Comment un hôpital survit à une cyberattaque ? Comment renforcer la cybersécurité des établissements de santé ? Quelles initiatives innovantes pour mieux protéger les établissements de santé ? Ce sont ces questions d’actualité qui ont irrigué la 4ème édition de la conférence Cyber & Santé, au cœur de l’European Cyber Week en novembre à Rennes. Cet événement, qui a réuni de nombreux professionnels de la santé et de la cybersécurité, était organisé par Biotech Santé Bretagne en partenariat avec le SIB.
Retour d’expérience du centre hospitalier de Dax victime d’une cyberattaque
Le témoignage de Nicolas Terrade, RSSI du centre hospitalier de Dax, était nécessaire et éclairant sur la situation de crise vécue par un établissement de santé victime d’une cyberattaque. Dans la nuit du 8 au 9 février 2021, le système d’information de l’hôpital a été « cyber attaqué ». Pour le RSSI ça a été le chaos et il a fallu réagir vite pour limiter la propagation de l’attaque. L’informatique et la téléphonie étaient inaccessibles, l’impact sur le fonctionnement de l’hôpital a été immédiat : retour au papier/ crayon pour la gestion des patients, les comptes-rendus médicaux ou les commandes à la pharmacie, arrêt total de la radiothérapie et de la chimiothérapie, disparition des plannings de rendez-vous et plans des lits, absence de traçabilité à la stérilisation qui ont entraîné une déprogrammation de certaines opérations, etc. Les équipes ont rapidement pris conscience du risque de perte de chance pour certains patients.
A côté du travail de rétablissement du système d’information, il a fallu gérer la déclaration immédiate de l’incident auprès de la police, de la CNIL, de l’ARS mais aussi de l’ANSSI. Les nombreuses sollicitations externes (délégations officielles et enquêtes) et le déchaînement médiatique ont été très chronophages.
Après la tempête, le fonctionnement en « mode dégradé » s’est mis rapidement en place avec des outils de communication informels. L’hôpital a mené une analyse forensique avec l’aide d’un prestataire externe et a mis en œuvre un plan d’action pour stopper et éradiquer complément l’attaque avec l’aide de l’ANSSI.
Par la suite, la DSI s’est attelée à la reconstruction d’un système d’information plus solide et plus sécurisé. Le niveau de sécurité a été renforcé grâce a de nombreuses solutions techniques. Un an et demi après l’attaque, le centre hospitalier de Dax a retrouvé un système d’information quasi normal mais il reste encore du travail pour récupérer les données perdues et certaines interfaces métiers. Des actions de sensibilisation et de formation à la sécurité informatique du personnel de l’hôpital sont en cours. En effet, le 1er pilier de la sécurité du système d’information ce sont les agents du centre hospitalier.
L’attaque aura été coûteuse en termes de ressources humaines et de budget pour l’hôpital, sans oublier les parcours de soin des patients qui ont été impactés par la déprogrammation et la réorganisation des soins.
« Malheureusement il faut attendre une cyberattaque pour prendre pleinement conscience de l’importance du SI hospitalier et de sa sécurisation. Si la cybersécurité des établissements de soin était davantage pensée et anticipée par l’ensemble du personnel, l’impact d’une cyberattaque serait largement diminué » analyse Coralie Borniambuc, chargée de projets e-santé chez Biotech Santé Bretagne.
Cet évènement, certes dramatique, a permis de servir d’exemple pour les RSSI de centres hospitaliers auprès des équipes de professionnels. Les retours d’expériences ont été une vraie source de prise de recul et de compréhension. Le GCS e-santé, en partenariat avec Arnaud Meunier (RSSI au Centre hospitalier de Cornouaille Quimper-Concarneau) et Nicolas Terrade (RSSI au Centre Hospitalier de Dax), a réalisé une vidéo de retour d’expérience permettant la mise en avant du ressenti des différents professionnels d’un établissement de soin.
L’innovation au service de la cybersécurité pour les établissements et la prise en charge des patients hors hôpital
Suite au retour d’expérience du centre hospitalier de Dax, la conférence Cyber & Santé s’est poursuivie par deux interventions de porteurs de projets lauréats de l’appel à manifestation d’intérêt « Sécuriser les territoires » lancé par l’Etat : le projet <BALISE> (solution de marquage des données aux différents stades de leurs traitements) et le projet de virtualisation de l’hébergement hospitalier (Sécurisation des objets connectés servant aux soins à domicile).
« L’appel à projets « Sécuriser les territoires » qui permet d’expérimenter la sécurisation intégrale d’un établissement de santé répond à un réel besoin du terrain comme en témoigne le retour d’expérience du CH de Dax. Les acteurs de la santé espèrent vivement que l’Etat va aller au bout de cet AMI et financer les projets d’expérimentation. »
Coralie Borniambuc, chargée de projets e-santé chez Biotech Santé Bretagne
La conférence Cyber & Santé s’est terminée par la présentation du Cyber Range Santé (un environnement de test de cybersécurité destiné à évaluer les SI de santé) et de stratégies de cyber résiliences, moyens permettant de rester efficace et performant lors d’une cyberattaque.
Biotech Santé Bretagne au cœur de la problématique cyber & santé
C’est la 4ème année que Biotech Santé Bretagne propose une conférence cyber & sSanté dans le cadre de l’European Cyber Week, organisé par le Pôle d’Excellence Cyber. Cet événement représente tous les ans une occasion de réunir des acteurs de la santé et de la cybersécurité. Ce temps privilégié leur permet de s’informer et surtout de se rencontrer afin d’initier des projets innovants en matière de cybersécurité en santé.
CyberLab Santé : référentiel des prestataires cyber pour la filière santé
En 2021, Biotech Santé Bretagne a collaboré avec le Pôle d’Excellence Cyber pour la réalisation du CyberLab Santé, un catalogue référençant les services et prestataires de cybersécurité à destination des acteurs de la santé (établissements de santé et éditeurs de solutions de santé). [En savoir plus…]
💡 Des questions ?
Vous pouvez contacter notre chargée de projets e-santé, Coralie Borniambuc ou notre responsable de la filière santé, Hélène Le Pocher [voir les contacts].
Aller plus loin 🎧
Le premier podcast de Bretagne Développement Innovation traite de la cyber attaque de l’hôpital de Dax en février 2021. Ecoutez les témoignages de Nicolas Terrade, Responsable Sécurité des Services Informatique au Centre Hospitalier de Dax ; Arnaud Meunier, Responsable Sécurité des Services Informatique au Centre hospitalier de Cornouaille Quimper-Concarneau et Gilles Larroche, chef de projet au sein du GCS e-Santé Bretagne. 👇
📰 A lire : le supplément du Journal des Entreprises “Cybersécurité à Rennes : un (en)jeu collectif“.
Publié le 12/12/2022