Plus de 500 établissements de santé ont réalisé « au moins un premier exercice de gestion de crise cyber », se félicite l'Agence du numérique en santé, qui avait contribué à élaborer des « kits d'exercice de crise cybersécurité prêts à l'emploi » pour faciliter l’organisation d’exercices au sein des structures de santé :
« Pour s’adapter au plus grand nombre de contextes, ces kits ont été éprouvés in situ dans des établissements de santé et structures médico-sociales informatisées de tailles et d’organisations différentes. Ces kits sont adaptés à différents niveaux de maturité (débutant, intermédiaire et confirmé) mesurés grâce à une grille d’autoévaluation qui permet à tout établissement de sélectionner le niveau de kit approprié à son contexte. »
Ces exercices sont devenus obligatoires pour les établissements et réalisés de façon régulière, le ministère de la Santé ayant fixé un objectif de 50 % des établissements ayant fait leur premier exercice d'ici décembre 2023.
Des exercices de crise régionaux sont par ailleurs en cours de déploiement dans l’ensemble du territoire, « notamment dans les régions qui accueilleront les jeux olympiques de 2024 », permettant de tester la capacité de réponse des acteurs régionaux à des cyberattaques de grande ampleur.
Ces actions s’inscrivent dans le programme « Cyber accélération et résilience des établissements » (CaRE), prévu dans la feuille de route du numérique en santé 2023-2027, et d’ores et déjà financé à hauteur de 175 millions d’euros.
Commentaires (10)
#1
C’est une bonne nouvelle. Il était temps les hôpitaux aprennent l’hygiène numérique.
Mais cela implique des moyens humains et financiers dans la durée, sinon, passé les effets d’annonce, on reviendra à la situation initiale.
#2
Les infections nosocomiales en télétravail sont-elles transmissibles ?
#3
Je me rappelle un passage aux urgences d’un grand hôpital parisien et, malgré une douleur difficilement contenue de doigts écrasés (les miens) par une porte blindée, j’ai tenté de façon constructive de dire à la personne en charge de l’accueil qu’avoir à portée de main (façon de parler) les logins/mot de passe pour les procédures d’urgence comme le plan blanc (= nombreuses victimes simultanées), c’est bien, mais que la feuille soit collée dans son dos visible de toute la salle d’attente relevait peut-être d’un problème de sécurité. La personne en question a poussé un “oh!” de surprise, me remerciant chaleureusement de lui avoir fait part de ce problème. Puis elle m’a assuré qu’elle aller en parler à son chef (ou sa cheffe, je ne sais plus) dès que possible pour remédier à ça.
#3.1
Espérons que ça va changer avec cette sensibilisation.
#3.2
Pro Santé Connect doit résoudre une partie du problème: tous les professionnels de Santé (et à terme ceux de la sphère médico-sociale) devront avoir un accès via Pro Connect Santé dans tous logiciels qui manipulent de la donnée de santé.
À terme, fni les mots de passe différents selon les services ou autres: les accès et les droits à telles ou telles données ou logiciels seront gérés par les admin sys et les RH. Les professionnels de santé se connecteront via le système OpenID appelé Pro Connect Santé. Selon la sensibilité de la demande, une authentification forte sera demandée. Notez que les cartes CPS ont une possibilité de liaison via NFC mais cette possibilité est peu exploité il me semble.
Et pour les non professionnels de santé ??
Leurs employeurs devront définir les données aux quelles ils ont accès et révoquer cet accès quand ils ne sont plus nécessaires (fin de contrat de travail en lien avec les RH). Et tous les accès (professionnels de santé ou administratifs) sont nominatif, journalisés et archivés.
En résumé, une mise en application du RGPD dans la sphère de la santé.
2 milliars d’euro ont été mis sur la table pour que les éditeurs de logiciels métiers dans la sphère médico-sociale pour élever les exigences de confidentialité dans le cadre du Ségur du numérique.
