FAQ Cybersécurité

La cybersécurité se réfère à l’ensemble des mesures prises pour protéger les systèmes informatiques et les données contre les attaques, les intrusions, les pertes ou les fuites. Elle vise à garantir la confidentialité, l’intégrité et la disponibilité des données et des systèmes informatiques.

Dans le domaine de la santé, la cybersécurité est particulièrement importante car elle joue un rôle crucial dans la protection des données sensibles des patients, telles que les dossiers médicaux, les informations de facturation et les données de recherche. Elle permet aussi, de respecter le secret médical. Les systèmes de santé contiennent également des informations personnelles identifiables, telles que les noms, les adresses, les numéros de sécurité sociale et les informations de carte de crédit, qui peuvent être utilisées pour commettre des fraudes ou des vols d’identité.

Les cyberattaques peuvent avoir des conséquences graves sur la santé des patients et le fonctionnement des systèmes de santé. Par exemple, une attaque de ransomware peut paralyser les systèmes de gestion des dossiers médicaux, empêchant les professionnels de la santé d’accéder aux informations vitales des patients. Cela peut retarder les soins médicaux nécessaires et mettre en danger la vie des patients.

En outre, les attaques contre les systèmes de santé peuvent causer des perturbations financières importantes, notamment en raison de la perte de données et des coûts liés à la restauration des systèmes endommagés. Par conséquent, la cybersécurité est devenue une priorité pour les organisations de santé et les gouvernements à travers le monde. Les professionnels de la santé doivent être conscients des menaces potentielles et prendre des mesures pour renforcer la sécurité de leurs systèmes et protéger les données sensibles des patients et le respect du secret médical.

Les établissements sanitaires, sociaux ou médico-sociaux sont confrontés à plusieurs risques en matière de cybersécurité, notamment :

1. Les attaques de phishing : Les attaques de phishing sont une forme d’attaque de cybercriminalité courante où les attaquants envoient des e-mails ou des messages contenant des liens ou des pièces jointes malveillantes pour obtenir l’accès aux systèmes de l’établissement de santé. Les collaborateurs peuvent être incités à cliquer sur des liens ou des pièces jointes, qui peuvent contenir des virus, des chevaux de Troie, des logiciels malveillants ou des ransomwares.
2. Les attaques de ransomware : Les attaques de ransomware sont des attaques de cybercriminalité dans lesquelles les attaquants prennent le contrôle des systèmes informatiques de l’établissement de santé et exigent une rançon pour les libérer. Ces attaques peuvent paralyser les systèmes de gestion des dossiers médicaux, empêchant les professionnels de la santé d’accéder aux informations vitales des patients.
3. Les attaques par déni de service (DoS) : Les attaques par déni de service visent à paralyser les systèmes informatiques de l’établissement de santé en submergeant les serveurs avec une grande quantité de trafic. Cela peut empêcher les professionnels de la santé d’accéder aux informations des patients et de fournir des soins.
4. La mauvaise gestion des données : La mauvaise gestion des données, comme le stockage de données sensibles des patients sur des ordinateurs non protégés ou le partage de mots de passe, peut exposer les données des patients à des risques de sécurité et donc mettre en danger l’application du secret médical et du RGPD
5. La vulnérabilité des dispositifs médicaux connectés : Les dispositifs médicaux connectés, comme les stimulateurs cardiaques et les pompes à insuline, peuvent être vulnérables aux attaques de cybercriminalité, ce qui peut mettre en danger la vie des patients.
6. La violation de la confidentialité : Les violations de la confidentialité, comme la divulgation de données de patients à des tiers non autorisés, peuvent entraîner des violations de la vie privée et des conséquences financières importantes pour les établissements de santé.

Il est donc crucial que les établissements de santé et les ESMS prennent des mesures pour renforcer leur cybersécurité et protéger les données sensibles des patients contre ces risques.

Je suis un établissement sanitaire :  Lien vers le référentiel des mesures prioritaires

Je suis un établissement social ou médico-social : Lien vers la cybersécurité pour le social et le médico-social en 13 mesures 

Selon la loi applicable, les violations de la sécurité des données médicales peuvent entraîner des poursuites pénales et des amendes importantes. Les organisations peuvent également être tenues responsables de tout préjudice causé aux patients en raison de la violation de leurs données médicales. En outre, les fuites de données médicales peuvent avoir un impact négatif sur la réputation de l’organisation et sur la confiance des patients dans sa capacité à protéger leurs données.

