Le 28 novembre dernier, la ministre des Solidarité et de Santé a lancé une campagne nationale d’information sur la cybersécurité dans le secteur de la santé, « Tous cybervigilants ». Une initiative qui tombe à pic compte tenu des derniers incidents cyber majeurs qui ont touchés notamment le groupe de santé Ramsay et le CHU de Rouen.
En France, le taux de pénétration d’Internet ne cesse de croître. Il était de 88% en 2018. Le secteur de la santé ne fait pas exception. Le numérique s‘impose aussi bien en interne dans les soins et la gestion administrative, qu’en externe par les patients.
Santé et numérique désormais indissociables
« En interne, dans les établissements de santé, le numérique est présent partout, dans la quasi-totalité des métiers. On pense aux résultats d’analyses, aux dispositifs médicaux, aux logiciels de paie, mais le numérique c’est aussi le badge pour accéder à la cantine ou le système de climatisation », peut-on lire dans le dossier de presse présenté par le gouvernement le 28 novembre 2019. « En externe, 3 Français sur 4 se disent prêts à communiquer avec leurs praticiens par des canaux numériques », est-il précisé.
Le numérique offre aujourd’hui de multiples possibilités pour atteindre un grand nombre de victimes, rapidement et à très faible coût. La ministre de la Santé, Agnès Buzyn, a rappelé que les risques cyber pesant sur la santé était en constante augmentation. Et les données de santé peuvent rapporter gros aux hackers. En 2016, l’un d’eux a vendu plus de 9 millions de dossiers d’assurance –maladie de patients américains pour près de 500 000 euros.
Une campagne nationale de sensibilisaton
La campagne présentée fin novembre intervient dans le cadre du plan de renforcement de la prise en compte du risque numérique en santé. Il s’agit de la première campagne nationale de sensibilisation et d’information sur les risques numériques en santé de cette ampleur. « Son enjeu fondamental vise à mobiliser et mettre en mouvement tout l’écosystème de la e-santé pour accéder collectivement à un niveau supérieur de vigilance et d’entraide en matière de cybersécurité ».
La campagne de sensibilisation lancée par le gouvernement répond à trois objectifs. Il s’agit d’abord d’inscrire la cybersécurité au cœur du dispositif de gouvernance des établissements de santé et d’y dédier un budget spécifique. Le second objectif vise à instaurer une véritable hygiène numérique au sein des établissements de santé.
Instaurer une véritable hygiène numérique dans le secteur de la santé
Le gouvernement a profité du lancement de la campagne pour rappeler les règles d’une bonne hygiène numérique en établissement de santé :
- Tenir un inventaire de l’ensemble du matériel numérique et des logiciels utilisés (gestion, biomédical, gestion technique, IoT, etc)
- Contrôler les droits d’accès sur les différents systèmes
- Limiter le nombre d’utilisateurs dotés de privilèges administratifs
- Choisir avec soin un mot de passe distinct pour chaque compte
- Sauvegarder régulièrement ses données
- Eviter de transférer des données professionnelles sur un compte personnel
- Effectuer les mises à jour des logiciels
- Ne pas cliquer trop vite sur des liens
- En cas de cyberattaque, assurer la continuité d’activité en ayant des procédures de travail n mode dégradé et en essayant de déterminer au mieux les moments où il est possible de se passer en partie ou totalement du numérique
- Ne pas céder à la panique en cas d’incident et avoir les bons réflexes. Il est très important de déconnecter la machine infectée du réseau pour stopper l’attaque. Il faut également prévenir sa hiérarchie
Renforcer le collectif de la e-santé
Le dernier objectif de cette campagne est de renforcer le collectif national de la e-santé. « La communauté de la e-santé est une réponse aux difficultés que rencontrent certains établissements. Elle se nourrit des informations et de la veille réalisée par la cellule cyber du ministère des Solidarités, en collaboration avec l’ANSSI, mais aussi des bonnes pratiques, des retours d’expérience et des signalements des établissements de santé », a indiqué le ministère de la Santé dans le dossier de presse présentant la campagne de sensibilisation.
Un dispositif opérationnel pendant un an
Concrètement, comment va se dérouler cette campagne nationale de sensibilisation ? Elle sera déployée de la fin d’année 2019 au premier trimestre 2020 sur différents supports de communication : presse professionnelle print et en ligne, ainsi que sur les réseaux sociaux. Pour compléter son action, le gouvernement a également prévu des actions concrètes au cœur des territoires.
La campagne prévoit notamment la création de « Rencontres régionales de la cybersécurité » en 2020. Ces événements, organisés dans toute la France, seront animés par le pôle cyber du Ministère de la Santé, l’ASIP santé et les ARS (Agences Régionales de Santé). De nombreux ateliers, des tables rondes ainsi que des conférences viendront également alimenter la campagne tout au long de l’année.
