🐙 Pouvez-vous nous parler des exercices de gestion de crise mis en place au sein de l’association IRSAM (Institut Régional des Sourds et Aveugles de Marseille) ?

👉 Pour réaliser l’exercice de gestion de crise cyber, nous avons mobilisé les fonctions essentielles à la gestion de crise, soit la direction générale, moi-même, le RSI/RSSI, le service communication et également le responsable du déploiement du dossier usager.

En amont de l’exercice, un guide nous est transmis. Il permet de comprendre ce qu’est une crise cyber, dans sa globalité, et nous précise les modalités de l’exercice.

Suite à l’exercice, il y a eu deux phases de debriefing : une à chaud, dans la foulée, et une seconde quelques semaines plus tard.

Sur le terrain, la participation à cet exercice a conduit à la mise en place de plans d’action. Nous nous sommes ainsi très vite rendu compte que le plan de reprise et de continuité d’activité nous manquait. Cela a donc appuyé notre volonté de nous engager dans ces travaux.

Si le scénario est très éprouvé, nous avons tout de même eu un léger décalage du fait que nous comptons une trentaine de sites avec des critères qui s’appliquent soit par site, soit de manière globale. Cet aspect n’était pas vraiment pris en compte dans l’exercice. Les directeurs des autres sites étaient acteurs car sollicités par la cellule de crise mais ils n’en faisaient pas partie. Pour le prochain exercice, je me demande dans quelle mesure nous pourrions prévoir d’inclure des directeurs ou représentants des établissements afin qu’ils puissent participer à la cellule de crise, ou du moins au debriefing avec la création d’une séquence qui leur serait dédiée.

C’était une expérience vraiment riche et intéressante. Cela a permis aux acteurs, et notamment à la direction générale, de comprendre réellement ce qu’est une crise cyber et de s’y préparer.

Il est très important que le secteur médico-social soit intégré dans cette dynamique car les établissements ont souvent le sentiment que la menace ne concerne que les GHT et les gros établissements. Le risque zéro n’existe pas et les structures sociales et médico-sociales sont des cibles.

Cette sensibilisation est donc primordiale car nous devons nous préparer.

La cybersécurité c’est finalement beaucoup d’organisation et de pragmatisme.

🐙 Vous avez participé à la création d’une méthodologie “simplifiée”, adaptée au secteur médico-social pour créer un PCA-PRA. Pouvez-vous nous en parler ?

👉 Le secteur social et médico-social n’a pas forcément les organisations et les ressources adaptées pour travailler sur ce genre de sujet. Bien souvent ce sont les directeurs d’établissements, voire les responsables qualité, qui vont se saisir de ce sujet qui est au-delà de leur périmètre.

L’objet du kit est ainsi de proposer une méthodologie simplifiée, qui s’appuie sur la méthode standard. Cette simplification permet d’étayer avec des définitions pour expliquer notamment ce qu’est un plan de continuité d’activité, quelles en sont les différentes étapes, mais aussi d’illustrer avec des éléments propres au secteur pour donner du sens à cette méthode.

Le kit se compose de deux livrables :

Le premier outil, très synthétique, va fournir les éléments clés, les lignes conductrices et des éléments pratico-pratiques. Cet outil est facile à appréhender, même par quelqu’un dont ce n’est pas le métier.

Le second outil est un guide constitué de fiches pratiques pour chaque étape de la méthode.

En tant que DSIO de l’IRSAM, je me suis donc portée volontaire pour tester, avec mes collègues, cette méthodologie.

Au sein de l’association IRSAM, nous avons un RSSI qui a déjà établi un diagnostic sur le volet SSI. Aujourd’hui, nous avons décidé de différer cette mission, à l’exception faite de certains correctifs urgents. Nous allons nous concentrer sur nos objectifs de continuité d’activité pour ensuite décliner un plan de continuité informatique, car les mesures techniques vont venir en réponse aux enjeux organisationnels. La continuité d’activité est une question d’organisation et non une question informatique, et l’identification des process critiques et des attentes de continuité doivent être donnée par le métier.

Concernant l’expérimentation de la méthodologie, nous allons également la tester sur une structure composée de deux sites. Cette structure, plus petite et avec moins de technicité, aura certainement beaucoup plus d’agilité. Je pense que ces deux regards croisés sur le guide seront complémentaires.