Nous vous invitons à consulter la page dédiée : Usages – Espaces utilisateurs – Numérique par expertise – Cybersécurité – Être accompagné – e-santé Occitanie (esante-occitanie.fr)

Selon la directive européenne NIS, un OSE est un organisme dont le dysfonctionnement à un impact majeur sur l’activité économique et social du pays, la vie des citoyens. C’est l’État qui détermine sui sont les OSE sans que ses derniers n’est la possibilité de s’y opposer.

La Directive NIS (Network and Information Systems Directive) est une directive européenne adoptée en 2016 qui vise à garantir un niveau élevé de sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle a pour objectif d’améliorer la coopération entre les États membres de l’UE en matière de cybersécurité et de renforcer la résilience des infrastructures critiques contre les cyberattaques. Découle de cette Directive bon nombre d’obligation, notamment en termes d’audits pour les ES classé comme OSE (cf plus bas)

Pour information, la Directive NIS 2 est en cours de transposition et élargira, au plus tard en 2026, la définition d’OSE.

Les exercices de crise sont inscrits dans les actions du Plan de renforcement 2021 de la cybersécurité des établissements de santé qui prévoit d’organiser de manière régulière, et au moins une fois par an, un exercice de crise cyber, dont le retour d’expérience sera présenté au comité de direction de l’établissement et pris en compte dans le PCA. La réalisation des exercices de crise fait également partie des mesures prioritaires de renforcement demandées aux établissements de santé et qui constituent l’un des principaux volets d’OPSSIES (Observatoire de la sécurité des systèmes d’information des établissements de santé).

En savoir + : Instruction N° 2022-135 du 09/12/2022  relative à l’obligation de réaliser des exercices de crise cyber dans les établissements de santé et à leur financement.

A date, l’obligation de réalisation d’un exercice de crise  porte uniquement sur les établissements sanitaires.

L’exercice à réaliser est un exercice de continuité d’activité dont l’élément déclencheur est un incident cybersécurité. A ce titre, il doit permettre d’évaluer la capacité de l’établissement à poursuivre son activité de prise en charge des patients dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impliquer la direction générale et les directions métiers de l’établissement.

Un exercice de continuité d’activité au niveau établissement n’est pas :

• un exercice de continuité informatique
• un test de plan de reprise informatique au niveau groupe
• un test du mode dégradé lors des opérations de maintenance du système d’information
• une bascule régulière entre systèmes de secours
• un test de restauration
• une restauration de l’annuaire Active Directory ou de la messagerie

Des kits « exercices de crise cybersécurité » prêts à l’emploi et autoporteurs ont également été élaborés afin de faciliter l’organisation de ces exercices. Trois niveaux de kits sont proposés en fonction du niveau de maturité de l’établissement en terme de cybersécurité :

• Kit débutant
• Kit intermédiaire
• Kit expert

Les kits « débutant » et « intermédiaire » sont disponibles sur le site cyberveille-santé. Le kit « avancé » sera disponible prochainement.

Afin de choisir le kit adapté, le niveau de maturité cybersécurité de l’établissement doit être évalué grâce à la grille d’auto-évaluation également disponible sur le site cyberveille santé.

Une enveloppe budgétaire est prévue pour financer l’accompagnement des établissements sanitaires dans la réalisation de leur premier exercice de crise cyber, à condition qu’ils soient accompagnés par un prestataire et qu’ils réalisent l’exercice sur la base des kits fournis par l’ANS. L’ARS financera cet accompagnement pour tous les candidats de son appel à manifestation d’intérêt (AMI cybersécurité pour les établissements de santé). Si vous avez manqué le 1^er AMI (décembre 22-janvier 2023), sachez qu’un nouvel appel à manifestation d’intérêt devrait être lancé prochainement.

Pour les établissements candidats à l’AMI (AMI cybersécurité pour les établissements de santé), le financement passe par un conventionnement entre l’ARS et l’établissement. Il sera octroyé sur présentation d’éléments de preuve suite à la réalisation de l’exercice de cyber crise : facture du prestataire et compte-rendu de l’exercice. Les montants sont des montants forfaitaires selon le niveau d’exercice réalisé :

              Niveau Débutant : 4 500€

              Niveau Intermédiaire : 7 000€

              Niveau Confirmé :  10 000€

Si vous avez manqué le 1^er AMI (décembre 22-janvier 2023), sachez qu’un nouvel appel à manifestation d’intérêt devrait être lancé prochainement.

