Comment accompagner les structures de santé dans leur sécurité numérique ?

Les structures de santé sont aujourd’hui confrontées à de nombreux enjeux concernant la cybersécurité. Le bassin de santé peut faire de la transformation numérique (IA et la Data) un levier important pour améliorer ses performances. Les apports du numérique s’apprécient à plusieurs niveaux :

  • Favoriser la prise en charge des personnes
  • Moderniser le travail des professionnels accompagnants
  • Améliorer l’efficience et valoriser la structure

En 2022, lors de la 4ème édition du West Data Festival, la thématique IA et santé a été abordée, notamment,  la santé et la sécurité numérique.

Une vulnérabilité qui ne fait qu’accroitre

Charles Blanc Rolin (chef de projet sécurité numérique en santé au GCS e-santé Pays de la Loire) rappelle que 18 300 vulnérabilités ont été recensées en 2020. En 2022, celles-ci ont dépassé la barre des 20 000 vulnérabilités.

De plus, des dizaines d’entreprises, tous secteurs confondus, sont paralysées par des errances logicielles. La vulnérabilité vient majoritairement du fait que les établissements d’aujourd’hui sont, pour la plupart, numérico-dépendant. Ainsi, les surfaces de vulnérabilité des structures sont de plus en plus larges.

Pour illustrer ce phénomène de cyberattaque, nous vous invitons à visionner la vidéo “Retour d’expérience suite à un incident “ en cliquant sur le visuel ci-dessous.

cybersécurité et santé
Vidéo LMT « Comment accompagner les structures de santé dans l’amélioration de leur activité numérique ? »

Dans celle-ci, Anne-Laure LABELLE-GOUTARD, Directrice Générale, EHPAD de Coron et EHPAD de Maulévrier explique comment elle a vécu une cyberattaque. Elle revient également sur les actions que ses établissements ont menées (dépôt de plainte, signalement de l’incident auprès de l’ARS, préparation de communication de crise…) pour lutter contre l’attaque.

Les conséquences des attaques

Les données sont très souvent rendues publiques par les attaquants. Auriane Lemesle (Référente régionale de la sécurité des SI, GCS e-santé des Pays de la Loire) précise que les impacts des attaques peuvent être très importants et notamment sur la prise en charge des patients.

cybersécurité et santé

Comment éviter les cyberattaques ?

Gérard Gaston (RSSI et DPD, LNA-Santé) raconte les réalisations qu’il a fait sur le plan organisationnel et le plan technique au sein du groupe LNA santé. Selon lui, même en cybersécurité, il y a des gestes barrières à respecter. Ainsi, il donne plusieurs astuces pour assurer une meilleure hygiène numérique :

  • Ne pas sous estimer les effets des actions de sensibilisation
  • Savoir que 90% des attaques ont eu pour commencement un simple mail.
  • Faire des campagnes de faux phishing pour donner les meilleures astuces à ses collaborateurs
  • Cadrer l’utilisation des comptes privilèges et des “comptes Admin” (favoriser la double authentification de ces comptes).
  • Renforcer l’accès aux systèmes d’information
  • Bien compartimenter son réseau : un sous-marin sans sas, il coule. C’est pareil pour un système d’information. Si l’attaquant est dedans, il peut faire ce qu’il veut.

L’importance de la sensibilisation

Les pratiques mises en œuvre en Pays de la Loire en terme de cybersécurité

La Région des Pays de Loire s’engage en matière de protection de l’information. En effet, la région élabore un plan d’initiative cybersécurité au profit de toutes les structures présentes sur la région. De plus, différentes actions de participation à différents évènements sont mises en place pour promouvoir les bonnes pratiques en matière de numérique.

visuel cybersécurité et santé

Auriane Lemesle explique que la cybersécurité est une des orientations principales de la feuille de route ministérielle pour le numérique (l’intelligence artificielle et la gestion de données). L’objectif est d’acquérir et de maintenir la confiance des professionnels de santé, des utilisateurs et des usagers.

Pour savoir comment l’IA et la gestion des données transforment le secteur de la santé, cliquez ici.

Elle relève également les bonnes actions du GCS e-santé sur le plan national :

  • Audits à destination des structures de santé
  • Actions pour améliorer l’attractivité des carrières (sécurité des systèmes d’information)
  • Animations à destination des professionnels de santé afin d’inclure la sécurité numérique au sens large
  • Mise à disposition d’outils de sensibilisation (affiches humoristiques, escape game centré sur la sécurité numérique…)
  • Mise en place d’interactions entre les établissements victimes et l’agence du numérique
  • Kits d’exercice de crise au sein même des structures

visuel article cybersécurité

Le bilan

Comme le rappelle Philippe Loudenot (Délégué Cybersécurité, Région des Pays de la Loire) : le “château fort intouchable” est une utopie. Toute entreprise ou établissement de santé peut être touché et mis à mal par un simple mail. Il est donc important d’appliquer ces quelques conseils pour éviter la menace ou la déceler le plus tôt possible. La question principale n’est pas de savoir si on va être attaqué mais si on est préparé.

Laval Mayenne Technopole organise la 5ème édition du West Data Festival du 14 au 16 mars 2023 à l’Espace Mayenne de Laval.

Cet évènement est le rendez-vous annuel des professionnels pour découvrir, tester et apprendre autour de la gestion des données et de l’intelligence artificielle.

Ce festival évoquera plus en détails les thématiques “Cybersécurité” et “Santé” au travers de conférences dirigées par des experts ainsi que des ateliers pour favoriser la discussion entre les professionnels et les festivaliers.