🐙 Que pensez-vous de la mise en place d’une “boîte à outils” dans laquelle les établissements médico-sociaux pourraient venir piocher des prestations flash ?

👉 C’est très intéressant de pouvoir s’appuyer sur des services et des offres qui sont déjà négociés et packagés. Nous n’avons pas forcément les compétences pour aller chercher les marchés et les étudier. En ce qui concerne la cybersécurité, il y a des sujets comme les diagnostics, les tests d’intrusion mais également les solutions EDR.

Faciliter l’achat en proposant un catalogue de services serait très adapté au secteur médico-social. Ce type d’offre serait d’ailleurs intéressant sur le SI de manière plus globale.

Il y a également un intérêt à avoir d’autres types de prestations mutualisées, comme des DSI ou RSSI mutualisés, pour piloter mais également des ressources purement opérationnelles.

Le programme ESMS numérique a cette volonté, au-delà d’équiper le secteur en dossier usager informatisé, de favoriser la mutualisation autour de la question du SI.

Sur cette question des SI, le secteur médico-social se prête à la mutualisation aujourd’hui.

🐙 Dans l’idée de favoriser la résilience des établissements sanitaires, une des premières initiatives nationales a été de mettre en place un programme d’exercices de gestion de crise. Un an après sa mise en œuvre, quel est votre regard sur ce dispositif ?

👉 La gestion de crise est la première marche de prise de conscience qui va au-delà des acteurs du système d’information. Tant que les acteurs ne sont pas confrontés soit à une vraie attaque, une vraie crise ou un exercice, il est très compliqué pour eux de se mettre dans une posture dans laquelle ils peuvent imaginer ne plus avoir d’informatique pendant plusieurs jours ou même semaines.

Il est primordial de faire prendre conscience de la capacité à s’organiser pour continuer à travailler sans informatique. Cette crise a également besoin d’être gérée par les acteurs du numérique qui doivent se réorganiser dans une composition différente pour gérer ce qui continue à fonctionner, investiguer sur ce qui ne marche plus, commencer à réparer et mettre en place des moyens dégradés de fonctionnement.

Les exercices impulsés à l’échelle nationale ont vraiment été une étape nécessaire qui permet aux hôpitaux, en termes de gouvernance, de prendre conscience qu’il faut s’organiser différemment et se préparer ensemble.

Prendre conscience c’est bien, mais ça ne suffit pas. Une fois que les acteurs ont été sensibilisés, il faut réaliser des plans d’action et améliorer cette résilience au travers d’un fonctionnement combiné à la fois des gouvernances, avec une cellule de crise décisionnelle, et des acteurs du SI, avec une cellule de crise systèmes d’information. L’alchimie nécessaire est la bonne coordination de ces deux niveaux de prise de décision, auxquels s’ajoutent les niveaux régionaux, préfectures qui viennent s’articuler dans un dispositif sanitaire classique, de type plan blanc ou situation sanitaire exceptionnelle.

🐙 Au travers du programme européen Safecare, vous avez développé une approche par les risques. Pouvez-vous nous en parler ?

👉 Le projet Safecare avait pour but de se positionner dans une réflexion de sécurité globale pour les systèmes critiques de santé.

On peut imaginer une catastrophe naturelle qui amène un flux considérable de patients dans un établissement qui, en même temps, subit une cyberattaque qui neutralise ou ralentit son système d’information.

Les sources d’attaques, malheureusement, sont nombreuses et c’est dans leur combinaison qu’elles deviennent extrêmement critiques à gérer. Nous avons donc modélisé ces aspects pour voir comment une sécurité globale donnerait une meilleure réponse qu’une sécurité
par périmètre.

Dans l’organisation, il est extrêmement important de pouvoir prendre en compte cette cascade d’impacts, d’autant plus que la numérisation globale de tous les systèmes et leur interconnexion est montée d’un cran en une petite dizaine d’années. La communication et l’entrelacement de tous ces systèmes sont interdépendants. Un incident sur un composant peut, en cascade d’impacts, arriver à un impact patient. Et cette cascade d’impacts, elle est d’autant plus complexe à identifier en prévention ou en amont de l’impact majeur qu’il y a de composants intermédiaires et d’interconnexions.