Chaque établissement est libre de choisir le prestataire de son choix. Néanmoins, pour les établissements qui ne souhaitent pas se lancer dans cette recherche, depuis le 8 juin 2023, le GRADeS a mis à disposition des établissements sanitaires d’Occitanie un support contractuel régional sous forme d’accord cadre à bon de commande permettant de réaliser 2 types de prestations :

• Prestation 1 : Réalisation d’exercices de cyber-crise à partir des kits fournis par l’ANS
• Prestation 2 : Formation à l’animation d’exercice de crise selon les kits de l’ANS

Les prestations sont forfaitaires et décomposées en 3 niveaux de complexité selon le niveau de difficulté de l’exercice (débutant, intermédiaire, confirmé). C’est l’établissement qui décide du niveau de complexité de l’exercice qu’il souhaite réaliser. La grille d’autoévaluation de l’ANS (lien) permet de sélectionner le niveau de kit approprié à son contexte. Il est néanmoins recommandé aux établissements qui n’ont jamais réalisé d’exercices de crise cyber de commencer par le niveau débutant.

Chaque bénéficiaire est autonome dans la passation de ses ordres de services et/ou bons de commandes et la conduite de ces prestations. Le GRADeS pilote et suit de l’exécution globale du marché, ​il oriente les établissements​​ et organise des retours d’expériences.​

La méthode d’attribution des bons de commande est la méthode dite « en cascade ». Elle s’effectue sans négociation ni remise en concurrence, même si l’accord-cadre a été conclu avec plusieurs opérateurs économiques (3 titulaires ont été sélectionnés). Le bénéficiaire ne peut choisir son prestataire parmi les 3 titulaires, il doit faire appel en priorité au titulaire le mieux-disant. ​

Oui, c’est encore possible. Si vous vous engagez à figurer parmi les bénéficiaires, sachez que vous avez une forme d’exclusivité durant les 2 premières années de l’accord cadre. Pour en savoir + et rejoindre l’accord cadre, merci d’écrire à cybersecurite@esante-occitanie.fr.

Non le financement de l’ARS n’est pas conditionné à l’utilisation du marché du GRADeS. Vous avez le choix de votre prestataire.

Par contre, si vous vous êtes positionnés comme bénéficiaires de l’accord-cadre, vous avez une forme d’exclusivité durant les 2 premières années de l’accord cadre.

Les kits de l’ANS sont adaptés à différents niveaux de maturité (débutant, intermédiaire et confirmé) mesurés grâce à une grille d’autoévaluation qui permet à tout établissement de sélectionner le niveau de kit approprié à son contexte.

Quel que soit le résultat de l’évaluation, il est recommandé aux établissements qui n’ont jamais réalisé d’exercices de crise cyber de commencer par le niveau débutant.

En savoir + et découvrir la grille d’évaluation : Exercice de crise cyber | Portail du CERT Santé (cyberveille-sante.gouv.fr)

L’OPSSIES est l’observatoire permanent de la maturité sécurité des systèmes d’information des établissements sanitaires. Il est l’outil de déclaration de conformité des établissements aux différentes mesures identifiées dans le référentiel des mesures prioritaires de sécurité des systèmes d’information .

Le recueil des mesures est réalisé de manière déclarative au travers du questionnaire défini dans le volet OPSSIES de la plateforme OSIS V22 (LIEN)

Un audit de cybersécurité est un processus d’examen et d’évaluation de la sécurité informatique d’une organisation, visant à identifier les risques potentiels et les vulnérabilités de ses systèmes et de son infrastructure informatique. Il s’agit d’une évaluation complète de l’état de la sécurité de l’organisation, qui peut être effectuée par des auditeurs internes ou externes, des consultants en sécurité informatique ou des équipes de sécurité dédiées.

Les audits de cybersécurité peuvent être de plusieurs types :

• Les audits internes qui portent principalement sur l’organisation interne du SIH
• Les audits ADS et les audits d’architecture qui portent sur l’infrastructure du SIH
• Les audits de compromission qui porte sur les applicatifs du SIH
• Les audits de cybersurveillance, et les analyses d’empreinte qui portent sur les ouvertures sur l’extérieur du SIH

Dans le cadre de SUN-ES, les établissements doivent avoir réalisé un audit externe de cybersurveillance pour candidater.

Cet audit recouvre les prestations suivantes, il :

– Cartographie et détermine la surface d’attaque d’un système d’information à partir d’Internet ;

– Détecte les vulnérabilités qui affectent le système d’information d’une organisation ;

– Détecte une éventuelle fuite de données (code-sources, identifiants, données à caractère

personnel, etc.) visant le système d’information.

Le rapport de cybersurveillance fourni doit présenter :

– le périmètre de l’évaluation avec la liste des domaines et sous-domaines, avec une cartographie des systèmes détectés ;

– une synthèse managériale permettant de prendre rapidement connaissance du niveau de sécurité constaté et de la typologie des vulnérabilités ;

– une synthèse technique présentant :

o les vulnérabilités détectées par niveau de criticité,

o un plan d’actions de remédiation hiérarchisé ;

o le détail des vulnérabilités identifiées avec pour chacune : la criticité, le type de

vulnérabilité (ou catégorie, telle que l’usurpation d’identité, défaut de configuration, …), le

SI affecté, la description de la vulnérabilité, la recommandation associée en vue de sa

correction.

