Un CyberCamp Santé, pour quoi faire ?

Depuis 2013, je développe une approche humaine du risque cyber, en mettant l’accent sur les comportements et la collaboration. Car face à une menace aussi organisée, la réponse ne peut être que collective. Groupe Ramsay, CHU de Rouen, Agence européenne du médicament, le CH de Narbonne puis celui d’Albertville-Moûtiers, une entreprise de conditionnement du vaccin anti-Covid, les CH de Dax, Villefranche-sur-Saône, et Arles, pour finir par les hôpitaux parisiens : voici le triste chapelet des cyberattaques contre l’industrie sanitaire depuis deux ans.

Un électrochoc pour les structures de santé (établissements publics, cliniques privées ou ESPIC) et les industriels (éditeurs de solutions, industriels du Dispositif Médical, laboratoires pharmaceutiques…) qui se doivent désormais d’avoir la capacité de réagir pour protéger les patients de cette menace.

Didier Ambroise
Associé fondateur
Doshas Consulting

Chez Doshas Consulting, nous n’avons pas attendu ces événements malheureux pour faire de la sécurisation des données de santé à caractère personnel une préoccupation cruciale au cœur de notre expertise. Mise en application du RGPD, hébergement des données de santé (HDS), projets d’innovations numérique en santé, que nous intervenions pour des grands groupes, des hôpitaux ou des start-ups, notre retour d’expérience confirme que seul un environnement sécurisé peut garantir la confiance des utilisateurs du système (professionnels de santé et patients).

 

Alors qu’une étude récente montre que les dispositifs médicaux deviennent également des cibles potentielles pour les hackers, la grande majorité des professionnels de santé n’a toujours pas conscience des dangers potentiels. D’où l’importance d’un CyberCamp Santé pour leur permettre d’échanger et de réfléchir ensemble aux enjeux et conséquences de la cybersécurité. Une sensibilisation indispensable pour toucher le plus grand nombre d’acteurs concernés qui passera notamment par un atelier spécifique dédié aux serious games.

Speakers

Barnabé WATIN-AUGOUARD

Colonel et Chef de la division Proximité numérique

Directement rattaché au Commandement de la Gendarmerie dans le cyberespace (ComCyber-GEND), le Colonel Watin-Augouard dirige l’une de ses 4 divisions, en charge du lien avec la population, avec – entre autres – magendarmerie.fr et Perceval, la plateforme de signalement en ligne des fraudes bancaires, qui a reçu 320 000 signalements en 2020.

Nasser AMANI

DSI du GHT Rhône Nord Beaujolais Dombes

En première ligne de la cyberattaque du centre hospitalier de Villefranche-sur-Saône en début d’année 2021, Nasser Amani reviendra sur la gestion de crise, et sur les réponses apportées dans les mois qui la suivirent pour reconstruire les défenses du GHT.

Découvrez son témoignage

Didier MENNECIER

Directeur de l’Hôpital d’Instruction des Armées Desgenettes 

Formé au Service de Santé des Armées (SSA) à Lyon, Didier Mennecier a contribué à sa transition numérique avant de prendre, en 2017, la direction de ses Systèmes d’Information et du Numérique. Depuis le 1er juillet 2021, il dirige l’Hôpital d’Instruction des Armées (HIA) Desgenettes à Lyon.

Découvrez son témoignage

Rodrigue ALEXANDER

Directeur adjoint du CH d’Arles chargé des finances, de l’activité et du système d’information

Passionné par les enjeux de transformation numérique de l’hôpital public, il a eu à piloter la gestion d’une cyberattaque par ransomware au 2e semestre 2021. Il reviendra sur les coûts d’une cyberattaque à partir de l’expérience du CH d’Arles.

Découvrez son témoignage

« Le numérique est le fil directeur
de ma pratique médicale »

Se définissant lui-même comme un médecin geek, Didier Mennecier a toujours été très avide de nouvelles technologies dans sa pratique médicale d’hépato-gastro-entérologue. Site internet, blog, applications mobiles et pages Facebook dédiées, il a activement participé au déploiement du numérique en milieu hospitalier quitte à passer parfois pour  « un extraterrestre » vis-à-vis de ses confrères ! 

Quelle place occupe le numérique dans votre pratique médicale ?