La capacité d’anticiper les scénarios des cascades d’impacts est l’avenir de la gestion de crise.

🐙 En tant que vice-président du Club des RSSI des ES, pensez-vous qu’il soit intéressant de trouver des synergies avec d’autres secteurs d’activité ?

👉 Dans le cadre du projet Safecare, nous avons fait cohabiter des partenaires industriels, universitaires et hospitaliers de dix pays différents, soit des acteurs de typologies différentes et de pays différents. Si chacun a sa manière propre d’appréhender le risque, tous sont finalement assez en accord sur les composants d’un risque, les choses à protéger, celles que l’on redoute, etc.

Dans ce sens, la méthode de l’ANSSI et du club Ebios Risk Manager est une approche qui met tout le monde d’accord et permet d’avoir une vision globale, y compris pour les
domaines non SI.

L’aspect transversal de la prise en compte de la sécurité est également important sur le plan de la reconstruction. Si 2023 a été l’année de prise de conscience du besoin de gérer les crises, l’enjeu des trois prochaines années est celui de la reconstruction.

Malgré la complexité des systèmes, il faut être en mesure de redémarrer, dans un délai de quelques jours, un hôpital dans son fonctionnement minimal, capable de consulter et le DPI, la pharmacie, les résultats d’analyse…

Ce redémarrage implique des moyens lourds car il faut faire appel à une coordination bien au-delà des hôpitaux, pour être capable de provisionner ces systèmes de crash recovery qui vont permettre de remonter une partie du SI de manière simplifiée en provisionnant des moyens très rapidement. Cette ambition doit être portée par le niveau national et
déclinée au niveau régional.

Si nous voulons vraiment prendre à bras le corps la sécurité des SI dans les hôpitaux, il faut désormais, au-delà de consolider le niveau de sécurité des composants existants, ce que les piliers du programme CaRE ont embarqué dans leur stratégie, embarquer la reconstruction du SI de manière générique. Être capable de reconstruire les systèmes rapidement diminuerait aussi l’attractivité des systèmes hospitaliers aux yeux des hackers.

Nous devons être prêts à réagir, organisés et capables de se reconstruire rapidement.

🐙 Comment s’est mis en place le dispositif d’exercices de gestion de crise à l’échelle du territoire du GHT 06 ?

👉 En fin d’année 2022, l’obligation d’organiser des simulations de crises cyber pour l’ensemble des établissements de santé a été annoncée. J’ai donc voulu organiser des exercices auprès de l’ensemble des établissements du GHT et j’ai été confronté à des difficultés de mobilisation des directions générales.

Sous l’impulsion de l’ARS, le GRADeS ieSS, au travers de CAPSI, a alors proposé de prendre le lead sur le sujet en termes de planification, d’organisation, de relances, etc. Cette impulsion régionale a permis de mobiliser les directions générales et de se mettre en ordre de marche.

Dans la pratique, CAPSI a fait intervenir des tiers de confiance, Orange, Advens et Crisalyde, pour mettre en place les exercices de gestion de crise dans les établissements du GHT.

Le résultat de ces exercices est unanime : tous les sites demandent de nouvelles sessions !

Grâce à ces exercices, les équipes sont montées en maturité sur ce qu’est une crise cyber. Elles ont compris que ce n’était pas qu’un problème informatique mais un problème d’organisation et de continuité des activités de l’établissement.

Le premier exercice est justement là pour faire prendre conscience aux établissements qu’une crise numérique est un véritable problème d’organisation, de continuité des soins, de fonctionnement d’un hôpital, une crise systémique qui embarque tous les métiers, à commencer par la gouvernance des établissements.

Les exercices de gestion de crise ont été l’occasion de montrer les outils existants et notamment la main courante qui nous permet de piloter les crises, que ce soit de manière individuelle, pour chaque établissement, ou au sens du GHT. Les équipes ont également pu comprendre l’importante différence entre une continuité d’activité pour un établissement, soit la continuité des soins, et une continuité d’activité informatique. En effet, le plan de reprise d’activité informatique n’est qu’une partie du plan de reprise d’activité
d’un établissement.

