Xavier Stoppini
Responsable de la Sécurité des Systèmes d'Information du GHT 06
🐙 Comment s’est mis en place le dispositif d’exercices de gestion de crise à l’échelle du territoire du GHT 06 ?
👉 En fin d’année 2022, l’obligation d’organiser des simulations de crises cyber pour l’ensemble des établissements de santé a été annoncée. J’ai donc voulu organiser des exercices auprès de l’ensemble des établissements du GHT et j’ai été confronté à des difficultés de mobilisation des directions générales.
Sous l’impulsion de l’ARS, le GRADeS ieSS, au travers de CAPSI, a alors proposé de prendre le lead sur le sujet en termes de planification, d’organisation, de relances, etc. Cette impulsion régionale a permis de mobiliser les directions générales et de se mettre en ordre de marche.
Dans la pratique, CAPSI a fait intervenir des tiers de confiance, Orange, Advens et Crisalyde, pour mettre en place les exercices de gestion de crise dans les établissements du GHT.
Le résultat de ces exercices est unanime : tous les sites demandent de nouvelles sessions !
Grâce à ces exercices, les équipes sont montées en maturité sur ce qu’est une crise cyber. Elles ont compris que ce n’était pas qu’un problème informatique mais un problème d’organisation et de continuité des activités de l’établissement.
Le premier exercice est justement là pour faire prendre conscience aux établissements qu’une crise numérique est un véritable problème d’organisation, de continuité des soins, de fonctionnement d’un hôpital, une crise systémique qui embarque tous les métiers, à commencer par la gouvernance des établissements.
Les exercices de gestion de crise ont été l’occasion de montrer les outils existants et notamment la main courante qui nous permet de piloter les crises, que ce soit de manière individuelle, pour chaque établissement, ou au sens du GHT. Les équipes ont également pu comprendre l’importante différence entre une continuité d’activité pour un établissement, soit la continuité des soins, et une continuité d’activité informatique. En effet, le plan de reprise d’activité informatique n’est qu’une partie du plan de reprise d’activité
d’un établissement.
Ces exercices ont permis de mettre en lumière certains services proposés par le GRADeS ieSS, au travers de CAPSI, tels que la force d’intervention rapide cybersécurité. Ce service, qui répond à un besoin d’extrême urgence, nous est proposé en direct et de manière régionale, nous déchargeant ainsi d’un important poids financier.
🐙 Les exercices sont suivis de deux phases de debriefing. Quel est, selon vous, l’intérêt de ces deux étapes ?
👉 À la suite des exercices, il y a eu un premier debriefing à chaud. Lors de ces tours de table, qui se sont déroulés dans une grande bienveillance et dans une optique d’amélioration continue, les points forts et les axes d’amélioration ont été mis en évidence. C’est d’ailleurs à ce stade que le souhait de participer au niveau deux des exercices dès 2024 a été émis. D’une manière plus générale, notre souhait est de pouvoir réaliser, une première fois, ces exercices de gestion de crise à plusieurs niveaux pour ensuite pouvoir les répéter chaque année : la répétition fait partie de l’apprentissage.
Le jour où une cyberattaque se produira, le stress des équipes sera moins important car elles seront entraînées à prendre les bonnes décisions et à mener les bonnes actions.
Ce premier debriefing a donc servi à définir les actions prioritaires et les manquements. Il a aussi mis en évidence la nécessité de mobiliser de nombreux acteurs. Comme tout le monde croyait qu’il ne s’agissait que d’une question informatique, la mobilisation n’était pas forcément toujours suffisante.
Quelques semaines plus tard, une deuxième étape de debriefing a eu lieu. Elle a permis d’apporter des propositions concrètes d’amélioration et des orientations. Toutes les directions générales ont pris avec sérieux et bienveillance cette phase de l’accompagnement.
Cet accompagnement, mené par CAPSI et proposé au niveau de la région est une excellente initiative. Il aurait été impossible de mettre en place, en interne, toute l’organisation, le financement et le choix du prestataire, dans un délai aussi court.
🐙 Au-delà des exercices de gestion de crise, le GHT a-t-il bénéficié d’un autre accompagnement régional dans le domaine de la cybersécurité ? Pensez-vous que d’autres sujets devraient être portés au niveau régional ?
👉 La formation de tous les personnels est un élément important. CAPSI nous a proposé des campagnes de sensibilisation, avec notamment des affiches qui ont été mises à disposition, affichées et utilisées comme des écrans de veille pour rappeler les bonnes pratiques. Elles expliquent ce qu’est le RGPD, le phishing, etc. et permettent aux utilisateurs de s’approprier la réflexion autour de la cybersécurité et des potentiels impacts, dans leur vie professionnelle comme dans leur vie privée.
CAPSI a mis à notre disposition une plateforme de e-learning qui délivre un certificat aux personnes ayant suivi les parcours. Les statistiques de la plateforme nous sont transmises pour que nous puissions évaluer la participation des équipes du GHT à ces formations.
Un autre service dont nous bénéficions est l’accès à une astreinte 24/24, 7j/7, qui permet de déclencher la force d’intervention rapide en cas de cyberattaque ou de suspicion.
Le besoin, selon moi, est que les sujets doivent être, le plus possible, portés au niveau régional. Cela a un intérêt de massification et de gain financier puisqu’il y a mutualisation et économies d’échelle. Le gain de temps est également important car il n’est plus nécessaire que chaque établissement fasse des cahiers des charges ou repasse des marchés.
Dans le cas du programme CaRe, par exemple, un outil de scan de vulnérabilités doit être mis en place. Plutôt que chacun fasse la démarche, il me semble plus judicieux que le GRADeS fasse l’acquisition de cet outil et le mette à disposition des établissements de la région.
Un autre sujet, d’une grande importance, est celui de la reconstruction d’une salle machine après une cyberattaque. Aujourd’hui, on sait qu’on sanctuarise la sauvegarde de manière complètement séparée et isolée. Il faut désormais pouvoir redémarrer dans des délais plus courts et non sur des périodes de plusieurs mois d’interruption.
Enfin, il y a de nombreux sujets sur lesquels nous avons besoin d’échanger et de mutualiser. C’est là que le GRADeS est incontournable : nous avons besoin du GRADeS pour fédérer notre communauté.