates, qui peuvent bloquer leur accès et demander une rançon aux établissements contre la remise en service de leurs systèmes, mais aussi les faire chanter contre une diffusion sur Internet qui leur porterait préjudice, à eux et à leurs patients. Enfin, les données de santé se vendent très bien au marché noir, pour la qualité informationnelle de ce qu’elles contiennent (des identités, des numéros de sécurité sociale, des pathologies détaillées, des prescriptions médicamenteuses par exemple).
Les enjeux pour tout Etat dont le système de santé est numérisé sont donc les mêmes : assurer aux données de santé des citoyens la protection maximum pour des raisons de confidentialité, mais aussi d’intégrité et de disponibilité pour l’usage qui en fait par les professionnels de santé.
Quels moyens sont développés sur le territoire pour y répondre et comment cela se traduit dans les petits et les grands CHU ?
Depuis maintenant 8 ans, les établissements de santé sont progressivement soumis à des réglementations nationales et européennes les contraignant à assurer la sécurité des systèmes et des données. La Politique de sécurité de l’Etat français, décliné pour le Ministère des Solidarités et de la Santé, le Règlement Général sur la Protection des Données (RGPD), la directive NIS, l’émargement à des programmes de financement nationaux « sous conditions » en sont des exemples concrets. La sécurité numérique devient donc une priorité, à tel point que la Ministre Agnès Buzyn en avait fait une priorité nationale dès 2019 et que le Président Macron s’est lui-même saisi du sujet en février 2021, en annonçant une série de mesures réglementaires et un grand plan de financement associé. Cette prise de conscience politique est historique et contribue largement à mettre la sécurité au cœur de la gestion des risques en santé.
Chaque Groupement Hospitalier de Territoire (CHU et Hôpitaux généraux), mais aussi tous les grands Groupes privés, sont invités à nommer un Responsable de la Sécurité des Systèmes d’Information (RSSI) et à lui donner les moyens humains et financiers de pouvoir mettre en œuvre une Politique de sécurité des SI adaptée et suivie. Les Directeurs et Directrices des établissements sont sensibilisés à la cybersécurité, responsables de celle-ci et le rôle du RSSI est clairement en train de se renforcer. C’est un point positif pour lequel l’APSSIS milite depuis plus de 10 ans.
Quels sont les objectifs de l’Apssis ?
L’APSSIS (Association Pour la Sécurité des SI de Santé) a été fondée en 2010, avec pour objectifs de dynamiser la cyber sécurité en santé et de fédérer les RSSI et experts de l’écosystème. L’APSSIS regroupe aujourd’hui plus de 150 adhérents, hôpitaux publics et privés, structures médico-sociales, industriels et éditeur de la cyber sécurité en santé, et a pour rôle d’animer, de fédérer et de servir de relais avec les pouvoirs publics. Notre Congrès national de la SSI Santé, qui se tient au Mans chaque année, est le seul événement dédié au secteur de la santé et accueille 180 participants pour 3 jours de travail et 24 heures de conférences et débats, autour de nos thématiques, et en présence des acteurs institutionnels. L’APSSIS propose des formations, favorise des publications, propose des journées de sensibilisation pour les professionnels de santé, finance des étudiants qui souhaitent s’orienter vers la cyber en santé, crée des liens avec les structures européennes similaires, participe aux définitions des référentiels nationaux, et cette année, a organisé à Paris sa première journée SSI Santé, le 23 septembre, en présence de Directeurs Généraux de CHU et d’ESPIC, ce qui est rare et donc notable, mais aussi du Docteur Laurent Alexandre qui nous a offert sa vision de la cybersécurité du futur !
L’Apssis en chiffres
- Plus de 150 adhérents
- 10ème Congrès national en avril 2022
- 150 articles et interviews dans la presse nationale
- 4 guides thématiques publiés en 2021
- 60 formations délivrées
- 180 conférences délivrées
Questions à Arnaud Meunier
Journée cybersécurité de Cornouaille
Comment avez-vous été amené à organiser cette journée de sensibilisation ?
