Les cyberattaques peuvent paralyser tout ou partie des systèmes d’information hospitaliers (SIH) et être à l’origine de fuites de données sensibles, par exfiltration. Différents programmes (plan Hôpital numérique, programme HOP’EN, Ségur numérique) incluent une démarche de sécurisation des SIH et plus largement, de santé (SIS).
Le gouvernement a renforcé ses moyens d’action dans le cadre de sa stratégie nationale de cybersécurité à destination des établissements sanitaires et médico-sociaux.
L’utilisateur (médical ou non médical) des SIH et SIS est un maillon essentiel dans la chaîne de la cybersécurité. L’objectif est de lui faire adopter une démarche de « cyberhygiène », autrement dit lui donner conscience des enjeux de sécurité des systèmes qu’il utilise au quotidien. Cela passe en grande partie par le respect de règles fondamentales, souvent basiques mais limitant significativement les potentielles attaques : changement régulier des mots de passe, isolement de courriels inappropriés etc.
La sécurité relève de la responsabilité de chacun mais aussi d’une approche collective. Au sein de l’hôpital, de la clinique ou de l’EHPAD, les professions couvrant les champs de la conformité, de la qualité, de la sécurité, de la protection des données personnelles (RGPD) et de la gestion des SI contribuent à en promouvoir et en garantir les fondations au quotidien.
Les 4 axes suivants permettent de développer la cyberhygiène et la sécurité des systèmes d’information en établissement de santé ou médico-social
1. La formation
L’organisation de grands rendez-vous exclusivement dédiés à la sécurité au sein des établissements a moins de sens aujourd’hui. Il est préférable d’organiser régulièrement des sessions de travail en petits groupes et en format hybride, intégrant des profils différents, équilibrant exposés conventionnels des fondamentaux et apprentissage en ligne, dans une logique participative.
L’ANSSI (agence nationale de la sécurité des systèmes d’information) et l’ANS (agence du numérique en santé) proposent des supports d’information pouvant alimenter les plans de formation continue, mobilisant des éléments de langage compréhensibles par tous :
– Précautions élémentaires
– Dossiers thématiques (réagir à un acte de cybermalveillance, messages malveillants, maliciels et rançongiciels)
Dans le cadre du volet santé de la stratégie nationale de cybersécurité présentée par le président de la république en février 2021, le ministre chargé de la santé a lancé en juin 2021 la campagne nationale de communication sur la cybersécurité en santé : « Tous cybervigilants ».
En savoir plus et télécharger les kits de communication :
– Secteur Santé
– Établissements de santé (ES)
– Secteur médico-social
2. La promotion d’une culture partagée et contextualisée de la sécurité
Il est judicieux de privilégier des scénarios pratiques, facilitant l’appropriation des règles de cyberhygiène, sans surexposer des concepts trop abstraits. L’objectif est de sensibiliser au mieux les personnels aux cybermenaces et aux moyens de les traiter ou d’en limiter l’impact, à travers des exercices liés à leur contexte de travail. Idéalement, les simulations d’attaque devraient être personnalisées, intégrer les comportements des utilisateurs et être à la source de mesures éventuelles de remédiation.
Pour des actions plus étendues, dépassant par exemple le strict périmètre de la messagerie personnelle et pouvant cibler des ressources applicatives accessibles ou non via un annuaire central dans plusieurs services de soins, il est essentiel de s’appuyer sur les dispositifs dédiés aux « exercices de gestion de crise » proposés par l’ANSSI et l’ANS :
– Organiser un exercice de gestion de crise cyber
– Exercice de crise cyber
3. Les mesures de sécurisation
Les discussions sur la cybersécurité en santé mettent souvent en lumière les risques d’une surabondance des applications « métiers » et d’hétérogénéité des configurations logicielles. Si ce point est effectivement sensible – les chantiers de convergence applicative en cours et à amplifier significativement au sein des GHT doivent impérativement y répondre – il importe de ne pas minimiser la criticité des « couches basses » : infrastructures et systèmes d’exploitation (OS) sur lesquels ces applications reposent. La compromission des comptes associés à la supervision des couches basses ou à leur accès depuis un environnement extérieur (ex. profils VPN mis à disposition des fournisseurs et du personnel pour des accès distanciels etc.) constitue un facteur de pénétration majeur des SIH.
L’ANSSI met à disposition des guides détaillant des mesures de sécurisation des couches basses.
