PREVENTION DES CYBERATTAQUES

Cybersécurité : « Les hôpitaux ont besoin d'être accompagnés»

Par
Publié le 27/03/2023

Il s'agit d'«une matière toujours en mouvement, qui s'entretient». La Fédération Hospitalière de France (FHF) a intégré l'enjeu crucial de la cybersécurité à sa politique, constate le fort besoin d'accompagnement des établissements et s'efforce d'y répondre, mais les moyens restent essentiels. 

Cybersécurité

La FHF travaille étroitement avec le ministère sur la question de la cybersécurité, assure Cécile Chevance, responsable du pôle OFFRES de la Fédération Hospitalière de France. «Des établissements Opérateurs de Services Essentiels (OSE) ont été désignés (ils sont environ 140 en France dont une grande majorité d'hôpitaux publics) mais toute la question est maintenant de leur donner les moyens de répondre aux exigences. Mises à jour, audits réguliers, sensibilisation des équipes... La cybersécurité s'entretient. Il faut par exemple adapter les exercices aux évolutions rapides des attaques. C’est donc une matière toujours en mouvement. La question des moyens est donc centrale. A la fois les moyens matériels, financiers, mais aussi et surtout les moyens humains (les compétences)», souligne Cécile Chevance. La FHF a d'ailleurs prévu de réaliser un chiffrage pour évaluer les besoins en investissement et en ressources humaines dans les prochains mois.  

Le premier enjeu est de prévenir les attaques et de se préparer à réagir. Le second est d'assurer la continuité des soins 

Double enjeu

Par ailleurs, en cas d'attaque, l’idée est double. «Premier enjeu : il faut pouvoir prévenir les attaques (par de la sensibilisation, des mises à jour ou encore des audits et des plans d'action), mais aussi se préparer à réagir (grâce à des exercices ciblés et à un volet dédié dans les plans blancs - cf notre encadré plus bas) afin de protéger les données personnelles des patients. Un gros établissement de type CHU compte environ 400 logiciels métiers, ce qui ne rend pas la tâche aisée. Le deuxième enjeu majeur est de faire en sorte d'assurer la continuité des soins. Les établissements sont accompagnés et mettent en place une organisation territoriale pour rerouter les patients. Quand vous n’avez plus accès à l’historique du patient, ni non plus aux plannings des prochains rendez-vous, il faut aussi avoir recours à des procédures dégradées, ressortir le papier. Quoi qu'il en soit anticiper et penser la situation en amont facilite les choses».

Cécile Chevance rappelle que la Fédération hospitalière de France (FHF) a dévoilé, le 12 janvier 2022, trente propositions inscrites dans sa plateforme électorale 'Ambition Santé 2022', dont une mesure axée cybersécurité. «La FHF demandait l'instauration d'une véritable stratégie nationale de cybersécurité pour l'hôpital avec un pilotage interministériel et des financements sanctuarisés permettant de recruter les compétences nécessaires à la formation de véritables départements de sécurité (SI)». 

Il y a une forte attente des directeurs d'établissements et des équipes en termes d’accompagnement de l’Etat. Les directions et les équipes informatiques ne peuvent pas être laissées seules face à ces risques.

Forte attente d'accompagnement

En ce moment, la crise du système de santé implique de telles tensions dans les établissements que les hôpitaux sont sur de nombreux fronts à la fois. «Il y a une prise de conscience, aussi bien au niveau des établissements qu'au plus haut niveau de l’état parce que les hackers attaquent des organismes, des institutions très structurantes au niveau de la société. Le risque est donc bien identifié. A présent, on constate surtout une forte attente des directeurs d'établissements et des équipes en termes d’accompagnement de l’Etat. Les directions et les équipes informatiques ne peuvent pas être laissées seules face à ces risques. Faire des audits, mener des actions correctives, sensibiliser les équipes (qui changent beaucoup en plus) prend du temps. 10 ans de pression sur la masse salariale et la crise actuelle n'arrangent rien»

«La FHF a assisté à une réunion interministérielle (Santé - Intérieur - Numérique) le 21 décembre dernier. Ce pilotage interministériel était ce que nous appelions de nos  vœux et en termes de symbole c’était important. Un plan national de cyber sécurité est en préparation et la FHF est associée à ce travail. Notre action est de porter les propositions et de défendre les intérêts de l’hôpital public sur ce sujet et de participer aux concertations. L’attente des établissements OSE concerne les moyens et l'accompagnement pour pouvoir agir, pour renforcer l’existant et mettre en œuvre les actions et les diagnostics». 

Les hôpitaux se préparent aux cyberattaques 

En août 2022, le Centre hospitalier sud francilien à Corbeil-Essonnes a été victime d'une cyberattaque de grande ampleur, laquelle a succédé à d’autres intrusions qui ont paralysé des hôpitaux français (Dax, Charleville-Mézières pour les plus récentes). Dans ce contexte, afin d’organiser les réponses et de préparer la résilience des services de soins face aux attaques des hackers, l'AP-HP a organisé durant 24 heures, du 22 au 23 novembre 2022, un exercice simulant une crise cyber partie de l'hôpital Pitié-Salpêtrière. On appelle ces exercices des plans blancs axés cybercriminalité. 

Les enjeux de cet exercice étaient cruciaux : organiser les cellules de crise, au niveau de l’hôpital, de la direction générale et de la direction des services numériques, prévenir les impacts majeurs sur la prise en charge des patients et coordonner l’ensemble avec les partenaires extérieurs. Un peu plus d’une centaine de participants de l’AP-HP ont été mobilisés, nuit comprise, entre l'hôpital Pitié-Salpêtrière, le Campus Picpus et le siège de l’AP-HP dans le rôle des attaquants, celui des hospitaliers déchiffrant et limitant l’impact de la crise et celui des décideurs.


Source : infirmiers.com