Le contexte de forte cyber insécurité associé à l’intervention du gouvernement ont concouru à la naissance de cette première édition de La Journée Cybersécurité de Cornouaille.
En effet, la fin de l’année 2020 et le début de l’année 2021 ont été marqués par une forte recrudescence des cyberattaques des établissements de santé. Les conséquences ne sont pas neutres puisqu’une cyberattaque peut aboutir à l’arrêt de la production des soins faute de la disponibilité de l’outil informatique. Les effets en cascade sont nombreux avec notamment une potentielle perte de chances pour les patients et un risque financier important pour l’établissement de santé.
A la suite des violentes cyberattaques des CH de Dax et Villefranche sur Saône de février 2021, le sujet est devenu médiatique. Le président de la république et le ministre de la santé se sont en effet emparés du sujet en fléchant un financement de 350 M€ du Ségur Usage Numérique vers la cybersécurité des établissements de santé et en relançant la campagne nationale « Tous cybervigilants ».
La mise en place d’une journée de sensibilisation des agents nous a donc paru cohérente avec le contexte et avec, qui plus est, l’édition et la communication d’une nouvelle charte informatique commune aux trois établissements publics de l’Union Hospitalière de Cornouaille.
À quelles problématiques cela répond et quels sont les objectifs ?
Selon le guide de l’ANSSI, « L’état de la menace rançongiciel », 90% des cyberattaques exploitent des comportements numériques à risque des utilisateurs (clic malencontreux sur un mél d’hameçonnage et utilisation de mots de passe faibles). Il paraissait donc logique de sensibiliser les agents afin de renforcer la résilience du système d’information.
Par ailleurs, la sensibilisation des utilisateurs fait partie des missions inhérentes au RSSI. Les programmes nationaux d’augmentation du niveau de maturité des systèmes d’informations hospitaliers comme HOP’EN insistent d’ailleurs particulièrement sur cette mission.
Que cherchez-vous à favoriser ? L’adhésion ? De meilleures pratiques de la part du personnel ?
Les finalités de cette journée de sensibilisation sont multiples :
- Embarquer les utilisateurs du système d’information dans la lutte contre les cyberattaques
La cybersécurité est l’affaire de tous. Chacun, dans ses usages numériques, peut contribuer à la réduction du risque numérique en mettant en place les 10 points clefs de la charte informatique. L’objectif est donc de faire en sorte que les utilisateurs deviennent progressivement des acteurs de la cybersécurité.
- Renforcer le volet cybersécurité chez les acteurs du système d’informations
Les acteurs du SI sont constitués des agents de la direction des systèmes d’informations et du numérique. Qu’ils administrent des solutions de sécurité (antivirus, sauvegardes, pare-feu, …) ou qu’ils mettent en production de nouvelles application, ces agents intègrent la sécurité informatique au quotidien dans leurs pratiques. Il paraissait intéressant de leur communiquer les règles qui régissent l’activité SSI (Politique de sécurité de l’Etat français, déclinée pour le Ministère des Solidarités et de la Santé, Règlement Général sur la Protection des Données (RGPD), directive NIS, la Politique Générale de Sécurité des Systèmes d’Informations de Santé, …).
- Renforcer la confiance des usagers du système de santé
En renforçant la sécurité des données de santé des patients et du système d’information, nous souhaitons développer la confiance des usagers dans l’offre de santé proposée par les établissements de santé de l’Union Hospitalière de Cornouaille.
Au quotidien
Que faites-vous au quotidien ? Quelle est votre journée type ?
Le cœur de l’activité du RSSI est l’exécution du plan d’action SSI (Sécurité du Système d’Informations). Ce plan d’action SSI découle des analyses des risques SSI réalisés suite à des audits des établissements. Ces audits se basent eux-mêmes sur les référentiels de sécurité SI (Instruction 309, Politique générale de sécurisation des SI de santé, …).
Le RSSI agit en tant que maitrise d’ouvrage SSI. Il anime et conduit les projets SSI qui sont opérationnellement réalisés par la maitrise d’œuvre SSI. La maitrise d’œuvre SSI est constituée des agents de la DSI. Le RSSI anime donc des comités sécurité avec les différents services de la DSI (production technique, production applicative, centre de services, équipe métiers, …) afin que la SSI soit prise en compte depuis le démarrage d’un projet SI jusqu’à son exploitation en passant par sa mise en production.