Ces exercices ont permis de mettre en lumière certains services proposés par le GRADeS ieSS, au travers de CAPSI, tels que la force d’intervention rapide cybersécurité. Ce service, qui répond à un besoin d’extrême urgence, nous est proposé en direct et de manière régionale, nous déchargeant ainsi d’un important poids financier.

🐙 Les exercices sont suivis de deux phases de debriefing. Quel est, selon vous, l’intérêt de ces deux étapes ?

👉 À la suite des exercices, il y a eu un premier debriefing à chaud. Lors de ces tours de table, qui se sont déroulés dans une grande bienveillance et dans une optique d’amélioration continue, les points forts et les axes d’amélioration ont été mis en évidence. C’est d’ailleurs à ce stade que le souhait de participer au niveau deux des exercices dès 2024 a été émis. D’une manière plus générale, notre souhait est de pouvoir réaliser, une première fois, ces exercices de gestion de crise à plusieurs niveaux pour ensuite pouvoir les répéter chaque année : la répétition fait partie de l’apprentissage.

Le jour où une cyberattaque se produira, le stress des équipes sera moins important car elles seront entraînées à prendre les bonnes décisions et à mener les bonnes actions.

Ce premier debriefing a donc servi à définir les actions prioritaires et les manquements. Il a aussi mis en évidence la nécessité de mobiliser de nombreux acteurs. Comme tout le monde croyait qu’il ne s’agissait que d’une question informatique, la mobilisation n’était pas forcément toujours suffisante.

Quelques semaines plus tard, une deuxième étape de debriefing a eu lieu. Elle a permis d’apporter des propositions concrètes d’amélioration et des orientations. Toutes les directions générales ont pris avec sérieux et bienveillance cette phase de l’accompagnement.

Cet accompagnement, mené par CAPSI et proposé au niveau de la région est une excellente initiative. Il aurait été impossible de mettre en place, en interne, toute l’organisation, le financement et le choix du prestataire, dans un délai aussi court.

🐙 Au-delà des exercices de gestion de crise, le GHT a-t-il bénéficié d’un autre accompagnement régional dans le domaine de la cybersécurité ? Pensez-vous que d’autres sujets devraient être portés au niveau régional ?

👉 La formation de tous les personnels est un élément important. CAPSI nous a proposé des campagnes de sensibilisation, avec notamment des affiches qui ont été mises à disposition, affichées et utilisées comme des écrans de veille pour rappeler les bonnes pratiques. Elles expliquent ce qu’est le RGPD, le phishing, etc. et permettent aux utilisateurs de s’approprier la réflexion autour de la cybersécurité et des potentiels impacts, dans leur vie professionnelle comme dans leur vie privée.

CAPSI a mis à notre disposition une plateforme de e-learning qui délivre un certificat aux personnes ayant suivi les parcours. Les statistiques de la plateforme nous sont transmises pour que nous puissions évaluer la participation des équipes du GHT à ces formations.

Un autre service dont nous bénéficions est l’accès à une astreinte 24/24, 7j/7, qui permet de déclencher la force d’intervention rapide en cas de cyberattaque ou de suspicion.

Le besoin, selon moi, est que les sujets doivent être, le plus possible, portés au niveau régional. Cela a un intérêt de massification et de gain financier puisqu’il y a mutualisation et économies d’échelle. Le gain de temps est également important car il n’est plus nécessaire que chaque établissement fasse des cahiers des charges ou repasse des marchés.

Dans le cas du programme CaRe, par exemple, un outil de scan de vulnérabilités doit être mis en place. Plutôt que chacun fasse la démarche, il me semble plus judicieux que le GRADeS fasse l’acquisition de cet outil et le mette à disposition des établissements de la région.

Un autre sujet, d’une grande importance, est celui de la reconstruction d’une salle machine après une cyberattaque. Aujourd’hui, on sait qu’on sanctuarise la sauvegarde de manière complètement séparée et isolée. Il faut désormais pouvoir redémarrer dans des délais plus courts et non sur des périodes de plusieurs mois d’interruption.

Enfin, il y a de nombreux sujets sur lesquels nous avons besoin d’échanger et de mutualiser. C’est là que le GRADeS est incontournable : nous avons besoin du GRADeS pour fédérer notre communauté.