Cyberattaque, ce mot s’est récemment invité avec force dans les discussions quotidienne de l’ensemble des professionnels de santé, du médico-social et du social. L’année 2022 a en effet marqué un tournant avec 588 incidents de sécurité déclarés au CertSanté[1] dont 50% d’origines malveillantes.

Pour les responsables d’établissement, la question qui se pose désormais n’est plus de savoir si cela va arriver à leur structure mais quand et comment peuvent-ils préparer la meilleure réponse possible afin d’en diminuer au maximum les impacts ?

Les conséquences d’une cyberattaque

Une cyberattaque est un événement grave ayant des répercussions réelles et majeures sur l’organisation d’un établissement. Lors d’une attaque par déni de service ou rançongiciel par exemple, les professionnels ne peuvent plus accéder au dossier du résident, au plan de soins, ou encore aux notes prise lors du rendez-vous avec le psychologue. Ils devront alors disposer d’une procédure permettant la prise en charge des résidents en mode dégradé.

La fuite des données à caractère personnel est également une conséquence potentielle. Les groupes de hackers sont en effet de plus en plus intéressés par la récupération de données à caractère personnel dans un but de revente pour des sommes importantes dans le darkweb.

Enfin, si au premier abord, il vient à l’esprit que ces incidents de sécurité concernent exclusivement les données personnelles des résidents, il convient de ne pas négliger celles des collaborateurs qui peuvent aussi révéler un caractère sensible (évaluation annuelle, salaire, pièce d’identité, données bancaires …).

La majorité des directions ont ainsi pris conscience que chaque établissement peut subir une cyberattaque paralysant l’ensemble de son activité.

Quelles solutions préventives ?

Chaque établissement doit agir à son niveau par la prise en compte, de manière opérationnelle, des principes et obligations du RGPD[2] en mettant en place une gouvernance de protection des données à caractère personnel des résidents, patients et aussi collaborateurs qui prend en compte la gestion de crise en cas de violation de données[3] et d’atteinte structurelle à son système d’information.

C’est donc la capacité des établissements à mettre en place leur cellule de crise, élaborer et diffuser leur communication auprès de leurs collaborateurs, tester leur plan de continuité d’activité et réaliser des exercices de gestion de crise qui leur garantira une meilleure résilience lorsque surviendra la cyberattaque. L’exercice de gestion de crise doit permettre de déterminer, si les piliers de la réponse en cas de cyberattaque sont clairement définis et prêts à être mis en œuvre.

Quelles organisations peuvent vous accompagner ?  

Pour accompagner les établissements, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) et la Commission Nationale Informatique et Libertés (CNIL) mettent à disposition des recommandations pour répondre à ces différents risques[4]. Parmi ces conseils, deux ressortent à savoir, l’authentification multi facteurs et la mise en place d’une sauvegarde hors ligne. Ces deux mesures permettent surtout, en cas de cyberattaque, de limiter les conséquences sur l’atteinte aux données personnelles.

La réponse de l’État réside également dans la mise en place d’une politique publique locale cybersécurité à compter de 2023, comme la création d’un référent en la matière au sein des préfectures pour un accompagnement en région (CSIRT Régional[5]).

Enfin, Lexagone, fort de ses 15 ans d’expérience, propose des prestations sur mesure d’exercices de gestion de crise pour les EMS.

Mathilde CEROIT

Responsable Pôle EMS

LEXAGONE

[1] Le CertSanté accompagne les établissements sanitaires et médico sociaux pour les gestions de menaces de cybersécurité

[2] Règlement Général sur la Protection des Données

[3] Violation de données : Une violation de la sécurité se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

[4] Exercice de crise cyber | Portail du CERT Santé (cyberveille-sante.gouv.fr)

[5] Les CSIRT régionaux – CERT-FR (ssi.gouv.fr)