Comment votre travail est-il perçu par le reste du personnel ?
Pour les acteurs du SI, le respect des exigences de sécurité SI dans la conduite des projets représente souvent un surcroit de travail. Il convient donc d’adopter une attitude progressiste et pragmatique à leur égard afin que le réflexe SSI s’inscrive naturellement et progressivement dans leurs pratiques.
Pour les utilisateurs du SI, la SSI est souvent perçue comme une contrainte. Toutefois, il est important de signaler que certains projets SI, comme la mise en place d’une carte d’accès au SI, peut à la fois bénéficier à l’expérience utilisateur et à la SSI.
La perception globale est donc souvent une contrainte. Il appartient au RSSI de se faire l’ambassadeur de la SSI afin que cette sensation de contraintes soit transformée en une source de valeur perceptible tant pour les acteurs du SI, que pour les utilisateurs, l’organisation et les patients.
Quels sont les freins que vous rencontrez en interne ?
Les freins peuvent être de plusieurs ordres :
- Les utilisateurs peuvent se sentir éloignés voire pas concernés par la cybersécurité
- Les utilisateurs ne savent pas forcément comment faire pour réduire le risque numérique
- Les utilisateurs comme les acteurs du SI peuvent ne voir dans la SSI que des contraintes supplémentaires dans la réalisation de leurs tâches
- La probabilité de survenance du risque numérique peut parfois paraitre faible.
C’est une des finalités de cette Journée de Sensibilisation que de lever ces freins.
Est-ce que la mise en place de nouvelles normes de cybersécurité vient en premier ou est-il plus important d’avoir l’adhésion de l’ensemble des agents pour effectuer votre travail ?
Sans une communication, appuyée par la direction, sur les enjeux et les bénéfices de la SSI, les utilisateurs et acteurs du SI ne mesurent pas toujours l’intérêt d’investir de leur temps et de modifier leurs comportements numériques. Je suis donc d’avis que la cybersécurité doit d’abord être « achetée » par les utilisateurs et acteurs du SI avant d’être implémentée. Le RSSI a donc un rôle d’ambassadeur dans la « vente » de la SSI auprès de ces deux populations.
Comment avez-vous géré la « double crise » entre l’urgence médicale et l’augmentation des attaques cyber ? Y-a-t-il eu une perte d’adhésion ou d’intérêt de la part des agents ?
La crise sanitaire du COVID a eu plusieurs conséquences :
- Le développement des usages numériques métiers en distanciel (télé médecine : téléconsultation, téléexpertise, téléassistance médicale, …)
- L’essor du télétravail
- La recrudescence du recours aux solutions de conférences Web
La crise du COVID a imposé un degré d’urgence important. Or, la sécurité, d’une manière générale, pâtit de la notion d’urgence. Toutefois, cette situation sanitaire exceptionnelle et sans précédents, a permis de se poser les questions de sécurité informatique et d’y apporter des éléments de réponse opérationnels notamment en matière de sécurisation des connexions à distance au système d’information.
Aujourd’hui, diriez-vous que la crise covid a opéré une accélération de l’acceptation des agents ?
Certains agents se sont effectivement interrogés sur le niveau de sécurisation de leurs pratiques numériques. D’une certaine façon, la crise COVID a été à la fois un vecteur de sensibilisation à la cybersécurité mais surtout a contribué à faire progresser le fait que la réalisation d’un risque, même impensable, est toujours possible.
Que pense votre directeur général de ces enjeux ?
Les directions générales des établissements de santé ont bien pris la mesure de la forte élévation du risque numérique et les impacts désastreux qu’ils font peser sur la continuité des soins et la sécurité sanitaire des patients.
Ils se sont donc emparés du sujet en :
- Favorisant l’émergence de cette journée de sensibilisation à la cybersécurité
- Etoffant la communication de bulletins d’information cybersécurité à l’attention des agents
- Mettant en place un reporting régulier de notre niveau de cyberdéfense