5ème colloque sur la cybersécurité des systèmes d’information pour les établissements sanitaires et médico-sociaux
2019, la cybersécurité s’invite au cœur du débat
Année de la montée en puissance
En synthèse, deux maîtres mots : sensibilisation et anticipation.
Retour sur cet événement incontournable qui permet de réunir tous les acteurs sanitaires et médico-sociaux. Ce fut également l’occasion pour de nombreux adhérents de l’APSSIS de se retrouver, en attendant le prochain Congrès en avril 2020.
L’alignement des planètes que nous décrit Dominique Pon a été perçu tout au long de la journée. Marque de son engagement, le responsable ministériel de la délégation du numérique en santé a d’ailleurs souhaité adresser un clin d’œil en intervenant en vidéo en (presque) direct de l’étape Occitane du Tour de France de la e-santé. Dès les 5 premières minutes de colloque, le leitmotiv était lancé : « pas de e-santé sans confiance et pas de confiance sans sécurité ! ».
Cohérence et trajectoire commune des démarches ont rythmé les interventions des directions centrales DGOS (Caroline Le Gloan) et DGS (Maurice-Pierre Planel). Le constat est tranchant : les incidents sont désormais des faits habituels et récurrents qui ne sont plus des évènements exceptionnels. Il est rappelé que la sécurité numérique est l’affaire de tous, une démarche qualité continue qui n’est pas uniquement technique mais surtout des bonnes pratiques et des réflexes à acquérir afin de limiter les impacts sanitaires. Maurice-Pierre Planel ne manqua pas de revenir sur l’actualité estivale, période durant laquelle la cyber s’est immiscée dans la gestion de crise sanitaire nationale avec 120 établissements d’un grand groupe français impactés par un incident majeur.
Une préoccupation au plus haut niveau ? Maurice-Pierre Planel indique que l’Assemblée Nationale a débattu durant 1h de la protection des bases de données de l’Agence de Biomédecine qui devront être conservées 40 ans.
Renforcer les actions d’anticipation, gérer la continuité et améliorer la résilience des structures sont les enseignements tirés de l’exercice de crise ECRAN Santé qui visait à simuler une situation de crise dont l’évènement déclencheur était un virus mais cette fois, informatique (rançongiciel). Cet exercice était le premier conduit sur le secteur santé, a réuni 9 structures (établissements, ARS, DGS, HFDS, EFS, agences sanitaires, etc.) et a permis d’évaluer la coordination des acteurs. Le volet cybersécurité reste à intégrer au volet de crise des structures et en inter-structures.
Le ton est donné : la sécurité numérique doit être prise à bras le corps au plus haut niveau des organisations des structures et l’ensemble des personnels doit être sensibilisé à ces enjeux.
Philippe Loudenot, FSSI des Ministères sociaux a ensuite présenté la feuille de route Ma Santé 2022 et rappelé que la SSI tenait la 2ème place juste après la gouvernance dans la stratégie nationale.
Emmanuel Sohier, expert sécurité à l’ASIP Santé, a présenté le dispositif de traitement des incidents et l’appui apporté aux structures de santé au cours des 4 étapes : détection, confinement, recouvrement / remédiation et capitalisation / amélioration. A cette occasion, il a indiqué que le délai moyen de réponse de la cellule ACSS est d’une heure lorsqu’un accompagnement est sollicité dans les heures de fonctionnement de la cellule. Par ailleurs, lorsque ce sont des systèmes vitaux qui sont touchés par un incident majeur, l’ANSSI peut être amenée à intervenir.
Enfin, les évolutions prochaines du dispositif ont été présentées :
- La cellule ACSS souhaite intégrer l’inter-CERT-FR ce qui lui permettrait d’être reconnue comme acteur de la réponse à incident pour le secteur santé / social.
- Le dispositif d’appui va s’étendre aux acteurs du médico-social.
- Une unique déclaration pour l’ensemble des sites d’un groupe privé sera bientôt possible.
- Et la mise à disposition d’une ligne téléphonique dédiée permettra de contacter la cellule ACSS de 9h à 18h.
Dans l’objectif de passer du curatif au préventif, les ressources disponibles sur cyberveille-sante.gouv.fr ont été présentées et sont régulièrement enrichies de fiches réflexe, de retours d’expérience et d’alertes sur des vulnérabilités majeures.