Il est conseillé de consulter en particulier les rubriques Architecture et Sécurité des Systèmes et Sécurité Réseau du catalogue de ses guides techniques.
– Catalogue des guides techniques
– Fiches pédagogiques sur la sécurité des systèmes d’exploitation - version 2.5/février 2017
4. La protection des actifs numériques par l’exclusion par défaut de tous les accès et l’instruction rationnalisée des besoins d’accès internes et externes
Le modèle « Zéro Trust » est à manipuler avec soin, dans un contexte où les SIH restent largement caractérisés par leur diversité - un éclatement que les chantiers de convergence tendent à réduire significativement.
Le contexte actuel rappelle combien les attaques externes peuvent désorganiser l’établissement de santé ou médico-social qu’elles atteignent. Il ne faut pas oublier pour autant le risque que représentent des attaques ou des actes de malveillance internes. Le modèle Zéro Trust sous-tend l’usage de protocoles de sécurité essentiels pour protéger les établissements des menaces également internes.
L’ANSSI (agence nationale de la sécurité des systèmes d’information) expose une démarche à la fois nuancée et détaillée, applicable au secteur hospitalier : le modèle « Zéro Trust »
Construire un cadre de sécurité des SI
Le rappel des règles de sécurité les plus élémentaires et le déploiement de solutions anti-virales avancées ne suffisent plus à eux seuls à déjouer les attaques informatiques. C’est pourquoi le ministère chargé de la santé s’engage en accompagnant les établissements dans la co-construction d’un cadre de cybersécurité déclinable localement.
Cette démarche d’accompagnement mobilise l’expertise des agences d’état et opérateurs (ANSSI, ANS, ANAP, ATIH), les compétences territoriales des agences régionales de santé (ARS) et des GRADeS, les fédérations et les structures ministérielles (DGOS, DNS, HFDS) en charge de promouvoir une politique du numérique en santé et de sécurité adaptées aux enjeux sanitaires.
3 étapes clés sont à franchir pour construire un cadre de cybersécurité localement.
1. L’initialisation de la démarche et l’auto-évaluation
– (a) en téléchargeant le guide des mesures prioritaires de sécurité des systèmes d’information afin de s’approprier les champs d’actions à cibler à court-terme. Les mesures prioritaires constituent un socle de sécurité minimal repris dans la plupart des référentiels applicables.
– (b) en effectuant une auto-évaluation des dispositifs organisationnels et techniques SSI via la plate-forme OSiS v2, sur la base des mesures prioritaires exposées dans le guide précité, et des mesures issues des programmes antérieurs au Ségur numérique.
Le suivi régulier du degré d’application des mesures prioritaires concourt à une meilleure gouvernance à l’échelle hospitalière, régionale et nationale, permettant à tous d’améliorer la maturité SSI du système de santé.
1) Saisir l’adresse d’oSIS dans un navigateur : https://osis.atih.sante.fr/
2) Cliquer sur le bouton « Annuaire ES », rechercher l’établissement ciblé puis cliquer sur le FINESS correspondant
3) Dans le bandeau gauche, cliquer sur le volet « Dispositif de renseignement de l’OPSSIES »
4) Sélectionner le mode « Edition »
5) Renseigner les champs du formulaire, à l’exception des volets « audits » alimentables automatiquement, à réception des données par l’ATIH.
2. La définition et l’application d’un plan d’action
Le plan d’action SSI final relève localement de l’établissement, idéalement du GHT dont il serait membre dans une logique de mutualisation des moyens, de cohérence des actions à l’échelle du territoire et dans la perspective d’une solidarité active entre les membres du groupement en cas de cyberattaque interne ou externe.
Téléchargez le canevas pour amorcer la rédaction d’un plan d’action :
Ce document est en cours d’actualisation…
3. La sollicitation des acteurs et des ressources spécialisés pour des actions clés ou critiques du plan d’action SSI
Consultez la liste des acteurs et des ressources spécialisés :
Ce document est en cours d’actualisation…
Pour en savoir plus
– La politique générale de sécurité du système d’information de santé (PGSSI-S)
– Les ressources documentaires (PGSSI-S)
– Le décret du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information
Source :
Direction générale de l’offre de soins (DGOS)
Sous-direction du pilotage de la performance des acteurs de l’offre de soins (PF)
Bureau Systèmes d’information des acteurs de l’offre de soins (PF5)
14 avenue Duquesne - 75350 Paris 07 SP
Courriel : DGOS-PF5[@]sante.gouv.fr