ITPublic : Plusieurs établissements hospitaliers ont été victimes de ransomwares ces derniers mois, avec bien souvent, des erreurs humaines à l’origine des intrusions. Comment sensibiliser les utilisateurs dans un Groupement Hospitalier de Territoire (GHT) comme celui des Alpes-Maritimes ?
Xavier Stoppini : Le GHT des Alpes-Maritimes regroupe les 13 établissements publics du département, dont le CHU de Nice, qui compte à lui seul 8 500 employés. L’enjeu est donc de toucher un large public de manière rapide et efficace, sachant que le personnel a bien d’autres sujets de préoccupation que la cybersécurité.
La cybersécurité n’est pas qu’un sujet informatique, c’est aussi un sujet organisationnel. En cas d’attaque informatique, c’est l’établissement dans son ensemble qui est impacté, avec des dysfonctionnements pouvant perdurer plusieurs mois : perte de l’accès aux dossiers médicaux, au suivi des médicaments, aux moyens de communication nécessaires aux pratiques médicales, etc. Ce n’est pas l’informatique qui soigne, mais c’est un outil qui aide les soignants à faire leur travail.
La priorité est de sensibiliser les directions générales pour qu’elles assument leur rôle de sponsoring vis-à-vis des établissements. S’il y a une volonté affichée au plus haut niveau, la prise de conscience est plus simple pour l’ensemble du personnel.
“Ce n’est pas l’informatique qui soigne, mais c’est un outil qui aide les soignants à faire leur travail.”
Quels sont les dispositifs mis en place au niveau national pour accompagner les GHT dans cette démarche ?
Il existe des initiatives de l’État français pour renforcer la sensibilisation à la sécurité, notamment dans le secteur de la santé. Je pense par exemple au programme CaRE (Cybersécurité accélération et Résilience des Établissements) et au programme HOP’EN (Hôpital numérique ouvert sur son environnement), portés au niveau national par l’ANSSI, l’ANS (Agence du Numérique en Santé) et la DGOS (Direction Générale de l’Offre de Soins).
Cet accompagnement nous permet de former et de sensibiliser l’ensemble du personnel. C’est important, car la sécurité est l’affaire de tous : cela concerne les utilisateurs, les praticiens, tout le personnel qui travaille pour l’hôpital. Chacun doit développer les bons réflexes au quotidien, à commencer par ne pas cliquer sur n’importe quel lien pour éviter les intrusions. En plus de ces dispositifs, nous organisons des exercices de gestion de crise cyber pour former l’ensemble du personnel à divers scénarios d’attaques informatiques.
« La sécurité est l’affaire de tous : utilisateurs, praticiens, tout le personnel qui travaille pour l’hôpital. »
Tous les établissements de santé sont confrontés à la menace cyber. Est-ce que vous collaborez avec d’autres organisations pour partager des retours d’expérience et des bonnes pratiques ?
Oui, nous entretenons une relation étroite avec différentes instances telles que l’ANSI, l’ANS et notre ARS (Agence régionale de santé), qui diffusent les retours d’expérience aux opérateurs de services essentiels ainsi qu’aux établissements de support des GHT. Nous sommes rapidement informés des attaques visant les établissements de santé et des mesures à prendre pour éviter de les subir à notre tour.
En plus des relations avec les organismes nationaux et régionaux, nous avons aussi des échanges directs avec les autres structures : nous avons par exemple structuré un “club des RSSI”, qui s’est élargi à l’ensemble des RSSI de France en 2023. Cela nous permet d’avoir une communication régulière sur tout type de problématiques concernant la sécurité des systèmes d’information des établissements.
De manière très concrète, quelles sont les actions de sensibilisation que vous menez actuellement auprès des équipes du GHT ?
Nous avons étendu nos actions à l’ensemble du personnel des établissements du GHT. Nous utilisons les supports créés au niveau national pour faire des campagnes de sensibilisation et de formation au travers de vidéos explicatives, de mise en situation, de formations institutionnelles proposées au personnel, et bientôt des escape games tournés cyber. De plus, nous organisons régulièrement des campagnes de phishing. Le but de nos actions de sensibilisation est de préparer le personnel à réagir au mieux face aux attaques potentielles. Notre approche est pédagogique, la clé est la répétition.
“Nous ne cherchons pas à montrer du doigt les mauvaises pratiques. Notre approche est pédagogique. »
Le comportement des utilisateurs est au cœur de la sécurité du GHT. Par exemple, on les sensibilise à ne pas utiliser de clé USB dont la sécurité ne peut pas être garantie (matériel personnel ou reçu en cadeau) et qui pourrait contenir un programme malveillant et créer une porte d’entrée qui ne serait pas détectée par les outils de sécurité mis en place.
Suite à ces initiatives, est-ce que vous constatez une montée en compétence des personnels sur l’hygiène informatique ?
Oui, nos actions vont dans ce sens. Par exemple, les campagnes de phishing que nous mettons en place sont de plus en plus difficiles. Le but est de tester leur résistance au clic. Nous mesurons l’amélioration des collaborateurs en suivant le taux de clic. Ces actions nous permettent d’adapter les formations que nous mettons en place, avant de lancer une nouvelle campagne pour vérifier que le message est bien passé. La montée en compétences se fait par étapes.
Nous ne cherchons pas en revanche à montrer du doigt les mauvaises pratiques, nous sommes dans une dynamique pédagogique : en cas de clic, nous fournissons des informations pour expliquer pourquoi il ne fallait pas cliquer. Nous faisons aussi des sessions dédiées avec une sensibilisation adaptée pour ceux qui en ont besoin. Nous savons que les actes de phishing sont de plus en plus sophistiqués, et qu’il peut être très difficile de les identifier. Nous arrivons à un niveau de suspicion qui fait que même des mails légitimes peuvent être mis de côté.
« Il est indispensable de poursuivre la course à l’outillage pour se mettre à niveau des cyberattaquants. »
D’un point de vue plus technologique, quelles évolutions pourraient contribuer à renforcer la cybersécurité dans le secteur de la santé ?
Depuis la crise de la COVID, on constate des attaques de plus en plus sophistiquées et virulentes, et ce dans tous les secteurs d’activité. Nous devons faire évoluer nos pratiques, par exemple en généralisant la double authentification, y compris pour les prestataires extérieurs. Des mots de passe que l’on considérait robustes il y a quelques années peuvent aujourd’hui être cassés très rapidement. Nous devons également acquérir les outils utiles et nécessaires pour lutter contre ces actions malveillantes, en exploitant notamment l’intelligence artificielle. Il est indispensable de poursuivre cette course à l’outillage pour se mettre à niveau des cyberattaquants.