« En tant que praticien en hépato-gastro-entérologie, je me suis intéressé au numérique à une époque où le microcosme de la santé explorait très peu le sujet. En 1999, j’ai notamment adhéré à l’association Les médecins Maîtres-Toile qui m’a permis de créer mon premier site internet http://www.hepatoweb.com, conçu comme un outil utile pour ma pratique professionnelle. Au fil du temps, il est véritablement devenu un centre d’informations interactif pour mes patients, avec le lancement d’applications mobiles en complément. Durant la première décennie de ce siècle, le numérique en santé a très peu progressé. Il a fallu attendre la généralisation des smartphones et des réseaux sociaux pour constater une avancée majeure dans les usages et un changement de mentalités. Entre 2010 et 2013,

Didier Mennecier
« Médecin geek »
Directeur de l’Hôpital d’Instruction des Armées (HIA) Desgenettes à Lyon.

Les outils numériques permettent-ils d’être plus proche des  patients ?

« Je me souviens qu’en présentant, à un congrès national d’hépatologie en 2012, l’intérêt de participer à un groupe de discussion Facebook, mes propos sont passés pour totalement disruptifs aux yeux de mes collègues. Pour eux, cette manière d’agir était au mieux insignifiante, au pire dangereuse… En réalité, il existe une auto discipline très importante des utilisateurs et quand une mauvaise information circule, elle est aussitôt désactivée. Cette attitude s’explique par le lien très fort qui unit les patients à leur généraliste ou à leur spécialiste. N’oublions pas que ce sont les patients qui ont boosté les professionnels de santé dans leur appropriation du numérique. Je fais d’ailleurs toujours partie d’une page dédiée à la maladie de Crohn et à la rectocolite hémorragique, une manière pour moi de maintenir cette relation de confiance et de proximité avec eux. »

Comment favoriser leur prescription ?

« J’ai participé pour la Haute Autorité de Santé (HAS) à un groupe de travail ayant remis 101 propositions en matière de bonnes pratiques et d’usages des applications mobiles, tant ces recommandations sont nécessaires pour faciliter leur prescription. Sans elles, un médecin peu habitué aux outils connectés ne prendra pas le risque d’en prescrire à un patient pour l’aider dans la prise en charge de sa pathologie. Avec trois niveaux d’applications mobiles validées, l’Espace Numérique de Santé (ENS) dans « Ma santé 2022 », avec son « Store Santé », va permettre un formidable bon en avant dans leur déploiement. »

D’après votre connaissance du milieu hospitalier, existe-t-il des freins au bon usage du numérique dans
les établissements ?

« Les structures hospitalières doivent faire face à deux principales difficultés en matière d’innovation numérique. La première vient de la non-prise en compte des questions liées au numérique dans la formation initiale. Pour preuve, je donne des cours en faculté, pour des DU en e-Santé où sont inscrits des médecins. Il me semblerait intéressant que les internes, souhaitant utiliser le numérique dans leur future pratique professionnelle, aient la possibilité de faire six mois de césure dans une école d’ingénieur. D’autant plus que certaines spécialités comme la chirurgie ou les services de réanimation sont plus en avance sur le sujet.

Le deuxième élément qui fausse la donne, c’est la non-interopérabilité des systèmes d’informations des établissements avec des solutions extérieures. Donc même si le personnel est formé, il risque de mal faire faute d’API avec le dossier patient ! 

On peut rajouter à ces difficultés la menace grandissante des cyberattaques qui constitue un frein aux usages numériques dans des hôpitaux qui, de manière générale, ne sont pas assez bien protégés. La crise sanitaire n’a fait que renforcer leur fragilité et les hackers ont profité de ces moments de tension pour accroitre leurs attaques, qui ont augmenté de 256  % en 2020 ! »

Qu’attendez-vous de la deuxième édition du CyberCamps Santé ?

« La dimension européenne de cette édition, avec des participants venant de différents pays, peut nous permettre de réfléchir ensemble au lancement d’un projet qui permettrait de proposer, avec des sociétés implantées en Europe, des solutions pour aider les établissements hospitaliers à mettre à niveau leur protection informatique et à les inciter à s’engager dans une démarche de cyber protection. Ce serait une manière de se protéger des principales attaques internationales. »

BIO EXPRESS
Précurseur dans la e-Santé en tant qu’hépato-gastro-entérologue et se définissant lui-même comme un médecin geek, Didier Mennecier a développé dés 2000, le site internet http://www.hepatoweb.com ainsi qu’à partir de 2013 des applications pour les praticiens et les patients. Créateur du blog https://www.medecingeek.com, il fait partie de nombreux think tanks comme le Club Digital Santé et le Lab e-Santé. Son expertise en e-Santé lui a valu d’être lauréat de l’Académie Nationale de Médecine en 2015. A partir de 2013, il a activement participé à la transformation des systèmes d’information du Service de Santé des Armées, en tant que directeur des Systèmes d’Information et du Numérique (DSIN) tout en continuant une activité clinique et universitaire. Depuis le 1er juillet 2021, il dirige l’Hôpital d’Instruction des Armées Desgenettes de Lyon.

