La 5ème édition de la conférence Cyber & Santé, organisée par le SIB et Biotech Santé Bretagne, s’est tenue le 23 novembre dans le cadre de l’European Cyber Week. Comme chaque année, elle a réuni des acteurs du secteur pour aborder les enjeux et actualités des menaces de cybersécurité dans le secteur de la santé. Retour sur une conférence riche en enseignements…
A quelles menaces sont exposés les établissements de santé ?
Silvère Ruellan, chef du bureau santé et affaires sociales de l’ANSSI, a pu dresser un panorama de la menace cyber dans les établissements de santé. « On constate à l’ANSSI un grand nombre de remontées d’attaques des acteurs de la santé. La principale menace est d’origine criminelle, sous forme le plus souvent de rançongiciel. La seconde menace la plus présente est le vol de données de santé pour les revendre sur le web clandestin, faire chanter des victimes ou faire de l’hameçonnage. »
La santé, un secteur d‘importance vitale accompagné directement par l’ANSSI et largement concerné par la directive NIS2
Le secteur de la santé est un secteur d’importance vitale, il bénéficie d’un accompagnement direct de la part de l’ANSSI qui peut actionner des leviers financiers dans le cadre de France Relance (25 millions d’euros attribués). Les leviers réglementaires sont également essentiels, Silvère Ruellan a bien sûr évoqué la directive « NIS2 » qui va entrer en vigueur dès octobre 2024.
« Le principal changement de « NIS2 » par rapport à la première version de la directive, c’est le nombre de secteurs et d’acteurs concernés. 1000 acteurs seront ainsi concernés dès 2024 dans le domaine de la santé dont des administration publiques, prestataires de soins de santé, fabricants de produits pharmaceutiques et de dispositifs médicaux, organismes de recherche… ».
Silvère Ruellan, chef du bureau santé et affaires sociales de l’ANSSI
Quelle place pour les enjeux cybersécurité au sein de la feuille de route du numérique en santé ?
« Le Ministère de la santé a besoin de responsabiliser les établissements de santé dans la prise en charge de la menace cyber. C’est pour cela qu’un des piliers de la feuille de route du numérique en santé c’est la gouvernance. On travaille aussi à la sensibilisation, à la formation et à la consolidation du socle minimal pour faire face aux menaces » explique Clara Morlière, Directrice de projets à la délégation du numérique en santé.
Côté gouvernance, tous les établissements de santé sont soumis à une certification de la HAS. Pour 2024 de nouveaux critères numériques et cybersécurité ont été introduits dans les obligations de cette certification. Ils deviendront donc incontournables pour les établissements.
« Nous avons conscience qu’il faut dédier du financement aux stratégies cyber, notre objectif est que l’ensemble des établissements de santé dépensent au moins 2% de budget numérique dans leur budget global. »
Clara Morlière, Directrice de projets à la délégation du numérique en santé
Sur la question de la continuité des soins et de reprise d’activité, l’agence du numérique en santé va proposer un kit pour accompagner les établissements. Il ne faut pas oublier le soutien des Agences Régionales de Santé et des GRADeS, qui sont en proximité des acteurs pour les accompagner à appliquer les directives du Ministère.
Programme CARE comme « Cybersécurité accélération et Résilience des Etablissements »
« Le programme CARE comme « Cybersécurité accélération et Résilience des Etablissements » est un objectif prioritaire de la feuille de route du numérique en santé. Face à l’augmentation des cybermenaces il s’agit de rattraper et pérenniser le niveau cyber des établissements de santé. Ce programme est issu de travaux menés en collaboration avec de nombreux acteurs (ANSSI, Ministères, GRADeS et fédérations hospitalières) » explique Nolwenn François, experte métier à l’Agence du Numérique en Santé.
Dans le cadre de ce programme, des outils sont à disposition des établissements dont de nombreux kits (kits d’exercices en réponse aux crises par exemple) et des outils numériques pour trouver les bonnes ressources. L’attraction des talents est également une priorité, tout comme la sensibilisation avec la campagne « Tous cyber vigilants ». Le programme CARE va permettre de proposer aussi des financements pour les établissements, afin de mener des audits et renforcer la sécurité (postes de travail, accès externe au SI, sauvegardes…).
La vague 1 du programme CARE représente un budget de 60 millions d’euros destinés aux établissements de santé (hors établissements médico-sociaux qui seront concernés dans un second temps).
Les jeux olympiques 2024, un véritable défi pour les établissements de santé
« Les jeux olympiques en France en 2024 représentent un événement hors norme pour le système de santé français, le niveau de menace cyber va être exacerbé par l’événement et sa médiatisation, car on va focaliser l’attention d’acteurs malveillants. »
Silvère Ruellan, chef du bureau santé et affaires sociales de l’ANSSI
L’ANSSI pilote la stratégie de prévention cyber en prévision des JO 2024. Les établissements clefs qui sont concernés par les sites de compétitions sportives en Ile de France et en région vont devoir se préparer et l’ANSSI, le Ministère et l’ANS sont à leurs côtés pour cela (audits, outils, veille et accompagnement, exercices).
