Cyber sécurité en santé

Article

Le niveau de menace cyber auquel notre pays est confronté impose une réaction supplémentaire à la hauteur des enjeux, sous peine d’assister à une désorganisation de notre système de santé. Les établissements de santé sont en effet des cibles particulièrement visées par les cyberattaques.

L’objectif est d’accompagner les structures de santé dans la sensibilisation des personnels, dans la durée et l'adoption de nouveaux comportements, individuels et collectifs, nécessaires pour protéger le système de soins des risques cybers et renforcer la confiance numérique. 

Situation

Dans un contexte où la pénétration croissante du numérique en santé va de pair avec une plus grande exposition aux risques numériques, la cyber sécurité est une condition de la confiance et de la transformation du système de santé.

Dans le cadre du volet santé de la stratégie nationale de cyber sécurité présentée par le Président de la République le 18 février 2021, une campagne nationale de sensibilisation et d’information sur les risques numériques en santé a été lancée, avec pour mot d’ordre : TOUS CYBERVIGILANTS !

 

Plan de renforcement de la cyber sécurité

En cohérence avec la feuille de route stratégique du numérique en santé, le ministère, en étroite collaboration avec l’Agence nationale de sécurité des systèmes d’information (ANSSI) et l’ensemble des acteurs de la santé, met en œuvre un plan d’action cyber qui couvre l’ensemble des structures de santé et s’appuie sur le renforcement des dispositifs existants. Cette accélération de la stratégie nationale en matière de cyber sécurité se traduit ainsi par un investissement de l’État, au travers notamment du Ségur de la santé et de France Relance.

Trois niveaux d’action : 

  • Le ministère assure le pilotage de la campagne, en coordination avec l’ANSSI et en lien avec les représentants du secteur de la santé (fédérations, conférences, …).
  • Les ARS déclinent cette campagne sur leurs territoires régionaux de santé, jusqu’au niveau des structures de santé.
  • Chaque structure sensibilise l’ensemble de son personnel et les usagers à la cyber vigilance, aux règles d’hygiène numérique, et aux enjeux de cyber sécurité*.

En Métropole, le renforcement de la cyber sécurité des ES s’articule autour des GHT, comme accélérateur des nouveaux usages numériques, organisé autour de la sécurisation des SI partagés, de la mutualisation des moyens cybers et des capacités de réponse à incidents.

La priorité est portée aux établissements de santé de référence (ESR), éléments clefs du dispositif de réponse aux situations sanitaires exceptionnelles et aux établissements de santé désignés comme opérateurs de services essentiels (OSE), autour desquels le renforcement de la cyber sécurité s’organise dans les territoires. Les établissements ultramarins, au regard de leurs fragilités territoriales et de leur éloignement par rapport à la métropole sont aussi avantagés.

 

Le rôle des ARS : en appui du pilotage national et de la mise en œuvre réalisée au sein des établissements

La déclinaison territoriale de la politique ministérielle de cyber sécurité par les ARS porte sur :

1. Sensibiliser aux risques cyber*

2. Faciliter le partage des pratiques et les actions de mutualisation (région et GHT)

3. Appuyer les structures de santé : en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident cyber

4. Contrôler :

  • par la production d’audits de sécurité et d’un plan de réduction des vulnérabilités,
  • la prise en compte de la protection des données et de la SSI, dans les projets SI-e-Santé et dans les investissements SI,
  • la préparation des ES (PCA numérique et plan de réponse à incident, prise en compte effective des prérequis cyber (financement HOPEN, SUN-ES, ESMS numérique…),
  • la déclaration systématique des incidents cyber par les établissements de santé

Menace n°1 : le phishing ou hameçonnage.

Il s’agit du mode opératoire le plus couramment utilisé par les pirates informatiques et notamment dans le secteur de la santé. Le phishing consiste en la collecte d’informations personnelles et/ou confidentielles par mail, en usurpant l’identité d’une entité connue (banque, Assurance Maladie, Police Nationale, Gouvernement, …). Pour plus de crédibilité, les pirates utilisent les noms et logos de l’entité, reproduisent les couleurs, etc.