Afin de répondre à la fois à la 9ème action de la feuille de route Ma Santé 2022, au prérequis P.2.5 du programme HOP’EN et au plan de renforcement cyber, l’ASIP Santé propose un service d’audit de Cybersurveillance. Cet audit a pour objectifs de réaliser une cartographie logicielle, une recherche de vulnérabilités des services exposés sur l’internet comme l’a présenté Jean-François Parguet, directeur technique et sécurité de l’ASIP Santé. A terme, la cible est de parvenir à un observatoire de la cybersécurité sur le secteur santé pour, d’une part, mesurer l’évolution des vulnérabilités dans le temps et mesurer les efforts de correction ; d’autre part, comparer dans le temps le niveau de sécurité par type d’établissement. La réalisation de l’audit permet la génération d’un rapport dont les contenus sont accessibles au directeur de la structure (via des graphiques) mais aussi destinés au RSSI et DSI avec des éléments techniques de remédiation. La confidentialité est également assurée par une transmission sécurisée du document et un accès à une poignée de personnes habilitées. Les audits opérés durant la phase d’expérimentation ont permis d’aboutir à des constats sans appel et légitiment la démarche lancée, cf. illustration ci-contre :
Deux RSSI d’établissements bénéficiaires de ces audits ont partagé leurs retours d’expérience ; en synthèse : un audit gratuit, efficace, produisant un rapport de qualité, détaillé, fourni d’informations pertinentes et qui respecte la production de soins sans impacter le SI.
Ce fut au tour de Franck Gicquel, responsable des partenariats du GIP ACYMA, de présenter cybermalveillance.gouv.fr ainsi que le dispositif national d’assistance aux victimes. Ce dernier permet la mise en relation avec des prestataires locaux pour une intervention rapide grâce à un maillage territorial fort de 1600 professionnels référencés. ACYMA propose également des outils de prévention et de sensibilisation ainsi qu’un observatoire de la menace. Pas de doute, complémentarité et continuité rythment les activités de Cyberveille santé et de Cybermalveillance pour aider les structures victimes d’incident.
Petit instant d’effroi, lorsque Monir Morouche, de Suricate Concept, démontre à l’assistance que les navigations sur les sites internet peuvent être tracées et rejouées jusqu’au déplacement de la souris, les frappes de clavier et donc le remplissage des zones de textes (n° de carte bancaire, mot de passe, déclaration à l’assurance…) grâce à des traqueurs insidieusement déposés sur les postes de travail. Il nous apprendra également qu’un numéro de téléphone peut être usurpé pour passer un appel aussi facilement que l’on peut recevoir un mail depuis sa propre adresse de messagerie.
Autre point de vue, celui des prestataires qui interviennent en réponse à incident. Gérôme Billois, associé chez Wavestone, a mis en lumière les situations auxquelles les prestataires doivent faire face lorsqu’ils interviennent suite à un incident et que les situations de crise ne sont pas anticipées. Comment rétablir le fonctionnement de plusieurs dizaines de milliers de postes de travail infectés en moins de 45 min !? Il faut compter 3 à 4 semaines pour revenir à la normale.
En outre appliquer les bonnes pratiques de base :
- Réfléchir à introduire de la diversité et flexibilité dans les équipements employés, la probabilité que 2 failles soient exploitées en même temps étant plus faible.
- Limiter les effets d’amplification potentiels en protégeant particulièrement certains équipements (ex : serveur de propagation des mises à jour).
- Revoir les dispositifs d’alerte et les plans de continuité : savoir agir rapidement et efficacement !
- Indiquer dans les cahiers des charges ce qui doit se passer en cas de crise afin de ne pas se voir rétorquer un vendredi soir que la demande sera traitée le lundi matin, au mieux !
- Sauvegarder les sauvegardes et les tester !
Brillantes interventions pour les courageuses victimes d’incidents de la désormais célèbre table ronde « ça n’arrive pas qu’aux autres » animée par Stéphane Pasquier, FSSI adjoint. Cette séquence a permis à tout à chacun de se projeter. Toutes les structures étaient représentées : du CHU à l’EHPAD en passant par l’hôpital et le SSR.
Comment « survivre » à 3 jours sans internet ni téléphone ? Ou « de la nécessité de diversifier les technologies ou les opérateurs » conté par Katia Statuto, RSI / RSSI, du GH Nord Essonne.
Comment gérer les impacts organisationnels, psychologiques et financiers d’une attaque par ransomware qui a aussi infecté les sauvegardes ? Tragédie vécue par un SSR doublement victime de l’insuffisance de son prestataire informatique relatée par Carlo Ferrari, Directeur.
