Être préparé aux cybermenaces

Loin de ne concerner que les DSI, la cybersécurité tient aussi à l’acculturation et à la vigilance des professionnels de santé, notamment face à l’ingénierie sociale déployée par les pirates. Plus que de procédures, les spécialistes de la cybersécurité aiment à parler de respect de “gestes barrières” à avoir en tête. Par ailleurs, les personnels des établissements de santé, en particulier des PUI, doivent être prêts à travailler en mode dégradé en cas d’attaque.

Le CERT Santé a publié en avril 2021 un plan d’action préventif des cyberattaques, principalement destiné aux DSI pour limiter les failles. Après de nouvelles attaques contre des établissements de santé fin 2022, il a rappelé le 9 décembre les procédures fondamentales à respecter : inventaire exhaustif régulier de sa surface d’exposition sur Internet, scans des adresses IP exposées publiquement, désactivation ou filtrage de tout service, application ou équipement dès que l’accès n’y est pas nécessaire ; mises à jour logicielles ; identification des partenaires avec filtrage sur les seuls accès nécessaires ; mots de passe complexes (régulièrement révisés) couplés à un second facteur d’authentification ; politique de mot de passe unique (“Single Sign-on”, sans quoi un soignant en utilise six à sept en moyenne)…

Professionnels de santé : respecter les gestes barrières

Par ailleurs, une fiche de l’Agence nationale du numérique en santé (ANS) rappelle les mesures de prévention des actes de malveillance cyber, dont certaines impliquent les professionnels de santé :

• Sensibiliser les équipes aux menaces (hameçonnage, fichiers ou demandes suspectes, deepfakes audio, liens venant d’expéditeurs inconnus, compte soi-disant personnel, mais douteux, etc.).
• Définir et faire connaître les procédures d’alerte.
• Définir une organisation de crise.
• Disposer d’un plan de reprise et de continuité de l’activité, même sommaire, en cas de perte de données.
• Vérifier les engagements des prestataires sur la cybersécurité et la reprise d’activité (de nombreuses vulnérabilités critiques sont découvertes sur des systèmes gérés par des tiers externes, note l’ANS).

Ces problématiques sont rendues plus aiguës par la collaboration ville-hôpital et entre établissements (l’usage de messageries sécurisées de santé est un impératif absolu).

Il aussi faut avoir conscience des techniques d’ingénierie sociale qui viennent toutes contourner la sécurité technique de l’établissement (sachant que de nombreuses attaques informatiques trouvent une complicité interne). Selon le service gouvernemental Cybermalveillance.fr, 90% des cyberattaques trouvent la faille en raison d’une erreur humaine : cliquer sur un lien douteux, mail frauduleux, mot de passe marqué sur un post-it… La charte de bon usage des TIC ne devrait donc pas être signée les yeux fermés par les collaborateurs. Le gérant de PUI doit enfin définir les justes niveaux d’habilitation de chaque pharmacien, préparateur, etc.

Des réflexes de base en cas d’attaque

En cas d’attaque, l’ANS liste quelques réflexes de base : déconnecter les machines du réseau (ne pas les éteindre), alerter responsable et support informatique (ou contacter le prestataire). Chaque structure dispose désormais d’un responsable de la sécurité des systèmes d’information (RSSI). Rapprochez-vous de lui pour connaître les procédures prévues vous concernant.

Côté directions et DSI, il est prohibé de payer une rançon et les établissements sont appelés à rechercher un prestataire qualifié par l’ANSSI en cas d’attaque et à procéder aux déclarations nécessaires (notamment la CNIL lorsque l’incident implique des données à caractère personnel à risque). A noter qu’une attaque type “ransomware” (menace principale actuelle) nécessite de communiquer rapidement. En revanche, en cas de cyberattaque impliquant potentiellement l’interne, hors de question de communiquer dans un premier temps.

Exercices de simulation et procédures de travail en mode dégradé

Par ailleurs, des exercices de simulation et des exercices de crise cyber sont censés se dérouler régulièrement, pilotés par le RSSI. Le pharmacien responsable est appelé à participer à ces simulations d’incidents sur le logiciel métier et à écrire des procédures liées au fonctionnement de la PUI en procédure dégradée. Celle-ci dépend de la nature de l’incident et des process prévus : plan de continuité, mode de fonctionnement papier pour gérer les patients, poste dédié, solutions de contournement en cas de dysfonctionnements des logiciels de prescription, etc.

Enfin, si vous avez été victime d’une cyberattaque dans votre établissement, le retour d’expérience est fondamental, y compris auprès de confrères afin d’accroître le niveau de sensibilité et de sécurité de ses pairs.

Voir aussi www.cybermalveillance.gouv.fr et www.ssi.gouv.fr/

Sources :

CERT Santé. Réduire les risques de compromission massive en cas d’attaque par rançongiciel. 10 mai 2021
https://esante.gouv.fr/sites/default/files/media_entity/documents/acss_web_conference_n6v1.0.pdf

Agence du numérique en santé. Exercice de crise cyber. 14 novembre 2022
https://www.cyberveille-sante.gouv.fr/dossier-thematique/exercice-de-crise-cyber#kit-debutant-223