Cybersécurité du système de santé : l’ARS accélère à l’approche des Jeux Olympiques et Paralympiques

En moyenne, un incident cyber est remonté à l’Agence une fois tous les 7 jours et des alertes plus mineures interviennent quotidiennement.
Depuis plusieurs années, l’Agence régionale de santé investit massivement dans le renforcement de la cybersécurité des acteurs régionaux, en partenariat avec les acteurs nationaux (DNS et ANS, ANSSI, CertSanté notamment) et le GIP SESAN. L’offre en matière de cybersécurité s’est en effet considérablement étoffée et couvre désormais la surveillance, la sensibilisation, la préparation et la réponse aux crises cyber. 

L’ensemble de ces interventions se résume en une phrase : la cybersécurité n’est pas qu’une question technique ou technologique, elle emporte des conséquences sur l’ensemble du fonctionnement du système de santé.

La cyber-résilience du système de santé régional est donc l’affaire de tous. Sur ces différents volets, l’ARS et le GIP SESAN accompagnent l’ensemble des acteurs de la région pour faire face à une menace croissante et diffuse. 

A moins de 30 jours de l’ouverture des JOP, retour sur les principales actions.

Sensibiliser, prévenir, préparer : un investissement sans précédent depuis plusieurs années

On estime à 94 % les incidents de sécurité ayant pour origine du phishing, ou hameçonnage. Cela consiste à leurrer un individu pour le conduire à transmettre des informations sensibles ou à produire une action faisant entrer un virus dans le système (comme le fait de cliquer sur un lien piégé). Les mesures de prévention du risque cyber reposent donc en grande partie sur la diffusion et l’appropriation de messages de sensibilisations et de bonnes pratiques.

L’objectif est de limiter par exemple la perte ou le vol d’identifiants, l’ouverture d’une pièce jointe infectée, le retard de mise à jour de sécurité, le transfert de données professionnelles sur un matériel personnel, etc. 

Pour aider les établissements à communiquer auprès de leur personnel, l’Agence et le GIP SESAN mettent à disposition des kits à l’usage de tous :

Le renforcement de la cybersécurité passe aussi par l’identification et la détection des fragilités technologiques ou organisationnelles, notamment en établissement (sanitaire comme médico-social). C’est la raison pour laquelle, en lien avec l’Agence du numérique en santé, le CERT Santé ou l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’ARS Île-de-France accompagne et finance la réalisation d’audits cyber. Entre 2021 et 2023, ce sont ainsi 3 fois 1,3 M€ qui ont été consacrés au financement des audits cyber des établissements de santé. Des financements complémentaires ont également été délégués aux ES franciliens dans le cadre du programme SUN-ES (20 millions d’euros) et à ce jour, 90 % des établissements constituant des opérateurs de services essentiels ont réalisé un audit de l’annuaire/outil de droits utilisateurs (active directory) depuis moins d’un an.

L’Agence a également accompagné 310 établissements dans la réalisation d’exercices de gestion de crise cyber en 2023 et 2024, avec une intensification de la préparation à l’approche des Jeux Olympiques et Paralympiques et pour un montant total de 1,4 M€. Cette pratique doit maintenant se généraliser et s’organiser au moins une fois par an. L’objectif de ces exercices est de sensibiliser et d’acculturer les établissements au risque et les préparer à la gestion de crise cyber. En effet, en cas de compromission du système d’information, c’est l’ensemble de l’activité de l’établissement qui peut se retrouver paralysée : plateaux techniques, analyses de biologie, paie, commandes fournisseurs, messageries, etc.  Il est donc indispensable de s’entraîner à réagir rapidement, car les premières heures déterminent en grande partie la résolution à moyen-terme.

Le programme Care, lancé fin 2023 et qui prévoit 250 millions d’euros en faveur de la cybersécurité du secteur de la santé jusqu’en 2025, devra permettre d’aller encore plus loin. Ouvert courant 2024, le premier domaine (audits des annuaires techniques et de l’exposition sur internet) a fait l’objet de 227 candidatures validées, soit 509 établissements de la région.

Une offre régionale « cybersécurité » renouvelée en 2024

Après une forte montée en charge depuis 2022, l’offre en matière de cybersécurité du SESAN a été renouvelée en 2024 pour proposer aux acteurs de la région une palette complète d’outils, allant de la cybersurveillance à l’appui en matière de ressource en RSSI en passant par le soutien en situation de cyber-attaque.

Le GIP SESAN permet notamment de proposer un accès à des expertises pointues, dans un contexte de pénurie de ressources du fait de la rareté des profils. A ce titre, le pack cyber constitue une brique essentielle du Centre régional de ressources cyber porté par le SESAN, financé par l’Agence.

Ces outils et ressources accompagnent les établissements franciliens pour leur permettre de mettre en œuvre les obligations prévues par la réglementation, en particulier : 

• Disposer d’une politique de sécurité des systèmes d’informations (obligation pour les établissements sanitaires) ;
• Disposer d’une procédure de remonté des incidents de sécurité aux autorités (ANSSI ou CERT SANTE suivant leur statut, CNIL en cas de suspicion de fuite de données, ARS via le point focal régional) ;
• Être doté d’un référent local identifié, ou responsable de la sécurité des systèmes d’informations (RSSI) soit à l’échelle de l’établissement soit de manière mutualisée entre plusieurs établissements ;
• Être doté d’un référent local identifié, responsable pour l’élaboration et la gestion des Plans de reprise d’activité (PRS) et plans de continuité d’activité (PCA).

Réagir en cas de cyber-attaque : la construction d’une task-force régionale

Les deux dernières cyber-attaques majeures qu’a connu l’Île-de-France ont fortement mobilisé l’ensemble des acteurs franciliens, dans une logique fondée sur la solidarité régionale : fourniture de matériel, mobilisation d’expertises RSSI et logiciels, aides financières notamment. 

Afin de réagir plus rapidement et plus fortement en cas d’attaque majeure touchant un établissement, l’Agence et ses partenaires ont élaboré un plan régional de réponse, intégré à la stratégie régionale d’anticipation des risques formalisé dans le plan ORSAN cyber. La région Île-de-France est ainsi la première à se doter d’un volet dédié Cyber. Les objectifs et procédures déterminés dans ce cadre sont arrêtés par le DG ARS et s’applique désormais à chacun des acteurs, notamment l’ARS dans son rôle de pilotage et de soutien en cas de cyber attaque ou les établissements sanitaires et médico-sociaux pour leurs structures.

Ce plan est bâti autour de 2 objectifs clés :

• Garantir la continuité de l'offre et la sécurité de soins, tout d’abord par des niveaux de préparation et de maintien d’activité de soins malgré la cyber attaque fixés à chaque établissement et qu’il doit atteindre via les mesures internes détaillées ci-dessus. 
• Construire les moyens de réponse et définir les moyens techniques nécessaires dès les premiers instants de l’attaque, pour stabiliser la mise en place des modes dégradés et permettre d’initier la reconstruction.

L’Île-de-France est la première région à pouvoir mobiliser 24h/24 et 7/7 des moyens techniques sains (notamment des PC, équipements réseau, téléphones) ainsi qu’une expertise technique ou de gestion de crise pour sécuriser les premiers jours suivant l’attaque. Ce volet « cyber » du plan ORSAN est financé par l’Agence et sera déployé en cas de besoin avec l’appui du GIP SESAN et de l’APHP.

Ce dispositif de réponse rapide s’ajoute aux instruments de surveillance, d’anticipation et de gestion de crise de l’Agence, en y intégrant désormais pleinement le risque cyber. En savoir plus.