La gestion d’une succession d’incidents protéiformes sur plusieurs jours est décrite par le CHU de Toulouse. Thierry Veauvy, RSSI, martèle la nécessité de sensibiliser et d’anticiper la gestion de crise (en interne et contractuellement avec les prestataires).
Enfin, triste situation pour ce directeur d’EHPAD, Jean-Baptiste Rouffet, qui avait mis beaucoup d’énergie à convaincre son personnel d’abandonner le papier au profit de l’outil informatique, lorsqu’il s’aperçut, après un ransomware, que son dispositif de sauvegarde n’était pas branché à son nouveau serveur de fichiers depuis 6 mois. Cumul des difficultés, malgré un soutien fort des FSSI, de la cellule ACSS et de l’ANSSI : données perdues, prestataire dépassé, pénalités administratives et personnel taquin lorsqu’il leur redemanda de repasser au papier…
Les deux directeurs, avec beaucoup d’objectivité, d’humilité et de transparence ont narré leurs déboires au travers de discours percutants et appelé leurs homologues à accorder beaucoup plus d’importance au numérique et à préparer la crise cyber.
Autre séquence marquante, le retour d’expérience de l’Etablissement Français du Sang sur sa participation à l’exercice de crise cyber, ECRAN Santé évoqué quelques heures plus tôt. Pascal Ferard, RSSI, a fait état du contexte de l’EFS dans lequel l’adhérence entre SI et métier est très forte : 24h sans informatique, la situation devient ultracritique et au-delà de 48h, les transfusions ne sont plus possibles. Il nous a rappelé que les données de santé sont de plus en plus attractives et le SI de plus en plus ouvert. D’après son expérience, les bénéfices de l’exercice de crise sont multiples : d’une part, s’assurer que les dispositifs organisationnels et humains (chaînes de communication, capacité à mobiliser…) sont opérationnels ; d’autre part, identifier les axes de progrès pour améliorer la résilience de la structure. La gestion des situations complexes ne s’improvise pas ! Il qualifie l’exercice de fédérateur, à la portée de tous, qui mériterait d’être systématisé tant il permet une sensibilisation efficace des dirigeants. En bref, il faut s’entraîner pour moins subir !
Prise de recul avec l’intervention de Didier Gras, administrateur du CESIN et RSSI de BNP Paribas qui lui aussi nous démontre que tout le monde à un rôle à jouer dans la prévention des risques cyber. Il nous brosse un panorama de la cybercriminalité avec une vision multisectorielle, insistant sur la sensibilité qui caractérise les données de santé. Puis, il pose LA question qui dérange… : comment assurer des services de confiance avec des outils vulnérables ? Il se veut ensuite plus rassurant en rappelant que nous ne sommes pas seuls, et qu’il faut s’appuyer sur la communauté.
Pour terminer la journée, Daniela Parrot, DPD du Ministère, a proposé son bilan, un peu plus d’un an après la mise en application du RGPD à partir des observations issues des homologations SI auxquelles elle a pu participer, à savoir une forte prise de conscience des professionnels et des citoyens au sujet de la protection des données. Elle fait également part de ses points d’alerte : l’information des usagers et le signalement et le traitement des incidents de sécurité ; il ne faut pas cacher les problèmes. Toujours selon ses observations, la gestion des durées de conservation des données et la réalisation des analyses d’impact sur la vie privée restent à améliorer. Elle conclut en assurant la cohérence entre la protection des données à caractère personnel et la sécurité numérique.
Le mot de la fin revient au général Arnaud Martin, HFDS adjoint, qui réaffirme l’engagement du Ministère à accompagner l’ensemble de la sphère santé / sociale dans la transition numérique. « La Maison santé bouge avec vous et grâce à vous ! », il assure que les briques se mettent en place avec cohérence, rappelant que la sécurité numérique en est le socle et qu’il n’y aura pas de numérique en santé sans sécurité. La prise de conscience des responsables sur ces sujets est de plus en plus forte mais reste perfectible. Il faut poursuivre les efforts de sensibilisation et de vigilance, tôt ou tard un incident surviendra, il faut être prêt à y faire face. Ne pas hésiter à signaler pour pouvoir bénéficier d’un appui et en faire profiter la communauté au travers des retours d’expérience anonymisés et la rédaction de fiches réflexe qui peuvent être publiés sur Cyberveille santé, nous avons la chance d’avoir un outil sectoriel, il ne faut pas hésiter à s’en saisir ! Il termine par une confidence : la Ministre devrait annoncer une campagne nationale sur la cybersécurité d’ici la fin de l’année…
Restons en veille !