L’agence régional de santé des Hauts-de-France profite de l’ouverture du Forum International de la Cybersécurité le 7 juin prochain pour mobiliser tout l’écosystème de la santé autour de ses enjeux majeurs de cybersécurité. Une première.

Face à l’augmentation de la menace cyber sur le secteur de la santé, les agences régionales de santé (ARS) se mobilisent pour mettre en œuvre le plan national de renforcement de la cybersécurité en santé. Dans les Hauts-de-France, terre d’accueil du célèbre Forum International de la Cybersécurité (du 7 au 9 juin prochain), l’occasion est belle de réunir tous les acteurs de l’écosystème pour créer une émulation collective, lors du premier forum régional sur la cybersécurité en santé. Celui-ci se tiendra le 7 juin prochain en parallèle de l’évènement phare. Patricia Marle, RSSI de l’ARS des Hauts de France, répond à nos questions sur cette initiative.

Pourquoi organiser cette journée entière pour les acteurs régionaux de santé, à l’occasion du Forum International de la Cybersécurité à Lille ?

Dans le cadre du plan national de renforcement de la cybersécurité en santé, lancé en juillet 2021 par le ministère des solidarités et de la santé, Les ARS doivent dorénavant organiser chaque année un forum régional sur la cybersécurité en santé. Dans les Hauts-de-France, l’ARS en collaboration avec le GRADeS Sant&Numérique[1] organisent le Premier Forum Régional de la Cybersécurité de la Santé, en partenariat avec le Forum International de la Cybersécurité (FIC). Cet événement français de référence offre au monde de la « cybersanté » un rayonnement national voire international.

A lire aussi : [Chronique] Vol de données de l’Assurance-maladie : quand 510 000 usagers payent la négligence d’un artisan-développeur

Nous avons plusieurs objectifs, notamment faire prendre conscience des enjeux de cybersécurité. Ceux-ci concernent directement la protection des patients ! En 2021, 5 incidents ont entrainé une mise en danger réel de patient et 75 mises en danger potentielles de patients[2]. La protection des dispositifs biomédicaux est aussi essentielle. Qu’il soit dans la chambre du patient à l’hôpital, dans le service d’imagerie ou à l’intérieur de la poitrine d’un patient, tout dispositif médical peut être piraté. En cas de défaillance, le patient est en danger et les conséquences peuvent être très lourdes, comme par exemple, un diagnostic faussé ou impossible, une surexposition à des radiations, ou le report d’une prise en charge. La protection des données de santé, la continuité d’activité et des prises en charge, les impacts juridiques complètent la liste des enjeux de lutte contre les cyberattaques. L’origine des incidents n’est pas toujours liée à des actes malveillants. Ils peuvent être parfois être la conséquence de sinistres majeurs rencontrés par des hébergeurs ou offreurs de solutions, à des pertes du lien télécom ou encore à des bugs applicatifs.

Par ailleurs, il convient de rappeler qu’en cas de manquement à leurs obligations, la responsabilité juridique et pénale des dirigeants peut potentiellement être engagée. N’oublions pas non plus que la cybersécurité est la condition du maintien de la confiance des usagers dans nos systèmes d’information de santé.

 

Concrètement, de quel accompagnement peuvent bénéficier les acteurs de la santé aujourd’hui ?

A l’occasion de l’évènement, nous allons rappeler l’ensemble des dispositifs et mesures d’accompagnement, notamment financier, et les offres de services nationales et régionales au travers des témoignages de nos intervenants. Au niveau national, cela passe par l’action de l’Agence Nationale de Santé (ANS), du CERT-Santé et du Fonctionnaire de Sécurité des Systèmes d’Information des ministères sociaux (FSSI), (poste aujourd’hui occupé par Jean-François Parguet ndlr). Au niveau régional, par celle des collaborateurs de l’Agence, des partenaires du sanitaire, du médico-social, des représentants des libéraux, qui participent activement à la déclinaison du plan régional de cybersécurité et au relai des informations, auprès des acteurs de santé régionaux.

