Myriam Pelissier Friquet
Responsable de la Sécurité des Systèmes d'Information et Déléguée à la Protection des Données à l'ARS PACA
🐙 Pourquoi est-il utile de réaliser un exercice à l’échelle régionale en impliquant plusieurs acteurs institutionnels ?
👉 Les exercices à l’échelle régionale impliquent plusieurs acteurs car il faut prendre en considération la dimension d’une cyberattaque. Trop souvent, nous imaginons que la réponse à une cyberattaque consiste à traiter le dysfonctionnement du système d’information, alors que la cyberattaque peut avoir un impact beaucoup plus vaste que le système d’information en lui-même. Par exemple, sur un établissement hospitalier, il est très probable qu’une désorganisation de la prise en charge des patients et de l’offre de soins au niveau régional soit engendrée.
Cette dimension s’apparente à ce que nous connaissons dans la gestion des crises sanitaires ou bien des situations sanitaires exceptionnelles, comme les afflux de victimes en masse par exemple. Pour une cyberattaque, nous allons donc avoir une réponse proche de celle d’une gestion de crise sanitaire.
Ainsi, les cyberattaques sur les établissements hospitaliers vont non seulement mobiliser toute la chaîne d’alerte informatique, de l’établissement jusqu’à l’ARS, avec l’Agence du Numérique en Santé et son CERT Santé, mais aussi l’Agence Nationale de Sécurité des Systèmes d’Information.
C’est le volet gestion de l’impact sur le système d’information dans lequel chacun a son rôle à jouer.
Le deuxième impact porte sur l’offre de soins. Dans ce cadre, l’ARS va devoir réorganiser l’offre de soins, par exemple, en réorientant les patients suite à un impact sur un service d’urgences. Dans un cas comme celui-ci, le SAMU va avoir un rôle prépondérant à jouer.
Dans les exercices à l’échelle régionale et dans les crises réelles, la préfecture est également présente car c’est le Préfet qui sera le chef de la gestion de crise. Il va piloter et diriger la réponse à la cyberattaque. Les agents de l’ARS seront ainsi mis à disposition du Préfet. Une cyberattaque pouvant avoir des impacts sur de nombreux composants, informatiques ou non, de nombreux acteurs doivent être mobilisés pour y apporter la réponse la plus adaptée.
Dans le scénario de l’exercice qui a été réalisé, un EHPAD devait être évacué car son système d’alerte incendie était devenu inopérant de par la cyberattaque. Nous aurions pu imaginer un impact sur les ascenseurs, sur la climatisation, sur les appareils biomédicaux connectés, etc. Si c’est l‘unité de soins d’un centre pénitentiaire qui se trouve impactée, il
sera nécessaire d’avoir recours aux forces de police.
La coordination de toutes ces interventions va être pilotée par le Préfet car une crise cyber a des effets sur les systèmes informatiques, sur les systèmes de santé et sur la vie civile.
L’objectif de ces exercices régionaux est de tester toute la chaîne d’alerte institutionnelle, la
communication entre les acteurs, la coordination et la réponse globale à la crise.
Nous avons donc mené cet exercice au niveau régional en préparation des Jeux Olympiques 2024.
Cette dimension d’écosystème, le directeur général de l’ANSSI l’a bien prise en considération quand, dans le cadre de la préparation aux Jeux Olympiques, il a dit “nous avons des raisons de nous inquiéter, mais aussi de nous rassurer”. Nous devons nous inquiéter car la cyberattaque, dans le cadre des Jeux Olympiques, elle aura lieu. Nous pouvons nous rassurer car tout l’écosystème se mobilise et s’y prépare. Nous envisageons plus particulièrement une cyberattaque sur les systèmes d’information qui vont gérer les Jeux Olympiques, mais aussi sur les infrastructures d’importance vitale, les transports et la santé.
🐙 Au-delà de ce contexte particulier des JO, voyez-vous un intérêt à pérenniser des exercices à grande échelle ?
👉 Il y a un intérêt à s’entraîner encore pour se perfectionner, dans un processus d’amélioration continue. Au-delà de l’entraînement, ces exercices nous permettent de mettre en œuvre des axes d’amélioration et de maintenir un certain niveau de mobilisation des acteurs.
Lors du premier exercice que nous avons réalisé, tous les acteurs présents autour de la table ont pris conscience qu’une cyberattaque impacte l’ensemble d’un écosystème et qu’ils doivent donc tous être mobilisés, comme pour une situation sanitaire exceptionnelle.
Il est donc très important que nous organisions régulièrement ces exercices pour participer à l’acculturation globale des institutions sur le fait de prendre en considération l’impact global d’une cyberattaque.
🐙 Quelle est la chaîne de signalement d’un incident numérique et en quoi l’ARS en est-elle un point névralgique ?
👉 Lorsqu’il y a un incident de sécurité informatique dans un établissement de santé, celui-ci a l’obligation légale de le déclarer sur le portail national de signalement des événements sanitaires indésirables. Cette déclaration est très importante car c’est elle qui va déclencher la mobilisation de certains acteurs qui vont jouer un rôle dans la gestion de l’incident, notamment l’Agence Régionale de Santé et le CERT Santé.
Dès que nous sommes notifiés, nous engageons un processus d’évaluation de la gravité de l’incident, de l’impact et aidons l’établissement à répondre.
Le CERT Santé va questionner l’établissement pour analyser la situation et indiquer ensuite des mesures de remédiation.
De notre côté, nous allons nous mobiliser, d’une part sur la réponse à l’impact sur le système d’information, et d’autre part sur la réponse à l’impact sur l’organisation des soins
dans l’établissement et sur le territoire.
Concernant l’impact sur le système d’information, nous allons pouvoir aider l’établissement avec CAPSI, la cellule cybersécurité du GRADeS, qui va mobiliser une task force régionale et prêter main forte à l’institution pour résoudre la crise informatique.
Concernant l’impact sur l’organisation des soins, les autres établissements vont être alertés. L’ARS va mettre en œuvre des moyens pour préserver la continuité des soins, avec notamment l’activation de dispositifs.
L’ARS va ainsi identifier quels sont les établissements vers lesquels les patients peuvent être réorientés, grâce à des outils régionaux qui permettent de répondre à la crise sanitaire induite par la crise numérique. En tant qu’ARS, notre objectif principal est d’assurer la continuité des soins et de la prise en charge des patients.