Plan blanc numérique : 5 checklists pour prévenir les cyberattaques en établissement de santé

Gregory Cousyn

•

September 14, 2023

•

Temps de lecture :

5 minutes

Sanitaire

En juin 2023, le ministère de la Santé et de la prévention a publié un guide Plan blanc numérique. Ce guide vise à fournir un cadre méthodologique et pratique pour prévenir les risques en établissement de santé pouvant menacer la sécurité du système d’information et la sécurité des patients pris en charge.

‍

Structuré en trois parties, le guide comprend cinq fiches pratiques construites sous forme de checklists des actions à anticiper pour faire face à une cyberattaque.

‍

Découvrez dans cet article, le contenu intégral de ces fiches et leur décryptage !

‍

Fiche réflexe 1 : maîtriser son système d’information

Cette fiche met en avant les étapes essentielles pour assurer la sécurité des systèmes d'information au sein de l’organisation. Les cinq points clés abordés sont les suivants :

‍

Désigner un responsable de la sécurité des systèmes d'information :

✔️ Désignation d’un interlocuteur privilégié en matière de cybersécurité

✔️ Évaluation de la possibilité de mutualiser son intervention au sein du GHT

‍

Impliquer le département informatique dans les processus d'acquisition

✔️ En particulier pour les dispositifs médicaux connectés

✔️ En appliquant les principes du "privacy by design" (1) dans la gestion de projet

‍

Sensibiliser le personnel :

✔️ Organiser des actions de sensibilisation dans le programme de formation.

✔️ Mettre en place des exercices et des simulations de problèmes informatiques.

‍

Réaliser et tenir à jour des cartographies du système d'information :

✔️ Identifier les matériels, logiciels, connexions réseaux

✔️ Évaluer la criticité des systèmes d'information

✔️ Repérer les serveurs stockant des données sensibles

✔️ Identifier les composants du système d'information hors schéma directeur

✔️ Définir l'ordre de priorité de remise en service des applications métiers

✔️ Repérer les connexions avec les systèmes d'information externes

✔️ Repérer les opérateurs de télémaintenance

✔️ Limiter l'accès à la cartographie du système d'information pour garantir la confidentialité

✔️ Mettre régulièrement à jour la cartographie.

‍

Effectuer une analyse des risques du système d'information :

✔️ Identifier les menaces potentielles et évaluer leurs impacts

✔️ Évaluer les vulnérabilités des applications métiers critiques

✔️ Évaluer les vulnérabilités de l'annuaire central

✔️ Évaluer les défaillances potentielles d’un prestataire externe

✔️ Évaluer les vulnérabilités liées au partage des données entre établissements

✔️ Évaluer les vulnérabilités des opérateurs de télémaintenance.

✔️ Évaluer la vulnérabilité des dispositifs connectés et des outils collaboratifs.

✔️ Hiérarchiser les mesures de protection en fonction des vulnérabilités

✔️ Intégrer le processus cumulatif de dysfonctionnement.

✔️ Anticiper la mise en œuvre de contre-mesures immédiates et évaluer leur impact.

‍

(1) Mis en place en 2018, le "privacy by design" est un principe instauré par le Règlement Général sur la Protection des Données (RGPD). L’approche vise à permettre une protection optimale des données personnelles dès la phase de conception et lors de l'utilisation de toute nouvelle technologie.

‍

Fiche réflexe 2 : un plan de mise en conformité

La fiche traite de mesures essentielles à mettre en place pour assurer la conformité en matière de sécurité des systèmes d'information notamment dans le contexte des Opérateurs de Services Essentiels (OSE). Voici les points clés abordés :

‍

✔️ Mettre en œuvre le décret 2018 pour les OSE et assurer la sécurité des systèmes d'information

✔️ Formaliser un plan de mise en conformité en accord avec la Politique de Sécurité du ou des Systèmes d'Information (PSSI)

✔️ Appliquer l'instruction 309 ⁽¹⁾ comme directive

✔️ Suivre et mettre en œuvre les correctifs de sécurité pour maintenir un environnement sûr

✔️ Cloisonner l'architecture du système d'information pour renforcer la sécurité

✔️ Mettre en place le référentiel des 43 mesures prioritaires pour la sécurité⁽²⁾

✔️ Appliquer les 23 règles spécifiques pour les établissements qui supportent les Groupements Hospitaliers de Territoire (GHT)

✔️ Identifier les systèmes d'information essentiels pour les protéger adéquatement

✔️ Maîtriser les accès et les mots de passe du système d'information pour éviter les failles de sécurité

✔️ Protéger la messagerie professionnelle du personnel contre les menaces potentielles

✔️ Réaliser des campagnes de "phishing" pour sensibiliser le personnel aux techniques d'attaque

✔️ Maîtriser et sécuriser les données sensibles de l'établissement pour prévenir les fuites d'informations confidentielles

✔️ Mettre en œuvre le référentiel national de santé INS pour assurer la compatibilité avec les normes nationales

✔️ Assurer une veille constante sur les vulnérabilités logicielles en se référant à CERT-FR et CERT-SANTE

✔️ Réaliser des audits réguliers du système d'information pour garantir la conformité et la sécurité.