Et pour les prochaines années, quels sont les défis des établissements de santé pour se protéger des menaces cyber ?
« Sans conteste le Ségur du numérique en santé, notamment l’outil « mon espace santé » et la messagerie sécurisée pour un meilleur échange des données de santé, est un défi majeur. Le renforcement des infrastructures et l’authentification à double facteur des utilisateurs sur tous les logiciels des établissements de santé sera incontournable en 2026 » explique Clara Morlière.
Quels acteurs publics pour accompagner les établissements de santé en cas d’attaque cyber ?
« Le CERT Santé assure le traitement des signalements des incidents de sécurité » rappelle Emmanuel Sohier du CERT Santé, tout en évoquant les principales menaces : compromission du SI, messages électroniques malveillants et rançongiciels.
Les établissements de santé et service médico-sociaux sont obligés de déclarer les incidents cyber auprès du CERT Santé. L’établissement reste néanmoins responsable de la résolution de son incident même si le CERT Santé est là pour l’aider dans : la qualification de l’incident, le confinement des systèmes compromis pour arrêter la propagation de l’attaque, l’identification et la compréhension de l’attaque, puis la phase de remédiation pour rétablir les activités de soin.
Le CERT Santé propose également de la veille, de la sensibilisation et des audits.
« Le CERT-FR de l’ANSSI est là pour traiter techniquement les incidents et répondre aux demandes d’assistance, pour des bénéficiaires bien spécifiques : Opérateurs d’Importance Vitale, Opérateurs de Services Essentiels, organismes publics, futur EE et EI » précise Jeanne Fournis, cheffe de projet régulation et coordination des écosystèmes relais à l’ANSSI.
Les CSIRT régionaux (Computer Security Incident Response Team) sont également des acteurs régionaux incontournables, à l’image du CSIRT Bretagne (également nommé le Breizh Cyber) lancé le jour de l’ouverture de l’ECW 2023. Leur but en cas d’incident cyber est d’apporter les premières réponses de proximité et mettre en relation les victimes avec des prestataires pour répondre aux attaques. Les CSIRT réalise aussi de la prévention et sensibilisation auprès des acteurs régionaux. Objectif ? Les faire monter en maturité sur les questions cyber, notamment les TPE et PME.
Ils sont plusieurs organismes à accompagner les acteurs publics et privés en cas d’incidents cyber. « Les acteurs sont complémentaires et nous nous coordonnons toujours pour router les victimes vers le bon interlocuteur » rappelle Jeanne Fournis pour l’ANSSI.
On peut retenir que le CERT-FR et le CERT-Santé sont les interlocuteurs privilégiés des établissements de soin, médico sociaux, OIV, OSE et organismes publics ; les CSIRT régionaux sont quant à eux au service des TPE et PME. Quant aux professionnels de santé libéraux et officines, ils peuvent se tourner vers le site cybermalveillance.gouv.fr. Dans tous les cas, la prise de contact avec un CERT ou un CSIRT à l’aube d’une attaque est primordiale, l’organisme attaqué sera toujours redirigé vers l’interlocuteur le plus adapté, peu importe qui il contacte initialement.
Un groupe de travail dédié “Cyber & Santé” en région Bretagne
« Dans le cadre de leur adhésion au Pôle D’excellence Cyber, le GIP SIB et Biotech Santé Bretagne animent le groupe de travail Cyber & Santé qui permet de réunir les acteurs des deux filières. Quand il y a 10 ans ces deux mondes ne se parlaient pas naturellement, nous remarquons qu’il est aujourd’hui inévitable d’allier les deux secteurs. »
Coralie Borniambuc, chargée de projets e-santé chez Biotech Santé Bretagne
Ce groupe de travail a pour objectif de faire se rencontrer les “pure players” de la cyber et ceux du domaine de la santé : éditeurs de solutions de sécurité, fabricants de dispositifs médicaux ou encore établissements de santé y sont présents. Afin de fournir des travaux qui répondent aux enjeux et besoins opérationnels, chaque acteur est libre d’émettre ses problématiques pour faire ressortir, à court-terme, des ateliers de travail, et à plus long termes, probablement un projet européen.
A titre d’exemple, le premier livrable attendu est une checklist cybersécurité afin d’évaluer la maturité cyber d’une solution avant son intégration en établissement de santé. L’objectif de cette cheklist est d’aider les établissements à monter en maturité, et d’aider les éditeurs à comprendre et connaître les attendus en termes d’exigences cyber.
💡 Vous souhaitez en savoir plus ? Contactez Coralie Borniambuc, chargée de projets e-santé, Biotech Santé Bretagne >> coralie[at]biotech-sante-bretagne.fr
Publié le 23/11/2023
