Définitions
Un cyber-risque, c’est une atteinte à :
- Un système informatique ;
- Des données informatisées personnelles et/ou confidentielles.
Les cyber-risques sont la conséquence :
- D’un acte malveillant ;
- D’une erreur humaine, d’une panne ou d’un problème technique.
La cybercriminalité a pour but de :
- Détourner ou voler des données personnelles ou confidentielles ;
- Paralyser l’activité d’un l’établissement ;
- Extorquer des fonds par ruse ou par demande de rançon.
Le contexte de cyber-risque
À l’ère du tout numérique, les cyberattaques se multiplient et le secteur médico-social n’est pas épargné. Les ESMS sont de plus en plus touchés par des cyberattaques. Faute de moyens humains et financiers adaptés, les systèmes informatiques des ESMS sont fragiles. Les petits établissements aux systèmes informatiques plus légers, sont des cibles de premier choix. Selon le site d’information Hospimedia, un à deux Ehpad sont visés chaque mois en France par une cyberattaque avec demande de rançon.
En 2021, le nombre d’incidents de sécurité informatique notifiés à l’Agence du numérique en santé (ANS) a doublé par rapport à 2020. Pourtant 2020 « était déjà une année « exceptionnelle », souligne Marc Loutrel, directeur de l’expertise et de l’innovation à l’ANS. Derrière ces attaques, il y a souvent un objectif financier car les données de santé sont un véritable « or noir » qui se vend cher sur le darkweb.
Le retard des ESMS en matière de sécurité informatique
Le retard des ESMS en matière de sécurité informatique s’explique par un ensemble de facteurs structurels et organisationnels identifiés depuis longtemps. Conséquence d’un investissement insuffisant, les ESMS font face à un déficit de moyens humains et matériels. Les ESMS sont souvent dépourvus de Responsable de la Sécurité du Système d’Information (RSSI) ou d’outils informatiques récents alors même que le socle de la sécurité informatique est « de disposer de matériel moderne […] et de s’astreindre à lui appliquer des mises à jour régulières » selon l’ANS. Devant composer avec des ressources informatiques limitées, les ESMS peinent à mettre en place des projets numériques cohérents et opérationnels. « Le médico-social n’est pas encore au rendez-vous du numérique, avec des logiciels qui ne sont pas toujours adaptés aux besoins
des professionnels, des carences en termes d’ergonomie ou d’interopérabilité », résume Virginie Lasserre, directrice générale de la cohésion sociale (DGCS).
La transformation numérique des ESMS
La mise en œuvre du plan ESMS numérique doit permettre aux structures de rattraper leur retard en la matière. Ce programme repose principalement sur le déploiement d’un dossier usager informatisé (DUI) et sur la mise en place d’un socle de fonctionnalités communes aux différents établissements et services. Il doit également permettre l’interconnexion des ESMS entre eux et avec les services de l’Etat (dossier médical partagé, messagerie sécurisée de santé, espace numérique de santé, répertoires partagés des professionnels de santé, etc.).
Les objectifs de développement du numérique au sein des ESMS nécessite la prise en compte d’un minimum de mesures de sécurité des SI. À ce titre, la montée en compétences des ESMS et des professionnels en matière de cybersécurité et de numérique en général constitue le socle de base de la sécurité informatique.
Le cadre règlementaire du numérique
Afin d’accompagner de cadrer la transformation numérique des organismes, plusieurs textes normatifs ont récemment été adoptés. Au sein du corpus règlementaire, trois textes impactent particulièrement les ESMS.
- Le RGPD renforce l’obligation de sécurité informatique dans le cadre des traitements de données personnelles et prévoit que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il appartient à chaque organisme de déterminer les mesures de sécurité adéquates. Dans cet objectif, le référentiel de la CNIL du 11 mars 2021 détaille la liste des mesures techniques que les ESMS peuvent mettre en œuvre en proportion des risques et des ressources disponibles.
- La PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé), mise à jour par l’Agence du Numérique en Santé (ANS) au premier trimestre 2022, offre un cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière d’e-santé. Cette politique a notamment pour objet de soutenir les ESMS dans le choix et l’application de leur politique de sécurité.
- L’ordonnance du 19 novembre 2020 prévoit l’obligation pour les ESMS de signaler les incidents de sécurité aux autorités compétentes afin de favoriser la confiance des usagers dans le système d’e-santé. Les incidents de sécurité des systèmes d’information jugés « graves » ou « significatifs » doivent désormais être signalés aux ARS et l’ANS.
Les normes internes du numérique
Les normes de sécurité des SI peuvent également être établies en interne. La CNIL recommande de se doter d’une charte informatique ; outil dont l’objet est de décrire les règles d’accès et d’utilisation des ressources informatiques au sein d’un organisme, en rappelant à ses utilisateurs leurs droits et responsabilités. La charte édicte les règles permettant d’assurer la sécurité du SI, de préserver la confidentialité des données et de d’applique la réglementation, conformément à la politique de sécurité définie par l’organisme.
Les bonnes pratiques numériques
Outre les différentes normes, il existe des « bonnes pratiques » faciles à mettre en œuvre et qui permettent de limiter une grande partie des risques. Les autorités publiques comme l’ANSSI ou la CNIL publient régulièrement des guides de bonnes pratiques librement accessibles et dont la feuille de route correspond aux intérêts de toute entité consciente du cyber-risque (cf. le « guide des bonnes pratiques de l’informatique » de l’ANSSI par exemple). Les bonnes pratiques sont généralement qualifiées d’« hygiène informatique » car elles sont la transposition, dans le monde numérique, de règles élémentaires de sécurité sanitaire.
La résilience du système d’information
La résilience est la composante ultime de la sécurité des systèmes d’information. Dans le domaine informatique, la résilience se définit comme la capacité d’un système à continuer à fonctionner en cas de panne, d’incident ou de piratage. Une fois l’incident passé, l’enjeu est de développer une stratégie qui permettra de restaurer les données. Cette stratégie se traduit par la création et la mise en place d’un plan de reprise d’activité en cas d’incident dont la réussite dépend notamment de la mise en œuvre de mesures préventives telles que les sauvegardes de données.
Sur ce point, l’ANS rappelle qu’en cas d’attaque de type rançongiciel, “le maître mot est de ne pas payer”, de sauvegarder les données, de maintenir à jour les logiciels et systèmes d’information (SI), de cloisonner les SI, de couper les accès réseaux et internet et de déposer plainte.
Sources :
- CNSA – Le programme ESMS numérique en détail
- ANSSI – Guide des bonnes pratiques de l’informatique
- ANSSI – Attaque par les rançongiciels, tous concernés
- Le Figaro – Les cyberattaques contre les établissements de santé ont doublé en 2021
- Legifrance – Enjeux de la sécurité des systèmes d’information de santé et demande aux ARS de diffuser le plan d’action SSI
- Legifrance – Délibération n° 2021-028 du 11 mars 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis …
- tic santé – Cyberattaque: la situation “revient petit à petit à la normale” au CH d’Albertville-Moûtiers