Dans votre exemple, la personne d’accueil aura un badge avec son mot de passe et pourra lancer les différentes procédures d’urgences, les admin sys auront prévu de saisir en amont les accès de chacun et les différents scénarios pour éviter de se retrouver coincer en dehors du SI, en plein blanc sous fond de cyber attaque ou coupure électrique.
#4
Les geeks que nous sommes trouvent tout a fait normal de supporter des petites contraintes pour améliorer la cybersécurité.
Mais du point de vue du personnel soignant, l’informatique c’est un obstacle supplémentaire qui les empêche de faire leur boulot. Alors si épingler une feuille au mur leur permet de gagner du temps, ils le feront. Et tant pis pour la cybersécurité.
Et a mon avis c’est eux qui ont raison. Nous, les pédants de la high-tech, on devrait arrêter de trouver normal que les utilisateurs supportent les contraintes qu’on leur impose. La cybersécurité devrait être transparente pour les utilisateurs, d’autant plus pour les personnels de santé, urgence, etc.
(diatribe personnelle d’un gars qui a dû imposer des mdp de 14 caractères dans un logiciel médical… sous prétexte que la cybersécurité c’est important pour les autorités fédérales)
#4.1
Pour bosser dans la santé, la transparence de la cybersécurité serait parfaite…
Heureusement que j’ai un gestionnaire de mot de passe pour le boulot avec tous les mots de passe que j’ai et les changements incessants de ceux-ci.
Pour couronner le tout, les 3⁄4 du temps, on ne nous donne pas de consignes (longueur, caractères obligatoires, …), il faut deviner pourquoi le mot de passe est rejeté.
#4.2
C’est hélas tout la difficulté de l’exercice de la cybersécurité. Et quand c’est post-sinistre comme c’est le cas des hôpitaux dernièrement, ça a tendance à renforcer les positions hyper-sécuritaires qui engendrent ironiquement des comportements encore plus risqués ou du rejet.
J’ai la chance sur un projet de travailler en ce moment avec un responsable sécu qui a bien compris cette problématique, après avoir du tanner un peu le cuir quand même. Au fur et à mesure de nos ateliers, il a compris que la trajectoire allait entraîner un rejet massif et donc être contre-productive (et là on s’adressait à de l’IT, pas à des utilisateurs métier). La posture a depuis évolué vers quelque chose de plus équilibré, mais l’exercice est très difficile.
Mais sinon en temps normal, aller voir l’équipe sécu pour un problème, c’est repartir avec 10 autres et comme seules réponses “non” et “tu dois faire ça mais on te dira pas comment”. Y’a des moments où j’ai loupé ma vocation d’architecte solutions, j’aurais du partir en cybersécu et devenir architecte problèmes.
#5
Assez d’accord, c’est pour ça que j’ai un avis pas trop défavorable pour le carnet papier de mot de passes, du moment qu’il reste circonscrit en lieu et pas trop visible.
#6
La solution dans le cas que je décris était de simplement décoller la feuille et la recoller non pas derrière sur un mur, mais sur le bureau d’accueil, face aux soignants et non face aux patients. Idéalement, coller sur le bureau, en dessous du rebord où on pose ses papiers en s’adressant à l’accueil, caché de la vue des visiteurs (les bureaux d’accueil sont d’ailleurs très souvent conçus ainsi pour que l’accueillant puisse voir et écrire sur des documents hors de la vue des visiteurs).
Simple, efficace, pas cher et pas technique. Ca coûte pas 2 milliards, ça coûte un bout de scotch.
Je voulais par cet exemple juste souligner la distorsion entre cette mesure si simple à mettre en œuvre (et si efficace) et la difficulté à l’appliquer, probablement pour des raisons justifiables (imaginez si au moment de devoir utiliser ces codes, en période de stress, la personne ne retrouve pas la liste à sa place habituelle).