« Une cyberattaque ?
Ca n’arrive pas qu’aux autres ! »

Malgré des campagnes de sensibilisation à la sécurité informatique auprès des personnels, des investissements importants dans les infrastructures de sécurité, le Centre Hospitalier de Villefranche sur Saône a subi une cyberattaque de grande ampleur en février 2021.  Directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes, dont l’hôpital Nord Ouest est l’établissement support, Nasser Amani revient sur l’importance de communiquer et de faire partager son retour d’expérience, afin d’éviter à d’autres structures hospitalières de connaitre la même mésaventure.

Exerçant dans le secteur de la santé depuis 22 années, quelles sont les évolutions majeures que vous avez constaté en matière de cybersécurité ? 

« Les établissements de santé ont d’abord traversé une période assez longue, d’une quinzaine d’années, durant laquelle ils devaient être sécurisés et peu ouverts sur l’extérieur. Avec la mise en place  des groupements hospitaliers de territoire (GHT), ils ont eu l’obligation de communiquer avec  d’autres établissements, y compris la médecine de ville, et partager ainsi leurs informations médicales. Naturellement, qui dit ouverture dit plus grande vulnérabilité et augmentation de failles potentielles ! C’est pour cette raison que j’ai été très vite sensibilisé à la cybersécurité, en tant que directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes. La dernière évolution marquante que je constate, c’est l’accélération de la notion d’usage dans l’informatisation des dossiers patients et le partage des systèmes d’informations, puisque précédemment les solutions déployées n’étaient pas toujours très utilisées et le papier résistait bien souvent aux outils numériques. »

Nasser Amani,
Directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes

Comment sensibiliser les personnels à l’importance de la sécurité informatique afin de  protéger les établissements hospitaliers de cyberattaques, telle que celle que vous avez vécue au CH de Villefranche sur Saône, en février 2021 ?

 « La réalité montre que la sensibilisation des équipes IT n’est malheureusement pas suffisamment développée, même si différents programmes nationaux la préconise depuis des années. Les pré-requis à atteindre présents dans HOP’EN et SUN-ES sont, à mon sens, les bases d’une bonne politique de sécurité. Elles sont néanmoins plus ou moins appliquées, en fonction des compétences, des contraintes budgétaires et techniques ainsi que des différents acteurs. D’après notre expérience à l’hôpital Nord Ouest, ce qui a accéléré la prise en compte de la sécurité pour l’ensemble des utilisateurs du SI, qu’ils soient soignants ou personnel administratif, c’est la cyberattaque que nous avons subi sur notre établissement support, le CH de Villefranche sur Saône. Et ce, malgré des campagnes de prévention portées par notre RSSI qui n’ont pas suffi à nous protéger d’une panne généralisée et totale de notre SI. »

Faut-il  donc un tel électrochoc pour faire changer les mentalités ?

« Malheureusement, c’est exactement ce qui s’est passé pour nous et je crains que ce soit très souvent le cas. Il reste encore énormément de travail à accomplir sur la formation des usagers de nos systèmes d’informations. Cette cyberattaque a permis une prise de conscience et une accélération des mesures sécuritaires au sein de notre GHT. Elle a démontré que la sensibilisation à la sécurité était l’affaire de tous, puisque la faille de sécurité première vient d’une mauvaise manipulation d’un utilisateur. J’aurai naturellement préféré que ça se passe autrement… »

D’où votre décision de communiquer très largement autour de ce rançongiciel, dans un souci de pédagogie ?