Enfin, nous aurons aussi des personnalités éminentes, qui interviendront, comme le colonel Emmanuel Naëgelen, directeur général adjoint de l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui ouvrira cet événement. Au regard des tensions internationales notamment liées à crise russo-ukrainienne, il nous a paru important qu’un point soit fait sur le contexte géopolitique. Stéphane Duguin, directeur exécutif du Cyber Peace Institute évoquera en particulier ce sujet. Des retour d’expériences de cyberattaques d’envergure, de techniques d’investigations et d’initiatives régionales contribueront eux aussi à enrichir les débats.

Qui est concerné par le plan de renforcement de la cybersécurité en santé ?

Tous les acteurs de la santé ! Comme l’a indiqué l’Anssi : « la sécurité du numérique est l’affaire de tous : Dirigeants, responsables informatiques, employés : chacun est responsable de ses usages et a un rôle à jouer face à la multiplication des menaces et au développement croissant du numérique… Aujourd’hui, la cybersécurité n’est plus une option. Elle est la condition de la confiance et gage de réussite de la transition numérique ».

Au travers de l’organisation du Premier Forum régional cybersanté, l’Agence s’inscrit dans cette trajectoire. L’enjeu stratégique de cet événement est d’encourager la mobilisation de tout l’écosystème de la santé, pour construire ensemble la cyber-résilience de la santé, qui est une approche de la cybersécurité englobant la continuité des activités et de la prise en charge des patients. Il a, non seulement, vocation à encourager les acteurs à mieux protéger leur outil de travail numérique et les données de santé qu’ils utilisent, leur donner les bons réflexes en matière d’hygiène numérique, diffuser les bonnes pratiques et partager les connaissances et expériences. Il vise aussi et surtout à contribuer à la prise de conscience du rôle, à la fois individuel et collectif, de tous les professionnels de santé en matière de cyber vigilance et à s’organiser collectivement en cas d’attaques ou de sinistres, de façon à garantir la continuité de l’activité et des soins.

Par ailleurs, le plan s’appuie sur une approche systémique qui doit garantir de ne laisser aucun acteur de santé éloigné des préoccupations de cybersécurité, notamment faute de moyen ou d’accompagnement. Á la lumière de ces enjeux stratégiques, les institutions nationales et régionales se sont mobilisées pour accompagner dans la durée les acteurs de santé, tous secteurs confondus : sanitaire, médico-social, publics, privés, et libéral.

Que faut-il retenir pour vous comme messages forts, en amont de cet évènement ?

Pour ne pas tout dévoiler, je n’en évoquerai que trois. D’abord : marquer les esprits, pour que les acteurs de santé aient conscience des impacts potentiellement graves des cyberattaques notamment sur la prise en charge des patients. Ensuite : une mobilisation des institutions nationales et régionales pour accompagner l’évolution de l’écosystème de santé en matière de cybersécurité (faire évoluer les acteurs et les infrastructures). Au travers d’actions de sensibilisation, qui ont vocation à contribuer à augmenter leur niveau de maturité en SSI, de la mise en place d’une animation territoriale, visant notamment à favoriser le partage des pratiques et la mutualisation des moyens, de l’appui aux structures de santé pour organiser la réponse territoriale aux incidents et la continuité des prises en charges en cas de cyberattaques touchant plusieurs établissements de la région. L’Agence s’assurera aussi de la prise en compte au juste niveau des enjeux de cybersécurité de santé sur toute la chaîne des responsabilités.

Enfin, dernier message : le coût de la cybersécurité est, certes, important, mais la perturbation voire l’arrêt d’activité nécessitant un plan de reprise peut coûter plus cher encore. Des coûts cachés ou indirects non négligeables doivent être pris en compte. Au-delà de la gestion de ses conséquences immédiates, une attaque engendre des impacts à plus long terme sur le management et nécessite la mise en place d’actions permettant de réparer les dommages subis. Cette phase mobilise un nombre important de ressources au sein de la structure, sur les différentes étapes de reprise de l’activité, de traitement des aspects juridiques, de restauration de relations de confiance avec les partenaires, d’acquisition de solutions de sécurisation. Il est primordial que les dirigeants prennent conscience de la nécessité de consacrer des moyens humains et financiers à la cybersécurité.

Nous avons donc un seul mot d’ordre collectif : tous cybervigilants !

[1] Groupement Régional d’Appui au Développement de la e-Santé, qui accompagne la transition numérique des professionnels d’un territoire.

[2] Source Cert-Santé – Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé (2021)