Un centre de soin victime d’une cyberattaque, cela ne relève pas de l’hypothèse. Les cybercriminels de Lockbit se sont montrés particulièrement actifs en 2022, prenant pour cible différents établissements, dont le centre hospitalier de Corbeil-Essonnes.
En 2023, la pression se maintient. En septembre, dans le Grand-Est, les hôpitaux de Neufchâteau et Vittel étaient touchés. Pendant plusieurs jours, activités programmées, consultations et interventions chirurgicales étaient suspendues.
Un nouveau traitement préventif pour les SIH
Si cette actualité en France n’a pas contraint à l’arrêt des urgences ou des chimiothérapies, elle illustre malgré tout les conséquences immédiates sur l’activité de soin. L’année dernière, le ministère de la Santé et de la Prévention a donc décidé de prescrire un nouveau traitement.
Établissements de santé et structures médico-sociales sont ainsi tenues de réaliser des exercices de crise en cybersécurité. Ces opérations constituent “l’une des actions prioritaires” du plan de renforcement de la cybersécurité du ministère.
Et gérer une telle crise n’est pas l’affaire des seuls techniciens. Le ministère est catégorique, le travail de sensibilisation et de préparation aux risques cyber doit concerner « tous les acteurs du secteur (directions, métiers, DSI, etc.) », avec pour chacun une adaptation à leurs contextes particuliers.
Mais comment agir concrètement ? Un groupe de travail composé de l’Agence du Numérique en Santé, du FSSI, des ARS et des GRADeS a élaboré des kits d’exercice de crise cybersécurité prêts à l’emploi.
En mai 2023, 500 établissements de santé avaient réalisé au moins un premier exercice de gestion de crise cyber.
Des crises en kits pour s’entraîner
Les kits visent à “faciliter l’organisation d’exercices au sein des structures de santé.” Et pour tenir compte des différences de maturité, le kit est décliné en trois versions : débutant, intermédiaire et confirmé.
Les établissements de santé répondent présents. En mai 2023, ils étaient 500 à avoir réalisé au moins un premier exercice de gestion de crise cyber. Le gouvernement se félicite d’une “forte mobilisation de tous” et de l’atteinte d’un premier palier.
L’objectif de 50 % des établissements en décembre 2023 est encore loin cependant avec 500 acteurs engagés sur un total de près de 3 000. Rappelons toutefois que ces exercices sont aujourd’hui obligatoires, et doivent être renouvelés régulièrement.
Mais en quoi consistent-ils véritablement ? Les exercices mobilisent des profils principaux (techniques et métiers) répartis entre participants et animateurs. Il s’agit de simuler une attaque de cybersécurité, donc sans action réelle sur le système d’information de l’établissement.
Pour les moins expérimentés, le kit débutant comporte ainsi les règles du jeu, des fiches de bonnes pratiques et un glossaire pour l’acculturation aux concepts de la cybersécurité. Cette information doit d’ailleurs être partagée en amont de l’exercice.
« La finalité n’est pas de surprendre ou piéger les participants.”
Un premier pas vers la résilience
L’ANSSI rappelle que la finalité n’est pas de “surprendre ou à piéger les participants”, mais “de les accompagner dans un entraînement cadré reposant sur des objectifs définis, communiqués et partagés en amont.”
L’agence de sécurité de l’État fait d’autres recommandations. Ainsi, l’exercice de crise n’est pas une fin en soi. Il s’inscrit dans une réflexion plus large sur la résilience et qui comprend trois volets principaux :
- Sensibiliser les personnels aux problématiques cyber et entraîner les acteurs concernés
- Éprouver l’efficience des procédures en place et les améliorer
- Mesurer les efforts produits
Sur le volet de la formation et de la sensibilisation, un exercice de crise mesurera donc l’appropriation du dispositif, des procédures et des outils. Pour l’ANSSI, cette simulation est aussi l’occasion de faire collaborer équipes SSI et gestionnaires de crise habituels.
Mais gérer une crise cyber, c’est aussi s’entraîner à choisir. En effet, différents plans d’endiguement, de contournement ou de remédiation sont possibles, avec chacun des conséquences spécifiques. Il est donc critique de définir en amont ces impacts pour prendre les meilleures décisions lorsque la crise réelle surviendra.