« Tout à fait. Dès les premières heures de l’attaque, nous avons pris le partie de diffuser un communiqué de presse pour faire prendre conscience aux utilisateurs, aux politiques, à l’ensemble des acteurs institutionnels et au grand public de l’ampleur de la menace. D’autant plus que face aux différentes vagues de Covid, nous n’avions pas besoin de lutter aussi contre de tels actes criminels. Si je participe bien volontiers à des événements tels que le CyberCamp Santé c’est pour faire de la pédagogie et dire stop à certaines idées reçues. On entend souvent dire  que les hôpitaux publics ne sont pas sécurisés, c’est complètement faux ! Ils le sont, ce qui ne les empêche pas d’être exposés à des risques comme n’importe quelle entreprise. Les représentants politiques se sont très vite emparés du sujet. Après la visite du Ministre des Solidarités et de la Santé, Olivier Véran, la même semaine que la cyberattaque nous avons eu une visioconférence avec le Président de la République, Emmanuel Macron qui en a profité pour annoncer son plan cyber. Il était important de montrer que personne n’est à l’abri, même des établissements très informatisés et souvent en avance comme l’était le CH de Villefranche sur Saône. Nous avons beaucoup communiqué pour servir de détonateur. La menace existe, il faut en avoir conscience et tout mettre en œuvre pour la limiter. D’après les retours de certains de mes collègues, le message est en train de porter ses fruits, servant notamment à débloquer des budgets en faveur de la sécurité et c’est tant mieux !  »

Qu’en est-il au niveau européen ?

« La directive Network and Information System Security (NIS) qui s’applique désormais aux établissements support de GHT va dans le bon sens. Elle reste cependant compliquée à appliquer. Je plaide souvent en faveur de la formation continue pour nos personnels ingénieurs et RSSI, tant le domaine de la sécurité nécessite des compétences, en termes d’audit, de mise en place de plan d’actions et de définition d’une politique de stratégie de sécurité. Je suis aussi favorable pour l’intégration d’un volet sécurité des SI, dans tous les cursus universitaires. La sensibilisation ne concerne  pas que le monde de la santé, elle touche toute la société. »

BIO EXPRESS
Travaillant dans le numérique en santé depuis juillet 2000, Nasser Amani a mené de nombreux projets et réflexions autour des dossiers patients informatisés ainsi que des échanges de données entre professionnels de santé, établissements hospitaliers et médecine de ville. Directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes – dont l’établissement support, le CH de Villefranche sur Saône, a été victime d’une cyberattaque en février 2021 – il est à la tête d’une équipe de 34 personnes qui assure le maintient des conditions opérationnelles du SI de l’ensemble du GHT. Au cours de sa carrière, il a également œuvré au déploiement d’outils et d’applications métiers dans les 300 établissements sanitaires ou médico-sociaux de la Croix- Rouge française.

« Faire monter collectivement
le niveau de maturité des hôpitaux  » 

Convaincu que la transformation numérique est l’avenir des établissements de santé, Rodrigue Alexander a engagé le CH d’Arles, dont il est directeur adjoint, dans la démarche « hôpital sans papier ». Son témoignage sur la cyberattaque par ransomware de son système informatique, en août 2021, devrait convaincre les plus réticents de la nécessaire sensibilisation aux risques encourus et des moyens de contrer cette menace grandissante.

Finances, activités et SI, la direction que vous occupez au CH d’Arles, depuis 2017, a un périmètre très large. Est-ce, à votre avis, une condition sine qua non pour mener à bien la transformation digitale d’un établissement ?

« Ce n’est pas obligatoire, mais ça aide énormément au quotidien, notamment pour convaincre les personnels de l’intérêt du changement et lever certaines résistances. Je suis passionné par la transformation numérique et persuadé que c’est l’avenir des hôpitaux, en termes d’amélioration de la qualité de prises en charge, d’efficience et d’harmonie des conditions de travail pour les professionnels. La direction que j’occupe englobe également le contrôle de gestion, les admissions et facturations, le service social, les archives ainsi que les secrétariats médicaux. Elle me donne donc une vision assez large de la transformation digitale de l’établissement. Quand j’ai pris mon poste en 2017, je me suis très rapidement retrouvé avec énormément de documents à parapher et de bordereaux à signer pour le trésor public. J’ai alors engagé le CH d’Arles dans la démarche « hôpital sans papier », en mettant en place une dématérialisation des échanges entre l’ordonnateur et le comptable pour le service financier, ainsi qu’une digitalisation complète avec dictée numérique, reconnaissance vocale, messagerie sécurisée et signature électronique sur l’ensemble de la chaine des compte rendus médicaux, des consentements opératoires et de toute la production de courriers. »

Rodrigue Alexander,
Directeur adjoint du CH d’Arles chargé des finances, de l’activité et du système d’information

Et puis, le 2 août 2021, votre établissement est victime d’une attaque informatique par ransomware de grande envergure…

« A côté des projets fonctionnels qui sont visibles, il existe aussi tous les projets techniques qui sont la face cachée de l’iceberg. Avant août 2021, nous avions déjà commencé à travailler à une logique de sécurisation informatique qui, malheureusement, n’a pas suffi à nous protéger d’assaillants malveillants. Nous nous sommes donc réveillés un lundi matin face à une cyberattaque massive ayant mis à plat, par ransomware, tout notre système informatique. »

Ce jour là, comment avez-vous réagi ?

