L'Union hospitalière de Cornouaile a organisé le 13 octobre 2021 « La Journée Cybersécurité de Cornouaille», afin de sensibiliser les professionnels à ce danger et renforcer la confiance des usagers en leurs hôpitaux.
Le contexte de forte insécurité numérique constitue un risque majeur pour la continuité de la production des soins délivrée par les établissements de santé. Les cyberattaques des établissements de santé ne fléchissent pas, comme l’atteste le second « Message d’Alerte Rapide Sanitaire » en date d’avril 2021 de l’Agence régionale de santé et les cyberattaques de cinq nouveaux établissements de santé (Centres hospitaliers de Saint-Gaudens, d’Oloron Sainte-Marie, Périgueux, Arles, Fondation Hopale).
Les cyberattaques sont essentiellement de trois types :
- rançongiciels : Les cyberattaquants pénètrent le système d’information des établissements pour y verrouiller les fichiers informatiques et exigent une rançon en contrepartie du déverrouillage .
- vol de données : Les données de santé sont volées et revendues sur le Darknet.
- une combinaison des deux attaques.
Dans plus de 90% de cyberattaques, le cyberattaquant exploite des vulnérabilités induites par les utilisateurs (mél d’hameçonnage et mots de passe faibles).
La démarche de sensibilisation des professionnels de santé
Avec ma Santé 2022, HOP’EN, le Ségur Usage Numérique, la désignation par le Premier ministre du centre Hospitalier de Cornouaille en tant qu’Opérateur de Services Essentiels, la campagne nationale « Tous Cyber Vigilants » ou encore le Plan France Relance parcours cybersécurité, le ministère de la Santé a impulsé une démarche volontariste avec pour objectif d'augmenter le niveau de résilience des systèmes d’information hospitaliers. Laquelle passe par la sensibilisation à la cybersécurité des professionnels de santé.
L'Union hospitalière de Cornouaille a fait le choix de faire régulièrement évaluer ses actions en matière de sécurité des systèmes d’information: certification de la Haute Autorité de Santé (HAS), programme Hôpital numérique ouvert sur son environnement (HOP’EN ), intégration au compte qualité, audits CNIL, certification des SIH avec le référentiel d’évaluation de la maturité numérique MATURIN-H. Et c'est dans ce cadre qu’est née la 1ère édition de « la Journée Cybersécurité de Cornouaille ».
Journée Cybersécurité de Cornouaille
Lors de cette journée, une conférence a été animée par Vincent Trély, expert Sécurité en Système d’Information (SSI) de Santé, président-fondateur de l’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) et Arnaud Meunier, Responsable de la Sécurité du Système d’Information (RSSI) de territoire.
Quatre thèmes ont été abordés : les impacts sur la production des soins, la cyber insécurité numérique, la réglementation et l'action de l’Etat et enfin, les bonnes pratiques.
La conférence, sponsorisée par le partenaire industriel PALO ALTO, a été successivement organisée sur chacun des trois sites des établissements publics de l’UHC : EPSM du Finistère Sud, Centre Hospitalier de Cornouaille, CH de Douarnenez.
Pour cette 1ère édition, plus de 300 professionnels et plus d’une dizaine d'experts SSI s'étaient inscrits à cette journée et la vidéo de la conférence sera mise à disposition des professionnels n’ayant pas pu participer à cet évènement.
Webinaires quadrimestriels
Le processus de sensibilisation à la cybersécurité est complété par l’organisation de webinaires quadrimestriels dans lesquels le RSSI de l'établissement sensibilise les nouveaux arrivants aux exigences de sécurité définies dans la charte informatique, seul moyen de réduire le risque numérique. Pour les professionnels en poste, des «astuces» de sécurité informatiques sont fournies (construction d'un mot de passe fort, utilisation des dispositifs de stockage nomades, comportement à adopter en cas de cyberattaques, etc.)
Ce plan de sensibilisation complète les nombreuses actions de cybersécurité comme le durcissement de l’annuaire informatique, l’authentification forte des professionnels de santé lors de leur connexion au système d’information et l'élaboration d'un plan de gestion de crise cyber qui vise à minimiser l'impact d'une cyberattaque sur les établissements par la détection rapide d'une intrusion dans le système d'information, la remontée rapide de l'incident de sécurité, la mise en place d'une cellule en charge de la qualification de l'incident, l'organisation des services de soins, etc.