‍

(1) Instruction 309 : INSTRUCTION N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information (« Plan d’action SSI ») dans les établissements et services concernés.

‍

(2) 43 mesures prioritaires pour la sécurité : voir le référentiel à destination des établissements de santé → Les mesures prioritaires de sécurité des systèmes d’information octobre 2022 - Ministère de la Santé et de la Prévention.

‍

Fiche réflexe 3 : Modalités de mise en œuvre du volet numérique

La fiche 3 met en lumière les étapes cruciales pour la mise en place d'un volet numérique en cas d'incident numérique au sein d'une structure. Elle vise à aider les établissements de santé à se préparer et à réagir de manière efficace :

en assurant une coordination appropriée
en préservant la confidentialité des informations sensibles.

‍

Voici les points clés abordés :

‍

✔️ Élaborer un volet numérique adapté à la nature de l'incident numérique en cours

✔️ Anticiper les mesures de gestion en fonction du type d'établissement

✔️ Concevoir un volet numérique pouvant être mutualisé au sein du GHT

✔️ Corréler les mesures à prendre avec le plan de continuité/reprise d'activité pour assurer la cohérence

✔️ Se préparer à l'impact potentiel sur l'offre de soins résultant de l'incident numérique

✔️ Définir des critères précis pour déclencher le volet numérique en cas de besoin

✔️ Garantir la confidentialité des mesures prises dans le volet numérique

✔️ Impliquer la gouvernance interne de l'établissement dans l'élaboration du plan de réponse

✔️ Prévoir à l’avance la composition de la cellule de crise, y compris les membres, les rôles et les missions de chacun

✔️ Organiser la logistique de la cellule de crise, notamment les moyens de communication (téléphone, internet) et la liste des contacts

✔️ Anticiper des moyens de communication rapides et sécurisés de type "groupe"

✔️ Évaluer la possibilité de former une équipe dédiée à la réponse à l'incident

✔️ Définir clairement le rôle et les missions de cette équipe "réponse à incident"

✔️ Établir des modalités de coordination avec les Agences Régionales de Santé (ARS) et le Groupement Régional d’Appui au Développement de la e-Santé (GRADeS).

✔️ Prévoir les échanges avec les experts nationaux tels que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et le CERT-FR ( Computer Emergency Response Team)

✔️ Anticiper le soutien de l'ANSSI et de l'Agence du Numérique en Santé (ANS) en établissant une liste de contacts

✔️ Prévoir les étapes à suivre pour restaurer un système d'information après l'incident

✔️ Anticiper la conservation des preuves et le dépôt de plainte.

Guide à télécharger

Tout savoir sur l'élaboration des plans d'actions

Télécharger

Fiche réflexe 4 : Travaux de préparation du volet numérique"

Cette fiche se concentre sur la préparation et la réactivité en cas d'incident numérique au sein d'une structure. L’objectif est d’aider les établissements de santé à anticiper, gérer et réagir de manière efficace.

‍

Voici les points essentiels abordés :

‍

✔️ Disposer d'une astreinte 24 h/24 pour la sécurité numérique afin de garantir une réponse rapide en cas d'incident

✔️ Sensibiliser le personnel aux risques numériques et aux numéros d'astreinte pertinents pour une communication efficace

✔️ Adapter un plan de réponse en fonction des différents scenarii possibles d'incident

✔️ Disposer d'une documentation rapidement accessible pour une intervention rapide et coordonnée

✔️ Élaborer une stratégie de réponse mutualisée au sein du Groupement Hospitalier de Territoire (GHT) pour une meilleure coordination

✔️ Réaliser une cartographie de l'offre de soins et des activités à risque pour cibler les priorités en cas d'incident

✔️ Mobiliser des ressources et constituer un stock stratégique au niveau du GHT/région pour faire face à l'incident

✔️ Préparer des modèles de communication à utiliser en interne et en externe pour informer les parties prenantes

✔️ Anticiper des moyens alternatifs de communication, tant en interne qu'en externe, pour maintenir la connectivité

✔️ Former les équipes d'intervention informatique aux différents scenarii d'incident possibles

✔️ Définir des critères d'alerte internes en cas d'incident numérique pour le personnel

✔️ Établir une procédure pour informer rapidement le personnel de l'incident

✔️ Élaborer une procédure pour signaler l'incident aux autorités compétentes

✔️ Savoir reconnaître une perturbation et mettre en place des systèmes de détection efficace

✔️ Évaluer la capacité de l'établissement à mieux détecter les actions malveillantes.