« Le jour où le ciel vous tombe sur la tête, il faut d’abord essayer de comprendre ce qui vous arrive. Nos premiers réflexes ont été de suivre une procédure assez classique de mise en sécurité, à savoir couper les accès internet et désactiver l’ensemble des liens avec notre cœur de réseau, l’isoler pour éviter la contagion, comme pour un virus médical. Très rapidement ensuite, nous avons rempli un processus de déclaration obligatoire permettant de qualifier, dans la journée, la nature des dégâts. Et puis surtout, puisque nous sommes un hôpital et non un site de e-commerce, nous avons activé le plan de continuité d’activité pour que les désagréments informatiques n’aient pas de conséquences néfastes pour les malades. » 

​Le passage en procédure dégradée a-t-il été difficile ?

« Dans notre malheur, nous avons eu la chance de pouvoir retirer les bénéficies du travail mené depuis deux ans sur des démarches qualités. La rédaction d’un plan de continuité de l’activité (PCA) dans le cadre du programme HOP’EN a notamment été très utile. Ces acquis nous ont évité de rajouter de nouveaux désagréments techniques à la permanence des soins. Par une cellule de crise, des points entre professionnels plusieurs fois par jour pour mesurer l’étendue des dégâts, nous avons réussi à réajuster les procédures quand elles n’étaient pas suffisantes et à prioriser les actions de contournement. Un exemple parmi des dizaines, le premier soir s’est posé la question de l’interprétation des examens d’imagerie des patients pris en charge aux urgences. Pour y répondre, nous avons eu recours à un abonnement taxi, assurant le transport des résultats de chaque examen, gravés sur CD, au service radiologie du CHU de Nîmes, situé à 30 minutes. »

Quel bilan tirez-vous de cette cyberattaque ?

« Même si notre anticipation technique était cohérente par rapport aux moyens consacrés à l’évolution technologique de notre SI et qu’elle nous a bien aidé le jour J, quand on se retrouve au cœur du cyclone, on est forcé de constater que le niveau de maturité des hôpitaux est assez léger face à ce type d’attaques, par rapport à d’autres secteurs beaucoup mieux armés. Je pense notamment aux investissements massifs réalisés par les établissements bancaires. En comparaison, nos petites structures sont à des années lumière des procédures de sécurité qu’exige ce nouveau risque ! Cette cyberattaque a cependant été un accélérateur des projets de sécurisation informatique et de sensibilisation auprès des utilisateurs, avec des actions  dédiées au phishing ou le recours aux serious games. Comme la vaccination, ces campagnes informatives ont pour objectif de maintenir un niveau d’anticorps suffisamment élevé au sein du corps hospitalier. »

Pourquoi avez-vous accepté de participer à la deuxième édition du CyberCamps Santé ?

« Pendant un temps, il était un peu honteux d’avouer avoir été piraté et pour les directeurs d’établissements ou les DSI, c’était l’apanage des mauvais. L’acculturation à l’ampleur du risque restait bien insuffisante. Depuis que nous en avons été victime, j’en parle de manière totalement décomplexée pour partager notre expérience et montrer la complexité d’une cyberattaque. Je suis convaincu que c’est par une plus grande communication autour des risques encourus par chaque établissement que nous augmenterons notre niveau de maturité collective et que nous détournerons les attaquants du secteur de la santé ! »

BIO EXPRESS
Directeur d’hôpital de formation, Rodrigue Alexander est passionné par les enjeux de transformation numérique de l’hôpital public. Après avoir été directeur adjoint chargé de la performance et des systèmes d’information au CHI Compiègne-Nyon, il a rejoint la direction du CH d’Arles où il est responsable, depuis 2017, des finances, de l’activité et du système d’information. Dans cet établissement, il a piloté sur le deuxième semestre 2021, la gestion d’une cyberattaque par ransomware s’étant déroulée début août. Ont ainsi été mis en place un plan de reprise d’activité à l’aide de technologies variées et la reconstruction d’un système d’information beaucoup plus robuste. Le retour d’expérience de ce spécialiste est particulièrement précieux pour connaitre le véritable coût d’une cyberattaque.