Les établissements de santé sont la cible de nombreuses attaques de leurs systèmes d’information (SI). Celles-ci peuvent les paralyser en tout ou partie et être à l’origine de fuites de données sensibles. Conscient de cette menace, le ministère chargé de la santé a engagé, à travers différents programmes, des moyens importants pour renforcer la sécurité informatique des établissements de santé et mieux les préparer face aux situations de crise.
Le scénario « Cybercrise » va intégrer les Plans blancs des établissements de santé et leur permettre, ainsi, d’améliorer leurs dispositifs de manière continue et de régulièrement s’entrainer, avant tout, pour la sécurité de leurs patients.
Au-delà de la formation continue des personnels administratifs et de santé , socle indispensable à la culture d’une cyberhygiène, la mise en situation dans le cadre d’un exercice de crise permettra de sensibiliser au mieux les personnels aux cybermenaces et aux moyens de les traiter ou d’en limiter l’impact.
Jean-Paul Lebrec, consultant Ageris Group, témoigne sur sa dernière mission dans un établissement de santé de la région parisienne :
Quelle était la demande de l’établissement lorsqu’il vous a contacté ?
L’établissement de santé souhaitait réaliser un exercice de crise complexe intégrant une cyberattaque. Cet événement était demandé par l’ARS (Agence de Régulation de la Santé) et la Préfecture. L’objectif était de mobiliser l’ensemble des instance dirigeantes sur la base d’un scénario mêlant du virtuel et du réel.
Comment les avez-vous accompagnés sur ce besoin ?
La préparation de l’exercice a pris 11 mois car il fallait trouver un moment pour le réaliser qui ne pénalise pas le travail au quotidien des équipes dirigeantes et du management.
Nous avons réalisé une mission étalée dans le temps, au rythme du client, intégrant plusieurs aspects : le pilotage du projet de réalisation de l’exercice en relation avec une équipe interne, la mise à disposition d’un package documentaire que nous avons adapté, le suivi de l’exercice et la formalisation d’un rapport détaillé.
Quels sont les enseignements et les évolutions dans les comportements que vous avez pu constater ?
Il est toujours difficile de trouver un moment pour mobiliser, ensemble, les fonctions clés de management d’une organisation en évitant tout impact sur l’organisation opérationnelle des uns et des autres, tout en gardant à l’esprit l’objet de leur métier : le meilleur-être des patients.
La résilience est une affaire d’Homme et d’organisation. L’esprit insufflé par la Direction est primordial pour réussir ce type d’exercice. Un gros travail de préparation et de sensibilisation est nécessaire. Pendant l’exercice, chacun doit jouer sa partition sans créer de point de blocage, dans une ambiance solidaire, d’échange et de rassemblement pour le bien de l’organisme.
Se préparer à gérer une crise, de quelque nature qu’elle soit, demande d’avoir des réflexes. C’est le sens de ce type d’exercice avec un seul but : mettre en place un plan de progrès.
Il y a toujours des choses à améliorer pour gérer une crise et, également, pour s’y préparer et renforcer l’organisation au quotidien.
Toutefois, il faut garder à l’esprit que ce type de mise en situation doit rester réaliste pour obtenir l’adhésion de tous.
L’aide d’un consultant externe, certifié ISO22301, est un gage de professionnalisme. Cela rassure l’établissement et les institutions de contrôle tels que l’ARS et la Préfecture sur l’objectivité et le sérieux du suivi et du bilan.
Pourquoi réaliser un exercice de crise cyber et non pas sur un autre scénario ?
De récents événements et la prise de conscience du manque de préparation du secteur médical à ce sujet ont été les détonateurs de cette demande des autorités de santé de compléter les plans blancs par un scénario de cybercrise. Les établissements de santé sont des structures reconnues comme essentielles pour la survie des concitoyens. A ce titre, l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) a pour rôle de mettre en œuvre la directive européenne NIS 2 qui intègre ce type de scénario.
Dans cet environnement géopolitique incertain, il est important que l’ensemble des acteurs économique et sociétaux essentiels à la vie de notre pays et de l’Europe soient prêts.
Quelle communication effectuer autour de ce type d’événement ?
La première étape est de faire un point avec le client et de voir, ensemble, quel plan d’accompagnement mettre en œuvre pour préparer l’exercice, tout en privilégiant quelques éléments de surprise qui vont le « pimenter ».
Il est important que les acteurs, les joueurs de l’exercice, le comprennent bien comme tel et non pas comme un moment pour les « coincer ». Le seul objectif est qu’ils aient envie d’en refaire. Aussi, faut-il les rassurer par une communication en amont et au démarrage de l’exercice, une formation et une sensibilisation lors de la préparation et des rappels sur la documentation à utiliser.
La cybercrise est-elle à considérer comme une crise informatique ?
Une cybercrise est une catastrophe dont le vecteur est l’informatique. Toutefois, c’est l’ensemble d’un organisme qui est touché et cela peut mettre en péril durablement son activité. C’est également le cas des établissements de santé. Aussi est-il plus qu’important de se préparer à ce type de crise comme à tout type de crise pouvant générer une catastrophe.
Pour aller plus loin
Les organisations doivent se mettre en ordre de bataille pour affronter des événements chaque jour plus surprenants, complexes à comprendre et difficiles à gérer. Les crises cyber en font partie.
L’ANSSI et l’ANS ont publié des guides permettant de se préparer à la réalisation d’ « exercices de gestion de cybercrise » :
Appelez-nous pour nous présenter votre projet et nous vous orienterons vers le programme le plus adapté à votre niveau et à vos attentes.
Copyright © 2024 Ageris Group. powered by dmb communication.