✔️ Qualifier l'incident en identifiant le périmètre, les vecteurs d'attaque et les systèmes compromis

✔️ Définir une stratégie de sauvegarde et positionner les sauvegardes hors du système d'information pour les protéger

✔️ Préparer le confinement en prenant des mesures immédiates pour réduire la surface d'attaque

✔️ Prévoir la phase d'éradication en corrigeant les vulnérabilités

✔️ Disposer d'une méthodologie pour la restauration des systèmes corrompus

✔️ Établir une procédure pour reporter les hospitalisations non critiques

✔️ Mettre en place des infrastructures temporaires pour maintenir le fonctionnement en mode dégradé

✔️ Conserver les preuves, envisager le dépôt de plainte et gérer les éventuelles demandes de rançon

✔️ Réaliser régulièrement des exercices de crise pour améliorer la préparation et tirer des enseignements de ces expériences pour une meilleure réactivité.

‍

Fiche réflexe 5 : organisation des soins en cas d'incident numérique

Cette fiche se penche sur la manière dont les soins et les opérations hospitalières doivent être gérés lors d'un incident numérique. Elle a pour objectif de garantir que les établissements de santé sont prêts à maintenir la continuité des soins, même en cas d'incident numérique, en prenant des mesures proactives et en planifiant en conséquence.

‍

Voici les points clés abordés :

‍

✔️ Anticiper les modalités de fonctionnement en fonction de la nature de l'incident pour garantir la continuité des soins

✔️ Prévoir une communication adaptée pour les patients, validée par la cellule de crise, et informer le personnel de manière adéquate

✔️ Imprimer les procédures du mode dégradé pour assurer que le personnel soit informé et préparé

✔️ Élaborer un plan de continuité d'activité pour les fonctions logistiques : déchets, transport, etc.

✔️ Mettre en place un mode dégradé pour la gestion des systèmes de Gestion Technique Centralisée (GTC) et de Gestion Technique de Bâtiment (GTB)

✔️ Anticiper l'indisponibilité de la gestion administrative, notamment la gestion de la paie

✔️ Réaliser des exercices réguliers du mode dégradé au sein des services critiques pour s'assurer de leur préparation

✔️ Prévoir la continuité des soins en collaborant avec d'autres établissements de santé du territoire

✔️ Anticiper l'organisation nécessaire pour le transfert des patients vers d'autres établissements

✔️ Quantifier en continu l'impact du mode dégradé sur la qualité et la sécurité des soins

✔️ Vérifier la capacité à accueillir de nouveaux patients en mode dégradé

✔️ Anticiper les modalités d'accès au Dossier Patient Informatisé (DPI) en mode dégradé au sein des services de soins

✔️ SAMU-centre 15 : Assurer la sécurisation de la téléphonie et informer le SAMU Zonal délestage à organiser

✔️ Prévoir des modalités d'accès au DPI, l'enregistrement manuel et le délestage des activités aux services d'accueil en cas d'urgence

✔️ Préserver l'activité du bloc opératoire pour les urgences vitales en organisant le délestage

✔️ Évaluer la possibilité de mettre en place un service coursier interne pour le transport

✔️ Prévoir des modalités de communication alternatives en cas de panne de téléphonie

✔️ Prévoir une application sécurisée pour des communications rapides de type "groupe"

✔️ Anticiper la sauvegarde, la traçabilité manuelle et la sous-traitance de l'activité de stérilisation

✔️ Prévoir une modalité de gestion centralisée des alarmes pour la surveillance des patients

✔️ Assurer la continuité des soins critiques en mettant en place un mode dégradé pour l'accès au DPI et au logiciel métier

✔️ Privilégier les examens prioritaires en imagerie et organiser l'interprétation sur console d'acquisition

✔️ Envisager la construction d'un réseau local temporaire au sein des services critiques pour maintenir la connectivité

✔️ Privilégier les examens prioritaires en laboratoire et en pharmacie pour minimiser les interruptions dans les soins.

‍

Cet article sur le Plan blanc numérique vous a intéressé.e ? Restez informé.e des actualités de votre secteur en vous abonnant à notre newsletter.

Partager l’article

Questions fréquentes

À propos de l’auteur

Gregory Cousyn

Grégory occupe le poste de Head of Customer Care & Quality chez Qualineo. Son parcours : ancien infirmier diplômé d’état ayant travaillé pour le Ministère des Armées, Grégory Cousyn intègre un établissement de santé où il occupait un poste de direction. Son expérience s’articule autour de l’optimisation des organisations pour développer les performances et l’activité d’un établissement, l’appui à la stratégie et la gestion de projets.

D’autres articles pourraient vous intéresser