Le plus souvent, ces messages proposent des offres avantageuses, des éligibilités à des primes ou remboursement fantaisistes, … Ils peuvent également s’accompagner de pièces jointes inattendue et provenir d’une adresse inconnue. Pour se prémunir face au phishing :

  • Méfiez-vous des offres alléchantes et des demandes suspectes ou urgentes, même si l’expéditeur vous semble a priori familier.
  • Ne communiquez jamais d’informations sensibles par mail, sms ou téléphone ;
  • En cas de doute, avant de cliquer sur un lien : positionnez le curseur de votre souris sur le lien hypertexte (texte ou image) et vérifiez la cohérence avec l’info-bulle qui s’affiche ;
  • Restez vigilent à la qualité des visuels présents dans le message (logos ou images pixélisées, mal affichées ou proportionnées), à la rédaction douteuse (fautes d’orthographe, de syntaxe) ;
  • En cas de doute, contactez directement l’organisme ou la personne concernée (ne faites par « Répondre » au message douteux). Prenez attache avec le référent sécurité de votre structure.

Menace n°2 : la récupération de mot de passe.

Pour déchiffrer les mots de passe, les pirates informatiques utilisent des robots qui testent des millions de combinaisons en un temps record. Utiliser un mot de passe trop simple ou identique à tous les outils rend vulnérable votre structure.

  • Ne partagez jamais vos mots de passe. Gardez-les secrets et ne les dévoilez à personne ;
  • Utilisez un mot de passe différent pour chaque outils/plateforme ;
  • Utilisez des combinaisons de caractères longues et complexes en alternant entre les chiffres, les lettres, les caractères spéciaux, les minuscules et les majuscules. N’hésitez pas à former des phrases codées du type « V0ici1mot2pass3b1complik&! » (« Voici un mot de passe bien compliqué ! » ;
  • Des services de gestion de mots de passe existent. Rapprochez-vous du référent sécurité de votre structure pour plus d’informations.

Menace n°3 : vos informations disponibles sur internet.

Les pirates informatiques peuvent utiliser vos informations personnelles et professionnelles pour deviner vos mots de passe et infiltrer vos ordinateurs. Soyez vigilent aux contenus que vous publiez en ligne et séparez vos usages privés et professionnels :

  • Évitez de dévoiler des informations professionnelles sur les réseaux sociaux ;
  • N’utilisez pas votre messagerie personnelle à des fins professionnelles ;
  • La diffusion d’informations patients doit se faire uniquement dans le cadre des outils prévus à cet effet ;
  • Ne branchez pas votre téléphone ou de clés USB personnels à votre poste informatique professionnel (et inversement) afin de limiter le risque de propagation de virus ;
  • Utilisez des mots de passe différents pour vos outils privés et professionnels.

Outils à télécharger

Affiche
Fichier HD (.pdf)
Fichier imprimeur (.pdf)

Visuels Réseaux sociaux
Facebook & LinkedIn (.jpg)
Twitter (.jpg)
Bannière (.jpg)

Dossier d'information
28 pages (.pdf)

Plaquette d'information
3 volets (.pdf)
Téléchargez le kit complet

 

Aller plus loin

Documents à télécharger

Liens utiles

Formations e-Santé : Cybersécurité en santé

*La plateforme d'e-learning de l'Agence du Numérique en Santé propose 6 nouveaux cours consacrés à la cybersécurité.

Accéder à la plateforme

Voir Aussi

médiation conflit
Un conflit au sein de votre structure ? Pensez à la médiation
Épidémie de rougeole : professionnels de santé, la conduite...
IRAPS : Instance Régionale d'Amélioration de la Pertinence des Soins Grand Est
La démarche pertinence en Grand Est
Numérique en santé | Professionnels de santé
Numérique en santé | Établissements et services...
Numérique en santé | Établissements sanitaires
DRIM-M : service national de partage d’images médicales
Sites ARS
Présentation
Vaccination tous concernés
Vaccination : Professionnels, tous concernés !
Habitat inclusif | Grand public
Vaccination Hépatite B
Vaccination
Mise en oeuvre du plan autisme dans le Grand Est
Repérer et prendre en charge un écart de développement chez...