La préconisation est de passer par le CERT Santé pour réaliser cet audit dans la mesure de leurs disponibilités.

CERT-Santé : Rendez-vous sur le site de l’ANS, avec 3 vidéos explicatives des audits du CERT ici. Pour demander un audit, rendez-vous ici : Présentation du service de cyber-surveillance | Portail du CERT Santé

Liste des prestataires qualifiés prestataires d’audit de la sécurité des systèmes d’information par l’ANSSI : Lien

C’est un audit automatisé par l’ANSSI qui se base sur l’annuaire Active Directory (AD).

L’annuaire AD est un élément critique permettant la gestion centralisée de l’ensemble des permissions sur les différents domaines qui composent un système d’information (SI) Microsoft. L’obtention de privilèges élevés sur l’AD entraîne par conséquent une prise de contrôle instantanée et complète de tout le SI.

L’ANSSI met donc à disposition le service ADS qui permet l’audit des annuaires AD des ES visant à leur donner de la visibilité sur le niveau de sécurité de leur annuaire, et les accompagner dans son durcissement par l’application progressive de mesures adéquates, avec un suivi dans le temps.

L’inscription est gratuite et s’effectue en ligne pour tous, avec une priorité accordée aux établissements publics et privés à but non lucratif. Lien d’inscription : ici

Le premier diagnostic est posé avec l’outil ORADAD qui collecte les informations et permet de réaliser une analyse automatique de l’AD. Une analyse des points de contrôle est ensuite effectuée.

Un rapport est ensuite produit, avec l’attribution d’un niveau de 1 à 5 et des recommandations adaptées à chaque niveau.

Les résultats doivent alimenter l’OPSSIES.

Une analyse d’empreinte consiste à parcourir le cyberespace afin de voir si les documents, informations sensibles ou accès ne seraient pas disponibles de manières publiques.

Le phishing est une technique de fraude en ligne utilisée par les cybercriminels pour tromper les utilisateurs et les inciter à divulguer des informations confidentielles telles que des identifiants de connexion, des informations de carte de crédit, des numéros de sécurité sociale, etc.

Le phishing se présente souvent sous la forme d’un courriel, d’un message texte ou d’un site web falsifié qui semble provenir d’une source légitime, telle qu’une banque, un service de messagerie ou un site de commerce électronique. Les messages de phishing tentent généralement de convaincre les utilisateurs d’effectuer une action spécifique, comme cliquer sur un lien, ouvrir une pièce jointe ou entrer des informations personnelles.

Les cybercriminels utilisent ensuite ces informations pour accéder aux comptes de l’utilisateur, voler de l’argent ou commettre d’autres formes de fraude en ligne. Pour éviter d’être victime de phishing, il est important de faire preuve de prudence lors de la réception de courriels ou de messages suspects, de vérifier l’adresse de l’expéditeur, de ne pas cliquer sur des liens ou des pièces jointes suspects et de signaler tout message suspect à l’entreprise ou à l’organisation concernée.

Il est important de sensibiliser les utilisateurs du SIH aux risques de phishing et des bonnes pratiques afférentes. Le GRADeS propose un programme régional de sensibilisation reprenant lesdites bonnes pratiques :  ici

Le GRADeS propose un programme de sensibilisation à destination des établissements de santé, permettant d’informer le personnel des établissements des principaux risques en matière de cybersécurité et les bonnes pratiques afférentes.

Ce programme propose des vidéos courtes de mise en situation, avec des quizz et rappels des bonnes pratiques afin de limiter les risques. Les vidéos sont  envoyées tous les mois, à une liste de contact établie en amont.

Le GRADeS propose :

• Un programme de sensibilisation à destination des établissements sanitaires. Une offre à destination des ESMS est en cours de construction.
• Un support contractuel à destination des établissements sanitaires afin d’avoir accès à des prestataires réalisant des audits et des exercices de crises.
• Des ateliers pré-requis à destination des RSSI et référents sécurité Informatique des établissements sanitaires et médico-sociaux pour les accompagner dans la mise en place de certains pré-requis ou étapes clés de la bonne gestion de la sécurité de leur système d’information : inscription ici
• L’animation d’une communauté en ligne de référents sécurité SI/RSSI des établissements sanitaires de la région Occitanie. Pour en savoir + et rejoindre cette communauté : Institutionnel – Contact – Accompagnement territorial – e-santé Occitanie (esante-occitanie.fr)